"J.F." <j...@p...onet.pl> writes:

> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
> transakcji.

Rozwiąże bardzo ładnie.

> Bank powinien dostarczyc jakis zamkniety telefon, ktory wyswietli SMS
> "czy potwierdza pan przelew na nr konta xxxx na kwote xxxx".

A po co kolejny telefon. Dostęp radiowy, niepotrzebny i niebezpieczny.

> Ewentualnie mozna tokenem zeskanowac kod QR z ekranu

Ciepło

> lub przepisac do
> tokena dlugi, zaszyfrowany, kod operacji.

No nie, bez przesady. Jasne że skaner QR kodu.
Nie musi być zresztą szyfrowania - wystarczy podpisanie przez bank.
Wynik może być kilkucyfrowym "PINem", nie trzeba tego wtykać do żadnego
USB.
No i PIN żeby uruchomić urządzenie.

> No - jeszcze mozna transmisje audio uskutecznic, USB, Bluetooth, ...
> ale prosciej chyba bedzie GSM ...

Wszystkie powyższe są niebezpieczne, w sensie takim, że narażają
"telefon" na ataki za pośrednictwem skomplikowanych, potencjalnie
(i praktycznie) wadliwych bezprzewodowych metod dostępu.

> Mysle, ze pierwszym ruchem bedzie apelacja/kasacja.
> Bo z drugiej strony patrzac - po stronie komputerow banku zadnej
> dziury w bezpieczenstwie nie bylo.

Nie można jednak nie zauważyć, że sposób dostępu do banku został
ustalony przez bank. Bank jest "pro" i przecież przeprowadził analizę
ryzyka.
--
Krzysztof Hałasa