Mam na telefonie aplikację do generowania tokenów z pekao sa wiem jak ona działa. Nie potrzebuje do wygenerowania kodu z tokena dostępu do sieci.
A więc jak nie potrzebuje, to albo ma w bazie gotowe kody, albo generowane są wg określonego algorytmu. No chyba, że jest jeszcze jakaś inna, trzecia opcja.
Autoryzacje w banku pekao sa
Wciąż nie o tym samym piszemy.amman pisze:Nie potrzebuje do wygenerowania kodu z tokena dostępu do sieci.
Dopóki masz telefon nie podłączony do sieci, to jest tak, jak piszesz.
Jeśli używasz go także do połączenia z bankiem, to istnieje niebezpieczeństwo, że zdeterminowany atakujący zmanipuluje działanie aplikacji i potwierdzisz przelew na konto włamywacza i na kwotę zupełnie inną niż widzisz na ekranie.
Użycie tokena to tzw. uwierzytelnienie dwuskładnikowe, czyli coś czasem określanie "coś wiem i coś mam". "Wiesz" hasło i "masz" token. Kiedy te dwa składniki są w jednym miejscu, to zabezpieczenie słabnie, bo atakujący nie ma już dwóch "twierdz" do zdobycia, a tylko jedną.
--
pozdrawiam,
Jarek Andrzejewski
pozdrawiam,
Jarek Andrzejewski
To co piszesz, ma jak najbardziej sens. Poza tym nie słyszałem o żadnych większych wpadkach w bankowości mobilnej.
Jeżeli chodzi o aplikację PekaoToken, to nawet tutaj piszą, że można z niej korzystać nawet w trybie offline i że kody nie ulegają wyczerpaniu. A jak nie ulegają wyczerpaniu, to musi je generować algorytm.
Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.
Jeżeli chodzi o aplikację PekaoToken, to nawet tutaj piszą, że można z niej korzystać nawet w trybie offline i że kody nie ulegają wyczerpaniu. A jak nie ulegają wyczerpaniu, to musi je generować algorytm.
Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.
Polecam "Kryptografię dla praktyków" Bruce'a Schneiera na początek. To nie jest aż tak prosteamman pisze:Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.
--
pozdrawiam,
Jarek Andrzejewski
pozdrawiam,
Jarek Andrzejewski