Krystek napisał(a):

> Jeśli się ma dostęp do szyfrowanego proxy można ustawić przeglądarkę
> tak, by łączyła się dodatkowym szyfrowanym kanałem co uskuteczni
> zabezpieczenie przed podsłuchem.

No tak, ale połączenie z bankiem jest na drodze przeglądarka - serwer
http banku szyfrowane - problem polega na tym, że do skompromitowania
hasła może dojść wcześniej - na skutek działania wszelkiego rodzaju
snifferów klawiatury czy ekranu. Dodatkowe tunelowanie nic tu nie pomoże.

> Dobre jest też - tak jak już tu pisano na grupie - zabezpieczenie
> w postaci obrazków z których należy przepisać kod. Ciekawe byłyby
> kombinacje w stylu: kod z obrazka oraz kod z SMS, albo treść kodu z
> obrazka+treśc kodu z SMS-a (jak w VWBank direct - hasło+wskazanie
> tokena), albo - jak sam napisałeś - wpisanie wybranych znaków ze
> wskazanego kodu. Kody SMS całkiem sprawnie funkcjonują w BZWBK24 -
> można wybrać potwierdzenie transakcji kodem i dodatkowo SMS-em.

Zgadza się, takie kombinowane zabezpieczenia pomogłyby. Ale samo
przepisywanie z obrazków nie, to zabezpiecza jedynie przed wysyłaniem
formularza logowania przez skrypty. Zabezpieczenie transakcji kodem
wysyłanym SMS jest w przykładowym scenariuszu kafejkowym równoważne
hasłom jednorazowym. Chyba, że kodem SMS zabezpieczane jest logowanie,
to byłoby dobre.

Pozdrawiam,
--
Konrad Zak
http://konradzak.com/powerofcli http://akademiaruchu.com.pl
http://prawo.uni.wroc.pl/~konrad/car-parts ceny części Peugeot