Dnia Fri, 04 Nov 2005 20:58:13 +0100, Jacek napisał(a):
> On Fri, 4 Nov 2005 12:39:17 +0000 (UTC), Jacek Osiecki
><j...@c...pl> wrote:

>>Dnia Wed, 2 Nov 2005 18:00:21 +0100, Michał 'Amra' Macierzyński napisał(a):
>>> Jacek Osiecki <j...@c...pl> wrote:
>>>> A mają prawdziwy token (z klawiaturą) czy taki jak w Lukasie?
>>> Jacek :) Z takim podejsciem, to ja bym Ci odradzal w ogole korzystanie z
>>> bankowosci internetowej :)

>>Wiesz, odrobina paranoi nikomu nie zaszkodzi ;)
>>Po prostu taki token jest o tyle bez sensu, że może go użyć ktokolwiek :(

> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
> SecureID), dają więc taką samą jakość uwierzytelniania (aka
> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
> wprowadza się z klawiatury.

Nie dają.
Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
poznał hasła dostępu do konta internetowego ofiary.

Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...

Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
keyloggerem...

> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
> transakcji przy jednoczesnym spełnieniu następujących warunków:
> - token generuje odpowiedź zależną od wpisanego kodu,
> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
> którą chcemy autoryzować (challenge/response).
> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.

Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
taki atak odporne.

[...]

> teoretycznie karty haseł jednorazowych też mogą zapewnić niezły poziom
> ochrony, choć są znacznie mniej wygodne w użyciu niż tokeny. Nie
> pamiętam już, gdzie schowałem kartę z Pekao24, bo jej prawie w ogóle
> nie muszę używać (poza zdefiniowaniem przelewów stałych lata temu).
> Czyli cały system jest chroniony przez jeden 4-cyfrowy PIN! To nawet w
> CitiOnline, gdzie cały system zabezpieczeń opiera się na jednym
> jedynym haśle statycznym, jest trochę lepiej, bo kod może być znacznie
> dłuższy.

No bez przesady - CitiOnline z legendarnym "numer karty + pin" jest nie do
pobicia jeśli chodzi o głupotę ;)
W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
na konto gazowni albo koleżanki... W Citi zrobi co zechce.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004