Co takhle karta s PIN padem + displejem který ukáže řetězec k podepsání: Jaká častka a na jaký účet? Proti Tomuto už jedině utajená kamera, nebo nůž pod krkem...
Jak to udělat? stačí že se to bude chovat jako mass storage.
Zapíši (aplikace) na takový "USB-disk" soubor k podepsání v předepsaném (čitelném) tvaru.
Pinpad ukáže podepisovaný řetězec (viz výše) a já si pohledem ověrím CO PODEPISUJI.
Zadám pin a na "USB-disku" se objeví podpis řetězce.
Podpis přečtu (aplikace) a smažu po sobě.
Pár řetězec-transakce a podpis odešlu na webové rozhraní banky.
Teď ať mi teď někdo řekne jak takový pinpad lze zneužít (s vyjimkou odpozorování hesla očima nebo kamerou a HW metodami jako leptání analýza napájení...)
Přídavné bezpečnosní opatření:
3x špatně PIN zablokování pinpadu.
Neviditelná časově proměnná složka interně připojená k podepisovanému řetězci s platností např. 30 sekund.
Uživatelem změnitelný PIN pro připad kompromitace PIN-u.