Vlákno názorů k článku USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty od pepak - Úplně by stačilo to, co bylo v zákoně...
-
pepak (neregistrovaný)Úplně by stačilo to, co bylo v zákoně o platebním styku až do loňského listopadu: že za veškeré transakce, u kterých není přítomna karta nebo není použit PIN, odpovídá ten, kdo kartu vydal.
Dnes už to v zákoně není, ale víceméně to funguje i dobrovolně (banky obvykle škodu radši zaplatí ze svého než aby to nechaly příliš rozmazat v médiích). -
Víte ono to s tou SMS je sice krásné, ale i to není nějaké univerzální kryptografické řešení. Vemte si třeba mého bratra. Svůj HTC android nabíjí zásadně připojením k USB. No, a kde je problém číst SMS přes USB kabel? Nikde. Kde je pak problém ukrást peníze chráněné SMSkou? No, chce to práci a štěstí na vola s USB kabelem, ale nic neproveditelného to není. Potom už jen papá penízky.
Token jako takový je to nejlepší řešení, je-li správně používán a je-li podporován aplikacemi. Což obvykle není, nebo ne dostatečně uživatelsky přívětivě.
Myslím, že nejlepší řešení by bylo mít hesla šifrované master klíčem/heslem, ideálně odemčená po zasunutí USB disku do počítače např. pomocí tokenu. Jenže to vyžaduje možnost instalovat do počítače svůj software nebo jej aspoň spouštět z toho disku, což není vždy pravda. Prostě nejbezpečnější úložiště je pořád hlava, ale ta je určitě méně spolehlivá, než zmiňovaný token z článku. -
an (neregistrovaný)Moje autorizacni sms chodi v sifrovany podobe, na simtoolkit a jsou chraneny dalsim pinem. Pocitam, ze nejaky usb utok by na to sel v zavislosti na typu telefonu, protoze mozny je (teoreticky) vsechno. Otazka zni, jestli by se vyplatil s ohledem na to, ze vysledkem bude jen moznost se prihlasit k uctu (pokud se ja neprihlasim driv), nebo potvrdit MOJI bankovni operaci, protoze ta autorizace je pomerne zavisla na castce a cisle protiuctu, a navic jednorazova, mam pocit (ale uznavam, jist si nejsem.
-
Hexer (neregistrovaný)Token mi prijde jako nespolehliva alternativa... a IB (internet banking) bych ho nepouzival... PIN vam odkoukne kde kdo a pak staci chvilka nepozornosti a je problem...
Nechapu ze vsechny IB transakce nejsou vazany alespon na potvrzovaci SMS... neni to sice vsehospasny nastroj ale omezi ruzne spy utoky (keyloggery atp.)
Co me ale desi ze vseho nejvice je jednoduchost s jakou prochazi platby kartou pres internet... jen zadate cislo karty jeji platnost a opisete par cisel ze zadni strany... divim se ze takovych utoku neni mnohem vice kdyz si vemete ze kartu si muze prohlednout kde kdo (treba kdyz platite na vlakovem nadrazi pani si dokonce bere kartu do okynka kde ani poradne nevidite co s ni dela) podle me by vsechny tyhle IB mely prave projit aspon autorizacni SMS