Autoryzacje w banku pekao sa

[amman]

Mam na telefonie aplikację do generowania tokenów z pekao sa wiem jak ona działa. Nie potrzebuje do wygenerowania kodu z tokena dostępu do sieci.
A więc jak nie potrzebuje, to albo ma w bazie gotowe kody, albo generowane są wg określonego algorytmu. No chyba, że jest jeszcze jakaś inna, trzecia opcja.

[ptja]

Nie potrzebuje do wygenerowania kodu z tokena dostępu do sieci.

Wciąż nie o tym samym piszemy.
Dopóki masz telefon nie podłączony do sieci, to jest tak, jak piszesz.
Jeśli używasz go także do połączenia z bankiem, to istnieje niebezpieczeństwo, że zdeterminowany atakujący zmanipuluje działanie aplikacji i potwierdzisz przelew na konto włamywacza i na kwotę zupełnie inną niż widzisz na ekranie.

Użycie tokena to tzw. uwierzytelnienie dwuskładnikowe, czyli coś czasem określanie "coś wiem i coś mam". "Wiesz" hasło i "masz" token. Kiedy te dwa składniki są w jednym miejscu, to zabezpieczenie słabnie, bo atakujący nie ma już dwóch "twierdz" do zdobycia, a tylko jedną.

[amman]

To co piszesz, ma jak najbardziej sens. Poza tym nie słyszałem o żadnych większych wpadkach w bankowości mobilnej.

Jeżeli chodzi o aplikację PekaoToken, to nawet tutaj piszą, że można z niej korzystać nawet w trybie offline i że kody nie ulegają wyczerpaniu. A jak nie ulegają wyczerpaniu, to musi je generować algorytm.

Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.

[ptja]

Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.

Polecam "Kryptografię dla praktyków" Bruce'a Schneiera na początek. To nie jest aż tak proste