s...@g...com writes:

> Tyle ze przy kodzie z kartki nie masz informacji zwrotnej za co
> placisz bo bank sie z toba komunikuje tylko stronka a ta moze byc
> podstawiona.

Uparcie porównujesz SMS do kodu papierowego. Przecież napisałem, że
jedno nie wyklucza drugiego. Dokładnie tak samo, jak SMS nie wyklucza
kodu z tokena. Kwestia uciążliwości.

> No nie, Bank nie napisze wersji na smartfona. W etapie przejsciowym
> bedzie to apka na "stara jave" ze starego fona. Potem na nowszy model
> ale nadal "dumbphone"

Daj spokój, coś takiego jest możliwe w jednostkowych, "akademickich"
przypadkach, ale nie na masową skalę.

> Sceptyczny bo jak zakladamy ze wlamywacze wejda w posiadanie bazy
> danych banku czy tokenow to zadne rozwiazanie nie pomoze (w zaleznosci
> od tego co ukradna ale zakladamy ze ukradna to po czym bank rozpoznaje
> klienta).

Nie zakładamy niczego takiego. Zakładamy, że włamywacze (lub
"włamywacze") wejdą w posiadanie bazy danych producenta tokenów
(są w posiadaniu takiej bazy).
Przy czym to wcale nie jest pesymistyczne założenie. Każde inne byłoby
naiwnością.

Niby dlaczego użytkownik (np. firma) nie mógłby sam inicjalizować seedów
swoich tokenów (nowych lub używanych)? Wystarczy generator losowy
i odpowiednia procedura. Aaa, tylko wtedy agencje nie miałyby
łatwiejszego dostępu do np. jakiegoś tam "irańskiego programu
atomowego", albo np. do grup niezadowolonych z działań rządów.

Z tym że oczywiście podobne tokeny są kiepskim rozwiązaniem w kontekście
bankowości, lepsze byłyby takie, które podpisywałyby zlecenia.
--
Krzysztof Hałasa