Mialem pretensję do Fortisa, że wprowadzając maskowane hasło:
- muszą pamiętać całe u siebie (zamiast trzymac jedynie skrót
jednokierunkowy muszą umieć odszyfrowac haslo)

Dostałem wyczerpującą informację, że zastosowali inny wariant
i również z kodami SMS postepują nietypowo. Zacytuję całą informację:

"Również w przypadku hasła maskowanego nie jest ono nigdzie w systemie
przechowywane w całości. W momencie ustanawiania hasła generowane (i
zapisywane do bazy) jest od razu kilkaset masek i odpowiadających im
skrótów (dodatkowo, w skrócie zaszyty jest również login użytkownika).
Przy logowaniu system porównuje skrót z wprowadzonej przez użytkownika
maski ze skrótem zapisanym w bazie. Tak więc również w przypadku hasła
maskowanego nie ma możliwości odtworzenia hasła.
Co do kodu SMS - jest on ważny przez cały czas trwania sesji. Dla
zwiększenia bezpieczeństwa, hasło nie jest jednak przesyłane do
serwera; zamiast tego przesyłany jest kod autoryzacji, który wiąże ze
sobą parametry transakcji i obowiązujące hasło jednorazowe. Kod
autoryzacji wyliczany jest za pomocą algorytmu HMAC. Serwer weryfikuje
poprawność przesłanego kodu, jeśli jest on prawidłowy, transakcja jest
realizowana. (dla porównania - w typowych implementacjach tego sposobu
autoryzacji transakcji przesyłany jest kod jednorazowy, który nie ma
związku z parametrami transakcji i jest przesyłany wprost do serwera
razem z pozostałymi parametrami operacji).

Podsumowując - jestem przekonany, że w obszarze bezpieczeństwa, nowy
Pl@net w niczym nie stracił w stosunku do starego systemu - takie
zresztą było podstawowe założenie na którym opieraliśmy się
projektując zabezpieczenia dla nowego systemu.
Dodam, że przed udostępnieniem klientom do pilotażu, nowy Pl@net
pomyślnie przeszedł audyt bezpieczeństwa, przeprowadzony przez
specjalistyczną, niezależną firmę."

*** blad ***