"wiatrak" <w...@y...pl> writes:

> Które banki to mają? Na pewno Lukas, w Eurobanku tez jest taka
> opcja.. Które banki jeszcze?
> http://www.tvn24.pl/-1,1696347,0,1,hakerzy-dobieraja
-sie-do-bankowych-tokenow,wiadomosc.html

Jest tylko jedna rzecz dotyczaca tych tokenow, ktora mozna ukrasc z RSA
- to jest baza danych (lub cos podobnego, np. algorytm generowania)
seedow w polaczeniu z numerami tokenow.

Zadna taka baza danych nie powinna nigdy istniec (seedy powinny byc
generowane losowo przed wysylka do odbiorcy, nie powinny w ogole byc
przechowywane przez producenta). Zaden taki algorytm oczywiscie takze
nie powinien istniec. Jesli takie rzeczy istnieja, to pomijajac
calkowita utrate zaufania do firmy (jesli ktos im w ogole ufal,
w bezpieczenstwie nie powinno sie ufac producentowi tokenow) to jest to
IMHO kryminal.

Algorytmy generowania wynikow tokenow sa znane od dawna, jedyna
tajemnica sa (byly?) seedy, rozne dla poszczegolnych tokenow. I to jest
akurat dobry uklad, pod warunkiem, ze tylko uzytkownik (firma, ktora
kupila token) zna seedy. Nawet producent nie powinien ich znac.

Tak w ogole, gdyby seedy byly generowane przez uzytkownika, to by takich
zdrad nie moglo byc.
--
Krzysztof Halasa