Dnia Tue, 20 Aug 2019 21:06:30 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>>> Tam też było tak, że do wpisania trzeba było podać hasło+wskazanie
>>> tokena.
>>
>> Ale to nie to samo co token z klawiaturka, ktorego zlodziej nie
>> odblokuje.
>
> Różnica nieistotna - założenie jest takie że złodziej, który ma dostęp
> do komputera ofiary, nie ma dostępu do tokena (innego niż gdy user
> wpisuje kod z tokena).

Ale ten token jednak mozna ukrasc.

>>>> W dodatku 3 cyfry z tokena to zaczyna byc juz niebezpiecznie malo -
>>>> mozna probowac w ciemno, a noz sie trafi ..
>>>To mało prawdopodobne.
>>
>> 1:1000. Tysiac prob i trafiles. Robiac dwie dziennie - efekt w ciagu
>> niecalych dwoch lat.
>> Ale majac namierzonych 10 frajerow - juz co dwa miesiace.
>
> W przypadku botnetu, który "jest obecny" na 300 tysiącach komputerów -
> może nawet nieco szybciej.

Szybciej moze wzbudzic podejrzenia banku, chyba ze masz na mysli 300
tys komputerow klientow ...

Za to na pewno sie przyda 300 tys roznych IP - pojedyncza nieudana
proba autoryzacji nie wzbudzi podejrzenia banku.

J.