W dniu 2019-08-20 o 14:46, J.F. pisze:
> Ale ja wspominam Lukasa i jego tokeny RSA bez klawiaturki, wiec bez
> zabezpieczenia.

Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie tokena.

> Kolejna sprawa, ze banki jak widac chca odejsc od SMS i autoryzacja
> bedzie w aplikacji.
> I tam sie juz haslo moze pojawic.

Mam wrażenie, iż jeszcze długo będą opcje alternatywne wobec aplikacji.
>> W przypadku tokena i fałszywej strony działania hakera musiałby się
>> odbyć w tym samym czasie. Czyli logowanie, przelew.
>
> Zaden problem - raz oszukales komputer usera, to pewnie jeszcze pare
> razy oszukasz.

Czyli zakładasz, że klient będzie kilkanaście/kilkadziesiąt razy
korzystał z fałszywki, bo haker "zbiera" informację, aby mieć pełne
hasło przy maskowanym?

>> Sytuacja jednak się komplikuje przy haśle maskowanym. Szanse, iż
>> klient wstuka na fałszywce te same pola, o które poprosi hakera
>> oryginalna strona są małe.
>
> Ale haslo jest stale ? To po paru probach ustali pelne haslo.

Tak, jest stałe. Potrzeba raczej kilkudziesięciu prób. W tym czasie
fałszywka ma się zachowywać jak prawdziwa? Tzn. realizować przelewy
itd., aby klient nie zorientował się, że np. nie dochodzą i coś jest nie
tak?

>> A gdyby tak system pytał np. o 3 z 6 wskazań tokena plus 3 dowolne
>> znaki hasła? Czy taka okoliczność poprawiłaby bezpieczeństwo?
>
> IMO nie, bo przeciez moze rownolegle laczyc do do banku i wymagac
> dokladnie tego samego co bank.

Masz rację. Wymagane byłoby pewne opóźnienie, ale z punktu widzenia
klienta może być niezauważalne.

> W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
> mozna probowac w ciemno, a noz sie trafi ..

To mało prawdopodobne.