W dniu 2019-08-20 o 13:05, J.F. pisze:
> Swoja droga - jest ten pin jakis zmienny, czy po pewnym czasie bedzie
> widac gdzie bardziej wytarte ?

Zastanowiło mnie coś innego. Gdy podaję kod SMS do autoryzacji przelewu
to przepisuję go w całości. Tymczasem kod wyświetlony na tokenie
stanowił jedynie część hasła. Kradzież tokena nie jest zatem problemem,
bo przepisanie wskazania nic nie da. Przepisanie wskazania SMS - owszem.
Czy wprowadzenie kombinacji hasło+SMS nie spowodowałoby wzrostu
bezpieczeństwa?

Pewnym ryzykiem jest "wirus", który przekazywałby kod SMS przestępcom.
Tu token także lepiej się sprawdza. Ale w kombinacji hasło+SMS samo
przejęcie SMSa nie będzie miało poważnych konsekwencji.

Nadal jest jednak problem z fałszywą stroną. Klient wchodzi na
podstawioną stronę, podaje login/hasło, powiedzmy że się nie orientuje,
iż jest na podstawionej, wpisuje przelew, SMS. Przestępcy mają login,
hasło, SMS. Logują się na właściwą i dokonują przelewu.

W przypadku tokena i fałszywej strony działania hakera musiałby się
odbyć w tym samym czasie. Czyli logowanie, przelew. Sytuacja jednak się
komplikuje przy haśle maskowanym. Szanse, iż klient wstuka na fałszywce
te same pola, o które poprosi hakera oryginalna strona są małe. A gdyby
tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne znaki hasła?
Czy taka okoliczność poprawiłaby bezpieczeństwo?

Zastanowiła mnie jeszcze jedna rzecz. Powiedzmy, że wchodzę na
fałszywkę. Chcę zrobić przelew, w znakomitej większości korzystam ze
zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
nie tak?