W dniu niedziela, 10 lutego 2019 15:46:48 UTC-6 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> > Niekoniecznie.
> > Sms niech przychodzi z informacja za co sie placi.
> > kod niech sie wpisuje z tokena.
>
> To samo można zrobić z listą papierową.
No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
A w sms widzisz za co placisz.

Szansa na to ze ci kompa shackuja/sphisinguja + na telefon wysla sms + zrobia zeby
poprawny sms z banku nie przyszedl jako drugi jest minimalna.

A jak juz tyle by ktos ogarnal to nijak sie nie uchronisz, niezywy w butach.

> Ale SMS może być podrobiony. Taki token tego nie stwierdzi.

Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego numer jak do czego
innego nie uzywamy.

BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.

Jedyny feler to rozmiar i potrzeba ladowania. No, dwa felery. Ale jak ktos chce
bezpiecznie to nie jest to az takie upierdliwe.


>
> > Te tokeny nie sa az tak drogie:
> > http://www.tokenguard.com/RSA-SecurID-SID700.asp
> >
> > Mysle ze bank mogl by spore upusty dostac.
>
> Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
> od nich dostać listy seedów nowych tokenów?
>

Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz. Zawsze cie
przekreca, zrobia dowod kolekcjonerski i pojda do banku wybrac kase z okienka. Gdzies
tam sie uda jakas kasjerke przekonac ze reka byla zlamana i dlatego podpis koslawy
ostatnio...

> Kody papierowe nie mają listy seedów u wielkiego brata.
>

Ale sa w bazie. Zawsze mozna ukrasc baze.
Nie brnijmy az tak daleko w paranoje.

Juz tu kiedys dyskutowalismy i temacie. Jak cos zabezpieczone to i odbezpieczyc
mozna.
Skupmy sie na tym aby byle zlodziej sie do kowalskich i malinowskich masowo dobrac
nie mogl.