On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
<j...@c...pl> wrote:

>...
>> Tokeny bez klawiatury także wymagają użycia PINu (przynajmniej
>> SecureID), dają więc taką samą jakość uwierzytelniania (aka
>> autentykacji, identyfikacji) użytkownika jak tokeny, do których PIN
>> wprowadza się z klawiatury.
>
>Nie dają.
>Token bez pinu (czyli "secure"RSA) daje tylko tyle co lista haseł
>jednorazowych bez zdrapki. Każdy może go użyć, jak już tylko innymi metodami
>poznał hasła dostępu do konta internetowego ofiary.
>
>Przy tokenie klawiaturkowym można nawet podmienić ofierze komputer, logować
>wszystko co się da - a i tak bez PINu do tokena nic nie zdziałasz...
>
>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>keyloggerem...


Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
przechwycił PIN. W pozostałych przypadkach oba sposoby
*uwierzytelniania* są równoważne - znajomość PINu bez posiadania
tokena nic nie daje. Nb serwer SecureID blokuje token w przypadku
próby zgadywania PINów.


>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>> - token generuje odpowiedź zależną od wpisanego kodu,
>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,
>> którą chcemy autoryzować (challenge/response).
>> Tylko w takim przypadku ataki man-in-the-middle będą nieskuteczne.
>
>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>taki atak odporne.

Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
(jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
których mam konta, nie ma takich zabezpieczeń.


> ...
>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>na konto gazowni albo koleżanki... W Citi zrobi co zechce.

Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
podatki do końca życia ;-)

Pozdrawiam,

Jacek