Dnia Thu, 01 Oct 2009 14:51:50 +0200, gont napisał(a):

> Z tokenem się nie da - przynajmniej w BZWBK.
>
> Wezwanie dla tokena jest fragmentem numeru konta na który przelewasz
> pieniądze, więc nawet przechwytując wpisaną przeze mnie odpowiedź tokena
> trojan nie może wysłać kasy na inne konto.
>
> Jeżeli podobnie jest z hasłami SMS, to też się nie da.

No niekoniecznie. Tak jak pisałem. Wpisujesz nr konta ale trojan go
podmienia na swój, więc jak dostaniesz hasło to jest on już wygenerowane
na podstawie nr konta, który wstawił trojan. Jedyna szansa, że popatrzysz
nr konta lub kwotę i wyłapiesz. Jest tutaj pewna zaleta kodów sms, bo
hasło jest zazwyczaj na końcu razem z kwotą przelewu, więc łatwo to
wyłapać IMO.

> Hasła papierowe faktycznie mają tu słabość.

No i token, które po prostu tylko generują kody a są odblokowywane na PIN.

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide