Dnia Sun, 02 Dec 2007 10:40:08 +0100, MarcinF napisał(a):
> Jacek Osiecki wrote:
>> Bo bez pinu go nie uruchomisz. Dzięki temu nawet jak ktoś ukradnie token to
>> nic nie zdziała...
> przeciez w "lukasowych" tez jest haslo/pin ktore trzeba wprowadzic razem
> z kodem z tokena zeby uzyskac dostep, jesli ktos ukradnie token
> i zacznie probowac wprowadzac kody bez albo ze zlym pinem to dostep
> zostanie zablokowany

Hasło i nazwę użytkownika można podsłuchać. Token można ukraść. W takiej
sytuacji PIN do tokena jest na wagę złota, bo nie można go w żaden sposób
podsłuchać jeśli tylko właściciel tokena używa go z głową.
Taki sam problem jest przy hasłach SMSowych mbanku - jak ktoś podsłucha
Twoje hasło i ukradnie komórkę, to jesteś ugotowany.

>> Ale przy odpowiednim systemie może też służyć do np. podawania końcówki
>> numeru konta, co zabezpiecza przed bardziej wymyślnymi próbami oszustwa.
> mozesz cos wiecej napisac, jak to mialoby dzialac i co zyskujemy
> w bezpieczenstwie ?

To, że nawet siadając przy specjalnie przygotowanym komputerze z odpowiednio
spreparowaną przeglądarką i zastępem crackerów między Tobą a bankiem,
będziesz wiedział że przelewasz na takie konto na jakie chciałeś przelać.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wydrwigroszem 2006