Szymon <...@w...pl> writes:

> Token sprzętowy? Technologia stara, ale... może?
> A U2F?

Problemem jest to, że musimy ufać własnemu komputerowi. Jeśli ufamy, to
żadnego takiego U2F nie potrzebujemy (z tego powodu, możemy go
potrzebować np. dla wygody). Jeśli nie ufamy, to nie możemy wykonywać
żadnych operacji, który treści nie możemy obejrzeć i zatwierdzić na
czymś, czemu ufamy.
Oczywiście bezpieczeństwo rzadko jest czarno-białe, ale ogólna zasada
jest taka.

> W trakcie logowania do bankowości internetowej mBank poprosi klientów
> o podanie hasła SMS lub potwierdzenie operacji mobilną autoryzacją.
> Wyjątkiem będzie sytuacja, w której klient doda komputer do zaufanych.
> Wówczas bank będzie go prosił tylko od czasu do czasu o dodatkowe
> potwierdzenie logowania.
> Alior także stawia na listę zaufanych urządzeń. Podobnie Getin.

Czyli na utopię.
Z tym, że o ile to nie gwarantuje bezpieczeństwa, to może być sensowne
pod względem kosztów i strat. O ile te straty pokryje bank (rozkładający
straty na wszystkich klientów).

Dodatkowo hasła SMS mogą być mniej bezpieczne od list papierowych.
Choćby wyłudzenie karty SIM. Aczkolwiek chwilowo statystyka jest na
korzyść SMSów.

> Zakładając, iż loguję się do systemu tylko i wyłącznie w domu - takie
> zaufane urządzenie rozwiązałoby problem phishingu.

... gdyby istniało :-(

> Wydaje mi się, że w procesach poszlakowych zapadają wyroki.

Owszem. Nawet bardzo surowe, co nie znaczy, że wystarczająco często
słuszne.
--
Krzysztof Hałasa