Krzysztof Halasa wrote:

> Token to nie sa hasla jednorazowe.

nie zgodze sie, http://en.wikipedia.org/wiki/One-time_password

> BTW: sa takie wady tokenow,
> ktorych nie maja ani normalne hasla, ani jednorazowe, np. chwilowy
> dostep do bazy "seedow" tokenow daje mozliwosc przewidzenia
> pozniejszych wynikow (tokena nie wyrzuca sie tak jak sie zmienia
> hasla i wykorzystuje kody).

ani haslo stale ani jednorazowe nie chronia przed atakiem z wewnatrz
o ktorym teraz piszesz

> A myslisz ze jesli sie uda przechwycic jednorazowe (w najbardziej
> sensownym scenariuszu, tj. z MITMem na skutek np. phishingu
> i automatycznym "poprawianiu" przelewu), to jaka jest szansa?

z tokenem challenge-response, gdzie challenge jest generowany
na podstawie podpisywanej tresci to raczej ta szansa jest marna

ale faktycznie, zwykly token czy zdrapka w przypadku w pelni
online'owego ataku MITM nie pomoga, na szczescie takie ataki
to rzadkosc

ale tak naprawde dyskutowalismy o bezpieczenstwie hasel stalych
i jednorazowych, to ze hasla jednorazowe nie sa idealnie
bezpieczne to oczywiste, ja twierdze tylko ze sa o wiele
bezpieczeniejsze od stalych


a tak w ogole to moglby sie ktos jezzcze wlaczyc do naszej dyskusji :)