Strona 2 z 2
: poniedziałek 21 wrz 2015, 14:39
autor: amman
Mam na telefonie aplikację do generowania tokenów z pekao sa wiem jak ona działa. Nie potrzebuje do wygenerowania kodu z tokena dostępu do sieci.
A więc jak nie potrzebuje, to albo ma w bazie gotowe kody, albo generowane są wg określonego algorytmu. No chyba, że jest jeszcze jakaś inna, trzecia opcja.
: poniedziałek 21 wrz 2015, 16:04
autor: ptja
amman pisze:Nie potrzebuje do wygenerowania kodu z tokena dostępu do sieci.
Wciąż nie o tym samym piszemy.
Dopóki masz telefon nie podłączony do sieci, to jest tak, jak piszesz.
Jeśli używasz go także do połączenia z bankiem, to istnieje niebezpieczeństwo, że zdeterminowany atakujący zmanipuluje działanie aplikacji i potwierdzisz przelew na konto włamywacza i na kwotę zupełnie inną niż widzisz na ekranie.
Użycie tokena to tzw.
uwierzytelnienie dwuskładnikowe, czyli coś czasem określanie "coś wiem i coś mam". "Wiesz" hasło i "masz" token. Kiedy te dwa składniki są w jednym miejscu, to zabezpieczenie słabnie, bo atakujący nie ma już dwóch "twierdz" do zdobycia, a tylko jedną.
: wtorek 22 wrz 2015, 09:49
autor: amman
To co piszesz, ma jak najbardziej sens. Poza tym nie słyszałem o żadnych większych wpadkach w bankowości mobilnej.
Jeżeli chodzi o aplikację PekaoToken, to nawet
tutaj piszą, że można z niej korzystać nawet w trybie offline i że kody nie ulegają wyczerpaniu. A jak nie ulegają wyczerpaniu, to musi je generować algorytm.
Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.
: wtorek 22 wrz 2015, 15:15
autor: ptja
amman pisze:Przykład takiego algorytmu to: randomowa cyfra * 2 to wszystko podzielone przez 3, podniesione do potęgi trzeciej - wydrukuj 4 pierwsze cyfry. To oczywiście taki przykład.
Polecam "Kryptografię dla praktyków" Bruce'a Schneiera na początek. To nie jest aż tak proste
