niedziela, 22 maja 2022 o 00:20:59 UTC+2 Krzysztof Halasa napisał(a):
> Michał Jankowski <m...@f...edu.pl> writes:
>
> > Natomiast nadal nie wiem, dlaczego kombinacja 'przeglądarka na
> > komputerze' plus 'kod z sms' jest mniej bezpieczna niż 'przeglądarka
> > na komputerze' plus 'aplikacja'.
> Normalnie mogłaby być nieco mniej bezpieczna, SMSy nie były do tego
> projektowane. Można je przechwycić w różnych miejscach, duplikaty SIM
> itd. Ale:
> > Jeśli ktoś ukradnie hasło do www oraz dorobi sobie duplikat karty sim,
> > to nie tylko odbierze smsa, ale bez trudu zainstaluje aplikację na
> > swoim telefonie.
> Z tym, że to jest specyfika danego banku. Ogólnie rzecz biorąc, nie
> powinno być to takie łatwe.

Widziałeś bank, w którym apka wymaga czegoś więcej?
Może być nawet w przeszłości.
Teraz wszędzie, gdzie testowałem, jest logowanie loginem i hasłem oraz przepisanie
SMS.
A potem logujesz się PINem, ew. hasłem (citi, N26).

>
> Oczywiście 100% bezpieczeństwa nigdzie nie ma. Ale tak na moje oko,
> układ z dwoma oddzielnymi urządzeniami (pecet + telefon) jest dość
> bezpieczny. Problem zaczyna się wtedy, gdy to jest to samo urządzenie.

No ale co, ten pecet "do bankowania" to jakiś specjalny musi być, nie może być np.
mój?
Bo telefon jest choć trochę "specjalny" przez kartę SIM - ale to liczy się tylko do
SMSów (ale tylko trochę), apka działa i bez karty SIM.
Jedyna różnica to to, że rzeczywiście trochę trudniej przejąć kontrolę nad dwoma
urządzeniami niż nad jednym - ale tylko trochę, bo atak odbywa się przez jednego
człowieka.