Szymon <...@w...pl> writes:

> Wydaje się, że np. wojsko czy policja mają swoje
> sieci, bez punktów styku z powszechną - Internetem - a zatem włam nie
> jest możliwy lub przynajmniej bardzo utrudniony.

Absolutnie nie należy tego zakładać.
BTW zgodnie z "powszechną wiedzą", większość ataków jest dokonywanych
z wewnątrz (sieci, instytucji itd).

> Phishing działa przede wszystkim dlatego, że domagamy się od
> zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w
> najbardziej zaawansowanych technologicznie krajach świata pokazują, że
> tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane
> zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili
> odróżniać fałszywe treści od prawdziwych. - tłumaczy Michał Jarski,
> ekspert ds. cyberbezpieczeństwa.

Treści prawdziwe także mogą być szkodliwe. Co to w ogóle są "treści
prawdziwe"? Istotne jest raczej kto ma prawo wykonywać oprogramowanie
(i jakie) - trzeba odróżniać autorów, nie treści.

> Wydaje mi się, że coś w tym jest. Zamiast domagać się znajomości
> certyfikatów, stron, rozpoznawania maili, SMS-ów etc. może warto
> byłoby pomyśleć o rozwiązaniach bardziej odpornych na błędy
> użytkownika.

Owszem. Zresztą systemy "telefoniczne" to robią. Można oczywiście
zainstalować fałszywą aplikację (w szczególności w Androidzie), ale
domyślnie ta możliwość jest wyłączona - samo się to nie zrobi raczej.

> Co więcej - telefon zazwyczaj klient ma przy sobie - komputer dużo
> rzadziej. A noszenie przy sobie narzędzia autoryzacyjnego chyba nie
> jest dobrym pomysłem.

No niestety. Zwłaszcza jeśli to jest jedyne narzędzie, które jest
potrzebne do wykonania operacji bankowych.

> Tak jest w przypadku autentykacji biometrycznej, która umożliwia
> konsumentom potwierdzenie tożsamości przez zwykłe dotknięcie palcem
> własnego telefonu czy zrobienie zdjęcia swojej twarzy. W ciągu
> najbliższych kilku lat biometria stanie się nowym standardem
> potwierdzania tożsamości, wypierając tym samym kody czy hasła.
> Biometria zapewnia jeszcze wyższy poziom bezpieczeństwa, dzięki czemu
> pomaga bankom i internetowym sprzedawcom spełnić wymagania nowych
> przepisów, związanych m.in. z silnym uwierzytelnieniem - komentuje
> ekspert.

Niestety znane mi opracowania (poważne) wskazują, że to nie jest prawda.

Zdjęcie twarzy, zdaje się, udało się obejść bardzo prosto i efektownie?
Zakładam że można wymagać określonych akcji od użytkownika (by nie dało
się pokazać kamerze zdjęcia), ale symulowany model także może dokładnie
takie same akcje wykonywać - to obecnie domowa technologia.

Odciski palców również można zdjąć i podrobić. W przypadku czytników
komputerowych powinno to być nawet łatwiejsze niż w tradycyjnej metodzie.
--
Krzysztof Hałasa