Re: Bank z archaicznym uwierzytelnianiem. - Grupy dyskusyjne w eGospodarka.pl

Path: news-archive.icm.edu.pl!news.icm.edu.pl!.POSTED.nat.piap.pl!not-for-mail
From: Krzysztof Hałasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: Bank z archaicznym uwierzytelnianiem.
Date: Sat, 21 Dec 2024 12:02:11 +0100
Organization: ICM, Uniwersytet Warszawski
Message-ID: <8...@i...localdomain>
References: <vj58g6$u6s$1@news.chmurka.net> <vj7jjt$ihrt$1@dont-email.me>
<vj9lnj$r6h$1@news.chmurka.net>
<t...@4...net>
<vjccab$6dr$1@news.chmurka.net> <vk4c0r$ci0$1@news.chmurka.net>
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Injection-Info: news.icm.edu.pl; posting-host="nat.piap.pl:195.187.100.13";
logging-data="2723097"; mail-complaints-to="u...@n...icm.edu.pl"
Cancel-Lock: sha1:K2zvVzPpBwy1WIl67QSbyIou+VM=
Xref: news-archive.icm.edu.pl pl.biznes.banki:672100
[ ukryj nagłówki ]
Dominik 'Rathann' Mierzejewski <_...@g...net> writes:

>> To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
>> innego producenta tego przy niektórych mailach, ale jakoś przed
>> bankowością mam opory.
>
> Moim zdaniem właśnie w bankowości ma to sens, bo jest to o wiele
> trudniejsze do nadużycia przez przestępców. W szczególności jest odporne
> na ataki Man-in-the-middle.

Raczej wątpię. Nie wiem o jaki klucz chodzi, ale na MITM to może być
odporna aplikacja w telefonie, a nawet SMSy (aczkolwiek są tam inne
zagrożenia, i pozostaje kwestia tego, gdzie jest ten MITM). Natomiast
w jaki sposób taki klucz miałby chronić przed MITM?

Takie klucze chronią przed np. użyciem danej usługi przez kogoś innego
np. w środku nocy, bez wiedzy ofiary (że w ogóle coś się dzieje). Ale
do ochrony przed MITM potrzebne jest bezpieczne urządzenie, które będzie
służyć jako interface użytkownika przy danej operacji - taki klucz
raczej nie ma takiej funkcji.
--
Krzysztof Hałasa