Wojciech Bancer <w...@g...com> writes:

> A który nie poda Ci imion + nazwiska, adresu zamieszkania i salda?

Saldo poda - ale nic mi z niego.
Adres zamieszkania, skąd miałby wiedzieć? :-) Też niepotrzebny.

> PESEL (lub NIP) masz np. w numerze rachunku do skarbówki, wystarzy że
> np, opłacasz co miesiąc przelew za podatek PPE (ryczałtowy).

Co miesiąc - to chyba trzeba "spełnić" jakieś ciekawe wymagania.
Tak czy owak, to nie są tajne dane, więc jeśli bank na ich podstawie
udziela dostępu do konta...

> Poza tym wektor ataku może być inny, tzn. po przejęciu przeglądarki
> można poczekać na to by użytkownik sam zechciał zrobić jakąś operację
> wymagającą potwierdzenia, podmienić wywołanie na definiujące przelew
> zaufany i potem już z górki.

No ale z SMSami to może nie przejść, jest (powinien być) numer konta.
Wystarczy rzut oka i od razu widać, że coś jest nie tak. Jeśli ktoś nie
sprawdza danych z SMSa, to ma problem - ale *może* sprawdzić.
W przypadku pojedynczego urządzenia i jego przejęcia - nie ma żadnej
obrony.

> 2FA nie ma chronić przed przejęciem dostępu
> do konta ze znanego urządzenia, tylko przed przejęciem dostępu z poziomu
> nieznanego, niezaufanego urządzenia.

Gdyby chodziło tylko o to, wystarczyłyby zdrapki. Nawet nie SMSy.
Natomiast obecnie chodzi o to, by całe bezpieczeństwo nie opierało się
na pojedynczym mechanizmie, który można złamać.
--
Krzysztof Hałasa