Dnia Thu, 9 Jun 2005 07:06:54 +0000 (UTC), Jurek Zielinski napisał(a):
> W artykule <s...@p...ani> Jacek Osiecki napisal(a):
>>> Co do karty kryptograficznej to aby była bezpieczna
>>> - wyświetlaczyk na którym pokaże konto docelowe i kwotę
>>> - klawiaturę na sobie wstukanie pinu podpisaną tą jedną transakcję
>>> wtedy można powiedziec że to jest bezpieczne, a przynajmniej ja nie widzę
>>> możliwości tego oszukać

>> Spokojnie może do tego służyć token - jako potwierdzenie transakcji np.
>> ostatnich 8 cyfr konta docelowego. Szkoda że osoby odpowiedzialne za
>> tworzenie systemów bankowości elektronicznej są na tyle niekompetentne, że
>> nie zrobią czegoś tak banalnego... :(

> Słusznie - to mogło by zadziałać, a jest proste
> z transakcji jest generowany skrót cyfrowy, wklepujesz w token,
> odpowiedzią podpisujesz transakcję.

Właśnie nie skrót cyfrowy! Kazać jawnie: "wpisz ostatnich 8 cyfr konta, na
które przelewasz pieniądze". Jak będzie skrót cyfrowy, to klient banku nie
będzie w stanie stwierdzić czy faktycznie dotyczy on tego przelewu, który
chce dokonać. Jeśli zaś bank będzie na niego krzyczał: "wpisz 8 ostatnich
cyfr konta" - to jeśli przelewa często pieniądze jest szansa że zauważy
podmianę numeru konta.

> Bank wykonuje identyczną operację po swojej stronie. Jeśli zostanie
> podmieniony jakikolwiek element transakcji - kod nie zostanie
> potwierdzony.

Ale rzecz w tym, że można "podmienić" całą transakcję - przesłać do banku
zlecenie zupełnie innego przelewu i wyświetlić klientowi "jego" przelew, ale
ze "złodziejskim" skrótem. Dlatego właśnie jasne ustalenie że skrótem jest 8
ostatnich cyfr konta jest zdecydowanie lepszym zabezpieczniem.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004