Dnia Sat, 05 Nov 2005 14:24:12 +0100, Jacek napisał(a):
> On Sat, 5 Nov 2005 11:45:58 +0000 (UTC), Jacek Osiecki
><j...@c...pl> wrote:

>>Po prostu bezpieczeństwo zwiększone dzięki użyciu niezależnego komponentu.
>>To tak samo jak pomysł "bezpiecznych" kart z kluczem, do których PIN
>>wpisujemy z klawiatury komputera - czyli można go chamsko przeczytać
>>keyloggerem...

> Jestem gotów się zgodzić w jednym przypadku: ktoś ukradł Ci token i(!)
> przechwycił PIN.

Ale taki przypadek wcale nie jest jakiś wielce nieprawdopodobny, jeśli tylko
złodziej zasadzi się na konkretną ofiarę - przyznasz chyba?

> W pozostałych przypadkach oba sposoby *uwierzytelniania* są równoważne
> - znajomość PINu bez posiadania tokena nic nie daje. Nb serwer SecureID
> blokuje token w przypadku próby zgadywania PINów.

Co nie zmienia faktu, że token z klawiaturą wprowadza jeszcze jeden poziom
zabezpieczeń.

>>> Tokeny z klawiaturą zapewnią wyższy poziom zabezpieczenia konkretnych
>>> transakcji przy jednoczesnym spełnieniu następujących warunków:
>>> - token generuje odpowiedź zależną od wpisanego kodu,
>>> - kod ten jest jednoznacznie powiązany (jakiś hash) z transakcją,

>>Wspominałem już kilka razy na tej grupie: dopiero gdy zamiast nic nie
>>mówiącego "hashu transakcji" na tokenie trzeba będzie wklepać np. 8
>>ostatnich cyfr konta na które przelewamy pieniądze, atak "man in the middle"
>>będzie nieskuteczny. Czyli np. rozwiązanie które było w Pekao24 nie było na
>>taki atak odporne.

> Nie znam rozwiązania o którym wspominasz, ale hash transakcji powinien
> (jak podpis cyfrowy) obejmować komplet danych (co najmniej numery kont
> i kwotę). Tutaj jednak tylko teoretyzuję, bo w żadnym z banków, w
> których mam konta, nie ma takich zabezpieczeń.

Problem w tym, że hash transakcji nic nie mówi użytkownikowi - więc jeśli
złodziej przejmie kontrolę nad komputerem ofiary to może ona nieświadomie
zatwierdzić wysłanie przelewu na jego konto. Być może dla wymagających
użytkowników można by było wprowadzić podwójne zabezpieczenie - najpierw
w tokenie wpisujemy 8 ostatnich cyfr konta, a dopiero gdy przejdziemy ten
etap - wpisujemy hash transakcji. Może uciążliwe, ale miałoby miejsce tylko
przy wpisywaniu kont do stałych przelewów i przy przelewach jednorazowych
a w zamian dawałoby 100% zabezpieczenie konta przed złodziejami.

W TelePekao24 niestety było tylko podpisywanie hasha transakcji :(

>>W Twoim Pekao24 w najgorszym wypadku ktoś przeleje wszystkie Twoje pieniądze
>>na konto gazowni albo koleżanki... W Citi zrobi co zechce.

> Zapomniałeś o przelewach do Urzędu Skarbowego. Jak ktoś Ci przeleje
> tam pieniądze, to nie dostaniesz ich z powrotem, nawet gdybyś opłacił
> podatki do końca życia ;-)

Pomyliłeś z ZUSem ;)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004