g...@g...com writes:

> Wlasnie zastanawialem sie nad powrotem do hasel papierowych.
> Po serii wpadek z haslami sms, duplikatami kart sim uwazam ze
> autoryzacja sms to sciema bankow. Mam takie hasla ale nie uzywane.

Tzn. hasła SMS są bezpieczniejsze w sytuacji "skompromitowanego"
komputera używanego do przeprowadzania transakcji. W sumie jedne
i drugie mają zapewniać dodatkową ochronę właśnie w takiej sytuacji.
Problemem są "celowane" ataki, na takie "zwykły klient" nic nie poradzi.

Faktycznie token byłby lepszy, ale to musiałby być specjalny token,
taki, który przy wyliczaniu wyniku bierze pod uwagę szczegóły operacji.
Jeśli już taki token, to dlaczego nie miałby po prostu podpisywać
cyfrowo zleceń. Wtedy ekran, pewnie 320x240, jakiś interface do
pobierania danych (kamera + kod QAR itp.), coś do wysyłania wyników
(bez podpisu wystarczy wyświetlić kod wyjściowy).

No i zaraz mogłoby się okazać, że klienci woleliby soft-token, co dla
jednych byłoby absolutnie sensowne (wydzielone pomieszczenie i stacja
spełniająca surowe warunki), a w przypadku innych sprowadzałoby się do
uruchomienia malware na zainfekowanym komputerze albo innym telefonie.
Nieautoryzowana ingerencja w tokeny, dziury umieszczone na etapie
produkcji, itd. - bezpieczeństwo to nie jest prosta i tania sprawa :-(
--
Krzysztof Hałasa