Michał Jankowski <m...@f...edu.pl> writes:

> Jak się nie obrócić, dupa z tyłu.

No niestety :-(

> W zasadzie wymóg sms ORAZ zdrapka dawałby spore bezpieczeństwo...

Podejrzewam że bankowcy to ocenili i odrzucili, niestety.

W takiej sytuacja zdrapka chroni nas przed sytuacją, w której np.:
a) ktoś nam "shackował" telefon i jednocześnie ma dostęp do naszego
komputera, ale np. długo nie wykonujemy operacji wymagających
zdrapki, i włamywacz mógłby siedzieć dzień i noc czekając na nasz
ruch. Raczej nieistotny przypadek.
b) ktoś wyłudził od operatora kartę SIM z naszym numerem, albo
np. jest w stanie odbierać SMSy "za nas", warunek na komputer j.w.,
(wtedy zorientujemy się że coś jest nie tak, bo nasz telefon nie
dostanie prawidłowego SMSa i nie wpiszemy kodu ze zdrapki - chyba że
ten ktoś potrafi sprawić, że dostanie).
c) jakieś nie-internetowe scenariusze np. z interfejsem białkowym, ale
może to bardziej kwestia procedur niż techniki.

To jest niewątpliwie postęp, i w sytuacji wyłudzenia karty SIM nawet
chyba znaczny, ale wciąż nie chroni nas to przed infekcją jednocześnie
telefonu i komputera (czyli przed celowanym atakiem, bo szansa na to, że
tylko przypadkowo mamy tego samego włamywacza w komputerze i telefonie
jest, nawet uwzględniając paradoks dnia urodzin, raczej zbyt mała, by
pokryć statystycznie koszty całego włamania).

Nie znam (m)bankowych statystyk, ale podejrzewam, że głównym problemem
tego typu są obecnie papierowe listy haseł połączone z włamem do peceta,
wykonanym przez jakieś malware. Na to hasła SMSowe działają względnie
dobrze (chyba że ktoś nie czyta dokładnie treści SMSów, to jest
problem).
--
Krzysztof Hałasa