W odpowiedzi na pismo z niedziela 05 kwiecień 2009 21:58
(autor MarcinF
publikowane na pl.biznes.banki,
wasz znak: <grb32t$kf$1@nemesis.news.neostrada.pl>):

>>> login i haslo moze byc przechwycone przez prostego trojana,
>> To trzeba nie mieć prostego trojana.
> gdybysmy zakladali ze nie klienci nie maja trojanow i ze nikt im
> hasel logowania nie poglada to nie potrzebne bylyby hasla jednorazowe :)

No nie, byłyby... Hasło logowania można przechwycić/podejrzeć łatwiej.
Poza tym, hasło moje np. zna czy tam znało w pewnych momentach kilka osób.

> nawet gdyby haslo do wygenerowanie pierwszej listy przez www bylo
> przesylane inna droga, to potem wystaczyloby poznac pojedyncze haslo
> by wygenerowac sobie nowe listy i potwierdzic juz dowolna liczbe
> operacji, co by pozwolilo na likwidacje ewentualnych depozytow
> i wyprowadzanie srodkow malymi porcjami nie budzacymi podejrzen banku

I usera, któremu nagle jego lista przestała działać? Przecież tylko 1 lista
może być aktywna.

> w dodatku strasznie by to uproscilo ataki typu man in the middle,
> wystarczyloby jedynie monitorowac sesje z bankiem i zapisywac
> nowo generowane listy hasel

Czy taki atak na łącze SSL jest możliwy faktycznie?


--
Tristan

Kupię płyty/kasety/mp3/cokolwiek z płyty Mydełko Fa 2