Michal Jankowski <m...@f...edu.pl> writes:

> W dniu 10.12.2020 o 22:20, Kamil Jońca pisze:
>> Michal Jankowski <m...@f...edu.pl> writes:
>>
>>> W dniu 10.12.2020 o 19:35, Kamil Jońca pisze:
>>>
>>>>
>>>>> jaki sposób klient to zauważy, jeśli aktywację próbuje zrobić
>>>>> złodziej?
>>>> Np. Będzie musiał to potwierdzić w systemie transakcyjnym przez WWW.
>>>> Albo dostanie maila/sms.
>>>> Naprawdę różnie.
>>>
>>> Jeszcze raz. Złodziej przejął telefon, więc to złodziej dostanie sms.
>>>
>>> Złodziej przejął hasło do konta, więc to złodziej potwierdzi przez WWW.
>>>
>>> W jaki sposób przejęcie apki jest bardziej chronione?, bo jak babcię
>>> kocham nie wiem.
>> Sprowadzasz wszystko do "przejęcia urządzenia",
>> Ale zrozum że jest wiele innych sytuacji:
>> - wyłudzenie karty (swap-sim)
>> - próba instalacji na innym urządzeniu, przy zdobyciu tylko hasła.
>> -...
>>
>
> Nie rozumiem.
>
> Będę uparty:
>
> Została postawiona teza, że zatwierdzanie apką jest bezpieczniejsze od
> zatwierdzania sms-ami, ponieważ złodziej może łatwiej przejąć smsy niż
> apkę.
>
> Bardzo proszę (niekoniecznie Ciebie) o argumenty, że tak jest. To jest
> teza wyjściowa.
>
> Mój kontrargument jest taki:
>
> Do przejęcia konta, które ma przelewy zatwierdzane sms-ami, trzeba:
> 1. Przejąć numer telefonu (kartę sim)
> 2. Przejąć przeglądarkę (hasło do banku, podłożony link, cokolwiek)
>
> Wydajemisie, że jak złodziej ma 1. i 2. to sobie aktywuje apkę na
> swoim telefonie.

No właśnie nie.

Masz aplikację na telefonie, której używasz do uwierzytelniania.
Jeśli złodziej przejmie sim (ale nie telefon!) to do zainstalowania
drugiej aplikacji, na "jego" telefonie będzie potrzebna zgoda "twojej"
aplikacji.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/