"J.F." <j...@p...onet.pl> writes:

>>> Sprzetowy token sprawy nie rozwiaze - jak wirus podmieni dane w
>>> transakcji.
>>Rozwiąże bardzo ładnie.
>
> Smiem twierdzic, ze nie - o ile nie bedzie mial kanalu lacznosci z
> banku.

Ależ będzie miał, oczywiście. Jednokierunkową.

>> A po co kolejny telefon. Dostęp radiowy, niepotrzebny i
>> niebezpieczny.
>
> Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
> podobne rozwiazania.
> Niewrazliwe na oswietlenie, male ekrany itp.

QR kod działa w praktyce bezproblemowo. Także w przypadku małego ekranu,
tych danych tam nie musi być nie wiadomo ile (bank na ekranie 4,3" jest
IMHO praktycznie nieużywalny, ale kod QR nie jest tu żadnym problemem).

Jeśli już w obecnych czasach bank proponuje nowe rozwiązanie, to powinno
to być rozwiązanie bezpieczne i wygodne. Zwłaszcza że można to zrobić
bez problemu.

> Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
> USB.

Ta koncepcja mi się nie podoba :-)

> Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
> niebezpieczny.

Nie, skaner QR kodu jest prosty, stosy np. WiFi, GSM, TCP/IP itd. takie
nie są.

> Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
> ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
> kodu :-)

USB ma jeszcze tę dodatkową wadę, że zmusza użytkownika do ufania
bankowemu tokenowi. Skąd wiadomo, jako co się ten USB przedstawi, i co
każe zainstalować. Kamera tego nie zrobi.

Poza tym tablety, kioski bez dostępu do USB itd.

> kradziez tokena i podstawienie falszywego bank tez powinien
> przewidziec czy wystarczy zapis, ze klient jest zobowiazany
> przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
> :-)

Kradzież - PIN przy starcie tokena.
Fałszywy bank - podpis cyfrowy komunikatu dla tokena.
Wszystko powinien przewidzieć.
--
Krzysztof Hałasa