piątek, 26 marca 2021 o 13:27:04 UTC+1 Kamil Jońca napisał(a):
> Dawid Rutkowski writes:
>
> > czwartek, 25 marca 2021 o 18:49:03 UTC+1 Kamil Jońca napisał(a):
> >> Dawid Rutkowski writes:
> >>
> >> [...]> A ten "bezstykowy blik" to po prostu kolejny krok w technologii.
> >> > Ja do dziś jestem pod wrażeniem, jak taki prymitywny system z
> >> > przepisywaniem kodów mógł się spopularyzować - tym bardziej, że z
> >> > jednej stronie prymitywny kod, ale do jego wygenerowania konieczny
> >> > jest niesamowity smarkfon z android/ios (jedynie skarbonka zrobiła
> >> A do tego "kodu" nie jest potrzebny kontakt z centralą? Mogę się mylić,
> >> ale mam wrażenie, że "wygenerowanie" kodu blik na telefonie polega na
> >> tym że telefon się odpytuje centrali.[1]
> >
> > To "generowanie" to było ironicznie - oczywiście że kod jest pobierany z
centrali.
> > Zastanawia mnie też, po co jest to durne potwierdzanie operacji na telefonie -
bali się, że ktoś w ciągu dwóch minut przeleci na jakimś terminalu wszystkie możliwe
6-cyfrowe kody?
> >
> > Z drugiej strony jest przykład dawnych tokenów - tam ZTCP kod też miał 6 cyfr i
zmieniał się co 2 minuty.
> Ale "kontekst" był określony. (np. strona logowania banku), i tylko
> trzeba było sprawdzić czy kod pasuje.
>
> Tu z losowego sklepu internetowego przychodzi ci kod i musisz zdecydować
> "do kogo należy" i u kogo potwierdzić.

Hmm, przy 6-cyfrowym kodzie mamy pewność, że gdzieś na dwóch tokenach będzie to samo
wskazanie dopiero przy milionie tokenów. A to dopiero wskazanie - jeszcze ta dwójka
musi chcieć na raz płacić.
Ale przecież taka kolizja jest do wykrycia - centrala przecież wie, jakie jest
wskazanie danego tokena (to mnie zawsze zadziwiało, jak precyzyjne są te zegary w
tokenach - jak oni to zrobili?).

> [...]
> > A ogólnie chodziło mi o to, że na pewno nie potrzeba do takiej
> > funkcjonalności komputera aż z androidem/ios - spokojnie starczyłyby
> > też starsze słuchawki z J2ME. Ale to pewnie mój skrzywiony pogląd
> I kontakt z centralą.

Nawet jak się przy tym uprzemy i nawet jak mus być "internetowy" to J2ME jak
najbardziej na to pozwalała, nawet jeśli sama transmisja szła przez biedniutki GPRS
2G, a ostatecznie nawet CSD (taki WAP potrafił transmitować nawet SMSami ;)

Ale czy taki kod nie mógłby np. przychodzić SMSem?
Czy trudno się podrabia numer prezentowany w banku? W citku jak dzwonię z
zarejestrowanego u nich numeru, to nie muszę podawać "loginu", tylko samo hasło.
Więc czemu nie telefon pod specjalny numer, hasło DTMFem (do apki też się musisz
zalogować) - i przychodzi SMS z kodem ważnym 2 minuty? Po co to potwierdzanie?