On Fri, 4 Nov 2005 12:39:17 +0000 (UTC), Jacek Osiecki
<j...@c...pl> wrote:

>Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a):
>> Jacek Osiecki <j...@c...pl> wrote:
>>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?
>> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z
>> bankowosci internetowej :)
>
>Wiesz, odrobina paranoi nikomu nie zaszkodzi ;)
>Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :(

Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
SecureID), dają więc taką samą jakość uwierzytelniania (aka
autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
wprowadza się z klawiatury.

Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
transakcji przy jednoczesnym spełnieniu następujących warunków:
- token generuje odpowiedź zależną od wpisanego kodu,
- kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
którą chcemy autoryzować (challenge/response).
Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.

Warto pamiętać, że siłą zabezpieczenia jest cały system ochrony. Np.
teoretycznie karty haseł jednorazowych też mogą zapewnić niezły poziom
ochrony, choć są znacznie mniej wygodne w użyciu niż tokeny. Nie
pamiętam już, gdzie schowałem kartę z Pekao24, bo jej prawie w ogóle
nie muszę używać (poza zdefiniowaniem przelewów stałych lata temu).
Czyli cały system jest chroniony przez jeden 4-cyfrowy PIN! To nawet w
CitiOnline, gdzie cały system zabezpieczeń opiera się na jednym
jedynym haśle statycznym, jest trochę lepiej, bo kod może być znacznie
dłuższy.

Pozdrawiam,

Jacek