Re: Takie bogacze, a kredyty frankowe biorą. - Grupy dyskusyjne w eGospodarka.pl

Data: 2019-07-29 22:44:02
Temat: Re: Takie bogacze, a kredyty frankowe biorą.
Od: Szymon <...@w...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
W dniu 2019-07-29 o 21:21, Krzysztof Halasa pisze:
> - nie można ich podsłuchać (w sensie radiowym)

Rozumiem, że bezstykowe można podsłuchać. Z jakiej odległości?

> - nie można dobrać się do takiej karty zdalnie

Najistotniejsza informacja: z jakiej odległości?

> "Tokeny sprzętowe" są podobnie niebezpieczne co papierowe listy kodów.

OK. To jaka według Ciebie metoda autoryzacji jest najbezpieczniejsza?

>> "skompromitowanego terminala" - cóż to za nowomowa? ;-)
>
> A znasz lepsze określenie? BTW z takim określeniem osobiście spotykam
> się od ubiegłego wieku, a podobno jest ono starsze.

Musiałbym najpierw wiedzieć, co chciałeś powiedzieć. ;-) Skompromitować
można kogoś, rzadziej coś.

> Ale PESEL nie jest zamiast hasła. W tym przypadku PESEL może być
> dodatkowym problemem dla "włamywacza". Nikt nie będzie płakał na
> słabością tego dodatkowego zabezpieczenia, jeśli nie pozwoli ono na
> skuteczny atak.

Problem jest trochę innej natury. Jeśli do logowania potrzeba 3
zabezpieczeń, z czego jedno jest umieszczone np. na umowie, drugie w
wielu innych miejscach to właściwie realny pozostaje 1 z 3.

> To tak jak z PINem. Nawet tylko teoretycznie (a tym bardziej
> praktycznie) 4-cyfrowy PIN to bardzo słabe zabezpieczenie. Z jakiegoś
> powodu nikt poważnie nie proponuje jednak likwidacji PINów.

Czy rozpowszechnienie transakcji bezstykowych nie jest właśnie
likwidacją PIN-ów? Ok. połowa zakupów w sklepie to już takie transakcje.
Do 50 zł bez PIN-u. Przypomnę, iż jeszcze niedawno banki forsowały
podniesienie tego limitu.

Nie przypominam sobie, aby w przypadku płatności internetowych (także
ich popularność rośnie) potrzebny był PIN.

>>> Podejrzewam że dla typowego Kowalskiego zwykły notes z hasłami doskonale
>>> rozwiązuje ten problem.
>>
>> I musiałby go nosić przy sobie (praca/dom).
>
> Jasne że nie. Przelewy w pracy - zagrożenie bezpieczeństwa.
> "Skompromitowany terminal" :-)

Niekoniecznie przelewy w pracy korzystając ze swego prywatnego konta.
Taki notatnik musiałby zawierać wszelkie hasła.

> Ale nie jest to identyfikacja kategoryczna, no i co to ma do rzeczy,
> jeśli metody są zupełnie inne.

Metody są inne, bo cel jest inny.
Co to ma do rzeczy? To metoda autoryzacji. A tematem jest właśnie
autoryzacja i związane z nią bezpieczeństwo.