> Na p.b.b. i w roznych "rankingach" jest dożo zwolenników hasel
> jednorazowych.
> Ja natomiast uważam, że hasla jednorazowe (drukowane lub generowane przez
> token)
> maja taką właśnie wadę, że pracownik banku (szczególnie informatyk) mogą
> sobie taką
> odpowiedż jednorazową wygenerować, bo komputer bankowy po prostu to umie.
I tu się z tobą nie zgodzę. Po pierwsze jeśli porównójesz token z listą haseł.
Lista haseł jest kopiowalna w sposób fizyczny, da sie wydukować duplikat,
skopiować plik itp. Token nie jest kopiowalny. Posiada swój unikatowy numer,
niemożna go powielić, rozmontować czy przeprogramować.
Zakładasz że bank sam szyfruje tokeny - ma to miejsce tylko w wypadku tokenów
typu challange - response. Tokeny generujące response w oparciu o czas są
programowane przez producenta a ich algorytmy są najcześciej nieznane bankowi.
Bank otrzymuje pudełko tokenów i płytkę z softem.

Najbezpieczniejszy moim zdaniem token pracujący w trybie Time based challange
response generuje kod w oparciu o wywołanie i ziarno czasu. Jeśli więc nawet
ktoś "podpatrzyłby" odpowiedz z tokena dla danego wywołania to i tak po uływie
określinego czasu straciła by ona swoją ważność.

> Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> transakcji
> nim nie podpisze ;-))
A jak przechowujesz ten kluczyk?
- na karcie ? to musisz mieć w kieszeni czytnik inaczej rozwiąznie nie jest
przenośne.
- na dyskietce? ;-)........ kiedyś miałem ze pare programików do kopiowania
dyskietek 1 do 1 z nunerami seryjnymi włącznie.

A tak tokenik to i w kieszeń się zmieścii zgnieści go trudniej...
Reasumując uważam rozwiązanie takiego np Integerum za bezpieczniejsze i
wygodniejsze od takiego np BPH

A użytkownikom Inteligo życzę wiele szcześcia ....
Moze sie jeszcze przydać
Yorge


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl