On 2019-08-10, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> ataku masowego. Zastrzeżenia o >>targetowaniu<< bogatych
>> i znanych osób też umieściłem.
>
> Daj spokój. "Bezpieczeństwo" podobnych rozwiązań opiera się na tym, że
> są możliwości jeszcze gorsze. Gdyby tylko np. bank sobie życzył, może to
> załatwić naprawdę bezpiecznie (szacowany koszt to ułamek ceny telefonu,
> do powiedzmy ceny taniego telefonu).

Mhm. Mówisz o tokenach sprzętowych z zerową dostępnością np. dla osób
niewidomych, czy o czymś jeszcze równie ciekawym? A zarówno "kartę
kodów" jak i token sprzętowy ta sama osoba która Cię "grzmotnie"
w celu nałożenia okularów spokojnie ukradnie i wykorzysta
bez żadnych dodatkowych przeszkód. Albo nawet nie będzie
musiała Cię grzmotnoć.

> Wersje z biometrią wprowadzają zagrożenie, które jest niezależne od
> klienta, klient nie ma na to żadnego wpływu, a jednak skutki mogą go
> obciążać (przynajmniej w praktyce).

Biometria nie jest jedynym zabezpieczeniem, tylko "jednym z wielu".
I jak na razie wszystkie pomysły jej przełamania wymagają kontaktu
z ofiarą.

> Ja wiem, że biometria jest mniej niebezpieczna niż klienci podający
> hasła jednorazowe podrobionym stronom (itp). Równie dobrze można
> argumentować, że zamek "bębenkowy" noname jest bezpieczniejszy niż
> zamknięcie na drewniany skobel.

No ale serio, trzeba iść w ekstremum i argumentować, że ekstremalnie
trudna do złamania technologia jest słaba i niemalże bezużyteczna, bo
złamali ją wietnamczycy raz, w warunkach laboratoryjnych, mając
nieograniczony dostęp?

I pewnie sygnalizacja świetlna to też się nadaje "do kosza", bo przecież
nie raz się słyszało, że pieszy na przejściu mimo "zielonego" został
potrącony, nie? Więc się nie sprawdza, niech panuje zasada "jak kto
chce".

--
Wojciech Bańcer
w...@g...com