s...@g...com writes:

>> > Niekoniecznie.
>> > Sms niech przychodzi z informacja za co sie placi.
>> > kod niech sie wpisuje z tokena.
>>
>> To samo można zrobić z listą papierową.
> No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
> A w sms widzisz za co placisz.

Ale tak samo można wpisać kod z listy jak i kod z tokena. SMS można
wykorzystać tak samo w obu przypadkach. Tyle że (w obu przypadkach) to
zwiększa komplikację.

> Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
> Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego
> numer jak do czego innego nie uzywamy.
>
> BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
> Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.

Owszem. Ale ilu klientów robiłoby coś takiego? Klient nie może "wybrać"
bezpieczeństwa, jego trzeba zmusić do bezpiecznych zachowań (co
udowodniono w ciągu przynajmniej ostatnich kilkudziesięciu lat).

Typowy klient użyje telefonu z Androidem oraz przeglądarki/aplikacji na
tym samym telefonie, a o bezpieczeństwie ew. będzie myślał "po
szkodzie". Nie żeby to nie dotyczyło specjalistów - tak samo dotyczy
zarówno speców od bezpieczeństwa, jak i np. od statystyki :-)

Podobnie np. z backupem, z tym że tu groźba awarii dysku jest bardziej
namacalna i dlatego niektórzy jednak mają backup.

>> Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
>> od nich dostać listy seedów nowych tokenów?
>>
>
> Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz.

Tzn. jaki "sceptyczny"? Przecież to się wydarzyło. W zaufaniu nie ma
"do trzech razy sztuka". Inna sprawa, że wiele osób (ja zresztą także)
przewidywało, że coś takiego zapewne działa - nie myślałem tylko, że
dostęp do takich informacji uzyskają tak łatwo ludzie spoza 3-literowych
firm (pamiętam, że często powtarzanym argumentem było to, że przecież
używają tego banki oraz inne "pentagony").
--
Krzysztof Hałasa