Re: BPH - czy warto ? - Grupy dyskusyjne w eGospodarka.pl

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!feed.news.interia.pl!news.cyf-kr.edu
.pl!not-for-mail
From: Jacek Osiecki <j...@c...pl>
Newsgroups: pl.biznes.banki
Subject: Re: BPH - czy warto ?
Date: Thu, 9 Jun 2005 07:14:48 +0000 (UTC)
Organization: Academic Computer Center CYFRONET AGH
Lines: 29
Message-ID: <s...@p...ani>
References: <d81hgr$9n0$1@node2.news.atman.pl> <d81i42$81j$1@inews.gazeta.pl>
<s...@p...ani> <d8288l$im8$1@news.dialog.net.pl>
<s...@p...ani> <42a5b12c$1@news.home.net.pl>
<d87er7$i61$1@nemesis.news.tpi.pl> <d87g2l$2fa$1@inews.gazeta.pl>
<d87hei$al8$1@inews.gazeta.pl> <d87k3k$nbe$1@inews.gazeta.pl>
<d88k8e$5ng$1@inews.gazeta.pl>
Reply-To: j...@c...pl
NNTP-Posting-Host: mainframe.hybrid.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: srv.cyf-kr.edu.pl 1118301288 1654 62.121.130.26 (9 Jun 2005 07:14:48 GMT)
X-Complaints-To: n...@c...edu.pl
NNTP-Posting-Date: Thu, 9 Jun 2005 07:14:48 +0000 (UTC)
User-Agent: slrn/0.9.8.0 (Linux)
Xref: news-archive.icm.edu.pl pl.biznes.banki:352061
[ ukryj nagłówki ]
Dnia Thu, 9 Jun 2005 05:31:58 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <d87k3k$nbe$1@inews.gazeta.pl> Bartol Partol napisal(a):
>>> lub hasła jednorazowe na kawałku kartki. No i w skrócie ani token ani
>>> hasło jednorazowe nie chroni przez zmianą transakcji w locie.

>> Bajki. Jeszcze nikt nie podal tutaj sensownego przepisu jak to zrobic. O
>> ekononicznym sensie polowania na hasla jednorazowe nie wspominajac.

> Również nikt nie podał ataku na klinta BPH przykładnie klikającego hasło w
> wirtualnej klawiaturce(potrafisz to podsłuchać?) i trzymającego klucz u
> siebie.

Odpowiedni trojan napisany "pod BPH" wszystko załatwi - pamiętanie pozycji
kliknięć, zacache'owanie pliku z kluczem. No problemo. Owszem, trzeba się
napracować ale jest to do zrobienia i pozwala na późniejsze spokojne
załatwienie transakcji... Tymczasem podstawienie "lewego" konta w locie jest
bez porównania trudniejsze, trzeba przejąć komunikację przeglądarki z
serwerem banku - a w zasadzie to wręcz jakoś zapanować nad wyświetlaniem
danych przez przeglądarkę.

A co do "wirtualnej klawiaturki" - to dopiero jest pokaz indolencji!
Cholernie niewygodna i pięknie umożliwia podejrzenie hasła osobie
postronnej. Dużo gorsze rozwiązanie od maskowanego hasła...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004