Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.
Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.
Mno nevim jestli ti úplně rozumím ale takto jak to popisujes jsem si to představoval původně než mně tu pánové opravili.
tj:
Zadám pin, vygeneruje se nějaké jednorázové heslo které se zada do web formulare. Tam to prevezme malware(v prohlížeči/PC), a misto transakce kterou mi ukazuje odesle transakci podvodnou. A je vymalováno.
(To je v podstatě stejné jako při použití SMS , tam ale musí být mallware jak na PC, tak na mobilu, což je o fous těžší a tudíž i o fous bezpečnější)
Alternativně s tokenem - ala čipová karta, mallware(v prohlížeči/PC) sice zobrazuje co uzivatel zadal ale pri odeslani k podpisu do tokenu/karty předhodí podvodnou transakci, to už uživatel nikde nemůže vidět protože ten token/čipová karta nemá žádný displej, takže jen zadá pin a tím to podpíše. Následně malware dokončí falešnou transakci. A je vymalováno.
Pokud jde ale o situaci tak jak ji popsali Filip Jirsák a Pako, kde jde o token v podobě extra krabičky s displejem/klávesnicí takže uživatel nezávisle na potenciálně zavirovaném PC vidí a/nebo zadává údaje o transakci. A z toho se teprve generuje jednorázový kód. Tak je to úpně jiná situace, a něco takového považuju za mnohem bezpečnější než SMS.
Možná bude čas na změnu banky
, nějaké další typy kromně RB a eBank?
46 Odpovědí
18366 Zhlédnutí