On Fri, 30 Jun 2006 11:47:34 +0200, Krzysztof Halasa wrote:

> Michal <s...@j...be> writes:
>
>> Akurat przechwycenie SMS-a nie stanowi żadnego zagrożenia. Jedyne, co ktoś
>> może z takim SMS-em zrobić to zatwierdzenie tej jednej operacji, którą sam
>> przed chwilą zleciłeś i dla której kod został wygenerowany.
>
> Problem w tym, ze nie wiadomo kto ta operacje zlecil. Jesli mam liste
> hasel jednorazowych albo inny token, to pracownikowi operatora GSM
> moze byc trudno wymyslic kod.
>
> Sensem istnienia dodatkowych potwierdzen (poza haslem sluzacym do
> logowania) jest to, by nikt poza wlascicielem konta nie mogl ich
> wykonac. W przypadku SMS to dziala dosc slabo.

Kiedy dostaję kod, od razu widzę, z jaką operacją jest on skojarzony (jest
to zawarte w treści sms). Jeżeli taki pracownik GSM przechwyci ten
konkretny kod, to co najwyżej potwierdzi operację, którą chwilę temu
zleciłem (dlatego te kody nie są "tajne" i np w BZWBK, kiedy wpisuje się
sms-kod na ekranie, nawet nie jest on "wygwiazdkowany").
Jeżeli zaszłaby podmiana kodu i w okienko logowania wpiszę kod innej
operacji (cudzej), to co najwyżej dostanę komunikat "błędny kod" i nic się
nie stanie.
Ponadto, aby pracownik GSM mógł komuś zrobić kuku, musi znać numer klienta
+ PIN ewentualnej ofiary. Chyba, że to właśnie o taki przypadek Ci chodzi,
wtedy zgodzę się, że można pieniądze łatwo wyprowadzić.
Ale IMO w podobny sposób można rozważać to, że jakiś inżynier gdzieś zna
algorytm, jakim generowane są kody przez token, albo pracownik drukarni ma
na którymś etapie wgląd w listy haseł (ew. może spreparować własne listy).

Michał