Dawid Rutkowski <d...@w...pl> writes:

> Hmm, przy 6-cyfrowym kodzie mamy pewność, że gdzieś na dwóch tokenach
> będzie to samo wskazanie dopiero przy milionie tokenów. A to dopiero
> wskazanie - jeszcze ta dwójka musi chcieć na raz płacić.
> Ale przecież taka kolizja jest do wykrycia - centrala przecież wie,
> jakie jest wskazanie danego tokena (to mnie zawsze zadziwiało, jak
> precyzyjne są te zegary w tokenach - jak oni to zrobili?).

Zależy w jakich, ale jedna z opcji to coś takiego, że po każdym
skutecznym użyciu tokena w serwerze autoryzacyjnym uaktualniana jest
odpowiednia poprawka szybkości zegara (dla danego tokena). Tym sposobem
token może się rozjechać z czasem i o pół godziny, a serwerowi to nie
przeszkadza.
... do momentu, w którym ktoś chce użyć tokena po roku nieużywania,
i dodatkowo token był trzymany przez ten czas w lodówce.

> Ale czy taki kod nie mógłby np. przychodzić SMSem?
> Czy trudno się podrabia numer prezentowany w banku? W citku jak
> dzwonię z zarejestrowanego u nich numeru, to nie muszę podawać
> "loginu", tylko samo hasło.
> Więc czemu nie telefon pod specjalny numer, hasło DTMFem (do apki też
> się musisz zalogować) - i przychodzi SMS z kodem ważnym 2 minuty? Po
> co to potwierdzanie?

Takich rozwiązań raczej nie robi się dla maleńkiej grupy klientów.
--
Krzysztof Hałasa