W dniu środa, 13 lutego 2019 11:10:22 UTC-6 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> >> > Niekoniecznie.
> >> > Sms niech przychodzi z informacja za co sie placi.
> >> > kod niech sie wpisuje z tokena.
> >>
> >> To samo można zrobić z listą papierową.
> > No nie. Bo wpisujesz koda z listy w stronke a stronka cie oklamuje.
> > A w sms widzisz za co placisz.
>
> Ale tak samo można wpisać kod z listy jak i kod z tokena. SMS można
> wykorzystać tak samo w obu przypadkach. Tyle że (w obu przypadkach) to
> zwiększa komplikację.
>

Oczywiscei ze zwieksza. Bo taka natura utrudniania zlodziejom zycia.
Tyle ze przy kodzie z kartki nie masz informacji zwrotnej za co placisz bo bank sie z
toba komunikuje tylko stronka a ta moze byc podstawiona.
A podstawic stronke i oszukac sms trudniej niz sama stronke podstawic.

> > Oczywiscie ze moze. Ale mozna miec osobny fon do banku. taki bez androida/iosa.
> > Trudno bedzie go shackowac i trudno bedzie aby zlodziej znal jego
> > numer jak do czego innego nie uzywamy.
> >
> > BA! Mozna miec tradycyjny telefon z apka javoska robiaca za token.
> > Biorac pod uwage ponizsze koszt bylby na poziomie tokena rsa.
>
> Owszem. Ale ilu klientów robiłoby coś takiego? Klient nie może "wybrać"
> bezpieczeństwa, jego trzeba zmusić do bezpiecznych zachowań (co
> udowodniono w ciągu przynajmniej ostatnich kilkudziesięciu lat).
>

To juz inna sprawa. Rownie dobrze mozesz zapytac ilu ludzi zgodzi sie nosic pek
kluczy wazacy pol kilo. Albo te pol kilo miec rozlazone na 3-5 pekow kluczy (auto,
garaz, dom, praca, piwnica, furtka).
Gdzies granica upierdliwosci jest.
Przy dodatkowym fonie zamiast listy jednorazowej nie jest to masakryczne.

> Typowy klient użyje telefonu z Androidem oraz przeglądarki/aplikacji na
> tym samym telefonie, a o bezpieczeństwie ew. będzie myślał "po
> szkodzie". Nie żeby to nie dotyczyło specjalistów - tak samo dotyczy
> zarówno speców od bezpieczeństwa, jak i np. od statystyki :-)
>

No nie, Bank nie napisze wersji na smartfona. W etapie przejsciowym bedzie to apka na
"stara jave" ze starego fona. Potem na nowszy model ale nadal "dumbphone"

Zanadto komplikujesz temat. Klientowi nie dajemy wyboru. Dajemy rozwiazanie. Dobre.
Nieco upierdliwe ale dobre. Tak jak z noszeniem kluczy.

> >> Zrobili już tak, by włamywacze (albo "włamywacze", nie wiem) nie mogli
> >> od nich dostać listy seedów nowych tokenów?
> >>
> >
> > Jesli zakladasz az taki sceptyczny scenariusz to nic nie poradzisz.
>
> Tzn. jaki "sceptyczny"? Przecież to się wydarzyło. W zaufaniu nie ma
> "do trzech razy sztuka". Inna sprawa, że wiele osób (ja zresztą także)
> przewidywało, że coś takiego zapewne działa - nie myślałem tylko, że
> dostęp do takich informacji uzyskają tak łatwo ludzie spoza 3-literowych
> firm (pamiętam, że często powtarzanym argumentem było to, że przecież
> używają tego banki oraz inne "pentagony").

Sceptyczny bo jak zakladamy ze wlamywacze wejda w posiadanie bazy danych banku czy
tokenow to zadne rozwiazanie nie pomoze (w zaleznosci od tego co ukradna ale
zakladamy ze ukradna to po czym bank rozpoznaje klienta).