"J.F." <j...@p...onet.pl> writes:

>> Różnica nieistotna - założenie jest takie że złodziej, który ma dostęp
>> do komputera ofiary, nie ma dostępu do tokena (innego niż gdy user
>> wpisuje kod z tokena).
>
> Ale ten token jednak mozna ukrasc.

Założenie jest takie, że jeśli złodziej ma dostęp do dwóch różnych
(uznawanych za bezpieczne) metod komunikacji z (w tym przypadku)
bankiem, to sprawa jest pozamiatana.

Można podnieść poprzeczkę, ale to się raczej nie kalkuluje nikomu.
Poza tym, jeśli złodziej uzyskał dostęp do 2 kanałów, to zapewne będzie
w stanie uzyskać dostęp do ich dowolnej liczby - nie jest to
przypadkowy, masowy atak.

>> W przypadku botnetu, który "jest obecny" na 300 tysiącach komputerów -
>> może nawet nieco szybciej.
>
> Szybciej moze wzbudzic podejrzenia banku, chyba ze masz na mysli 300
> tys komputerow klientow ...

No tak - przecież z tego składa się botnet. Tzn. to nie muszą być
klienci konkretnego banku, oczywiście.

> Za to na pewno sie przyda 300 tys roznych IP - pojedyncza nieudana
> proba autoryzacji nie wzbudzi podejrzenia banku.

Owszem. Tak właściwie, różnych IP jest zwykle mniej niż różnych
komputerów.
--
Krzysztof Hałasa