Dnia Thu, 9 Jun 2005 05:31:58 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):
>>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.

>> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
>> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.

> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
> siebie.

Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
napracować ale jest to do zrobienia i pozwala na późniejsze spokojne
załatwienie transakcji... Tymczasem podstawienie "lewego" konta w locie jest
bez porównania trudniejsze, trzeba przejąć komunikację przeglądarki z
serwerem banku - a w zasadzie to wręcz jakoś zapanować nad wyświetlaniem
danych przez przeglądarkę.

A co do "wirtualnej klawiaturki" - to dopiero jest pokaz indolencji!
Cholernie niewygodna i pięknie umożliwia podejrzenie hasła osobie
postronnej. Dużo gorsze rozwiązanie od maskowanego hasła...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004