On Thu, 20 Oct 2011 19:59:57 +0200, bzdreg wrote:
> SMS-kody są przypisane do telefonu (a raczej karty SIM, którą da się
> zduplikować na przykład, stosunkowo łatwo). To wada bądź zaleta.
>
> Co do samego bezpieczeństwa - jeśli ktoś ma już Twój (bratbraka) telefon
> z jego kontaktami i notatkami, to pewno dorwie się i do serwisu
> transakcyjnego. Telefon nosi w sobie zbyt wiele informacji i jest
> przedmiotem, który stosunkowo łatwo jest zepsuć, zgubić, utopić w sraczu
> lub dać sobie ukraść.

Zalety SMSow są IMO dwie:
1. widzisz co podpisujesz.
2. koniecznosc ataku w dwa miejsca (zdobycie dostepu do przegladarki
oraz telefonu). Oczywiscie jesli ktos się loguje z telefonicznego
browsera i ma w nim zapisane haslo do banku to... smierc frajerom? :)

> Ja-tam wolę listę haseł jednorazowych. Szyfruję je sobie swoim
> algorytmem, drukuję na karteczce, wysyłam do siebie mejlem, wgrywam do
> telefonu itd. Algorytm jest taki, ze na trzeźwo rozszyfrowuję hasło w 10
> sekund, a po pijoku jest trudniej, co też jest zaletą. :)

Wstepnie generowane hasla maja ten feler, ze nie wiesz co podpisujesz.
Co z polaczeniu ze zdarzajacymi się wtopami oprogramowania (%02%00 w IE
pamietasz?), czy tez jakimis udanymi atakami sieciowymi (ktoremu to
bankowi podmienili pare lat temu wpisy w DNSie?) moze Cie skierowac na
,,lewą'' strone, gdzie bedziesz mial zamknieta kłódeczkę i grzecznie
podasz login, haslo i tyle TANow ile potrzeba...
A i wiare w to, ze https byl jest i bedzie niepodatny na ataki wrzucilbym
rowniez do worka ,,smierc frajerom'' ;)

Jak dla mnie, wylaczajac sytuacje ciezkiego frajerstwa -- zapisania hasla
do banku w przegladarce telefonu, to SMSy są jednak bezpieczniejszym
rozwiazaniem niz TANy. Mimo, ze krucjat ,,SMSy są zle'' tu juz bylo
kilka i jakos same malo przekonujace...

pozdrawiam,
--
Michał

wiesiu jest spamtrapem. ja jestem kbns