Odnosze wrażenie, że hasła jednorazowe i tokeny ni jak się mają do
bezpieczństwa...

Prosty scenariusz:
Pewien klient daje się złapać na phishingu - wchodzi na jakąś podejrzaną
strone myśląc, że to strona jego banku, ale nieświadom niebezpieczeństwa
loguje się i dokonuje pewnej tranzakcji. Podejrzana strona, to nie jakiś
prosty formularz do wyciągania haseł, ale bardziej wyrafinowany system
oszusta. Otoż, ten system równocześnie symuluje działanie klienta na
prawdziwej stronie banku:
1) klient loguje sie na stronie oszusta
2) system oszusta, przy użyciu właśnie uzyskanych danych loguje się na
prawdziwą strone banku
(system oszusta może nawet pokazać błąd w przypadku błędnego logowania)
3) klient chce dokonać tranzakcji - wypełnia stosowny formularz i przesyła
go do strony oszusta
4) system oszusta przekazuje te dane na prawdziwą stronę banku zmieniając
jedynie numer konta oraz kwote przelewu
5) system bankowy odpowiada prośbą o podanie hasła jednorazowego, bądź
(kiedy używamy tokena) generuje liczbę, która trzeba wpisać w token. System
bankowy w tym momencie prawdopodobnie bedzie przesyłał również szczegóły
przelewu (tak żeby klient sobie zobaczył, czy sie nie pomylił, no i w
efekcie potwierdził tranzakcje)
6) system oszusta, przekazuje prośbe do przeglądarki klienta (jeśli
potrzebne zmienia informacje o numerze konta i kwocie na prawidłowe)
7) klient wpisuje hasło jednorazowe / liczbę otrzymaną z tokena i wysyła
8) system oszysta przekazuje to dalej - do banku i przelew został
potwierdzony.

O ile hasła jednorazowe nie wymagają tworzenia systemu, który działa "w
locie", to tokeny już tak, bo liczby przez nie generowane mają swój limit
ważności czasowej.

pozdr.
kx