"J.F." <j...@p...onet.pl> writes:

> No ale tu w zasadzie to nie bank ma dziury, tylko komputer klienta.

A skąd możemy to wiedzieć w konkretnym przypadku? Nie wiemy - dostęp do
konta można uzyskać także bez jakiegokolwiek udziału klienta. Wystarczy
nieuczciwy pracownik w banku.

> Bank musialby zrezygnowac z przegladarki ... no moglby napisac
> program, ale program tez cudze oprogramowanie moze zhackowac ...
> tablety ma bank rozdawac, z programem do obslugi konta i bez
> mozliwosci instalacji innych programow ?
> No jest to jakis pomysl.

Jasne że tak.
Albo nawet nie "duże" tablety, tylko proste urządzenia do autoryzacji
operacji.

> W sumie, to obecne zabezpieczenie przez haslo SMS jest w miare dobre,
> tylko klient musi je czytac ... no i telefon miec bez dziur.

No i bank nie może pozwalać na zmianę numeru telefonu klienta bez
odpowiedniej identyfikacji tego ostatniego (wraz z udokumentowaniem tego
faktu), nie może wysyłać SMSa w sposób umożliwiający poznanie jego
treści (albo w ogóle modyfikację) osobom trzecim (w tym własnym
pracownikom), wymaga to m.in. silnego szyfrowania w warstwie radiowej
itd.
Obecnie nie da się tych warunków spełnić, chociaż nie wątpię, że hasła
SMS są dużo bezpieczniejsze od ich (i innych takich haseł) braku.
--
Krzysztof Hałasa