V úvodu chybí v přehledu informace o čipových kartách ČSOB jako variantě zabezpečení, která je podle mne (byť nejsem příznivcem ČSOB) na stejné úrovni jako autentizační kalkulačky. Je drahá ta čtečka karet, ale zní to bezpečně.
Čipové karty jsou na trochu nižší úrovni než autentizační kalkulátory, protože nejsou odolné proti key loggeru (kromě čteček s vlastní klávesnicí, které vyžadují PIN při každé akci a neakceptují PIN z počítače). Je sice pravda, že útočník se musí vejít do doby, kdy máte kartu ve čtečce, což mu útok dost ztěžuje, ale u autentizačního kalkulátoru takovou šanci nemá vůbec.
:) Ne, ten PIN bez karty mu není k ničemu, to dá rozum. Proto přeci píšu, že útok se musí zvládnout v době, kdy oprávněný uživatel má kartu ve čtečce. Příště čtěte pozorněji.
Nemohu s vámi souhlasit - čipové karty jsou z hlediska zabezpečení na podstatně vyšší úrovni než obyčejné kalkulátory. Rozdíl je v použité kryptografii - kalkulátory běžně používají symetrickou kryptografii a čipovky asymetrickou. Se symetrickou kryptografií je ten problém, že se transakce autorizuje a ověřuje stejným symetrickým klíčem, takže absolutně nemáte kontrolu nad tím, kolik lidí k němu mělo a má přístup. Jedna kopie klíče je v kalkulátoru, aby jste mohl transakce autorizovat, další v bance, aby banka mohla autorizaci ověřit, data produkčních systémů jsou pravidelně zálohovány (1 nebo spíš N dalších kopií - ke kterým má přístup několik administrátorů), dále kalkulátor nějaký výrobce vyrobil (samozřejmě i s klíčem, ke kterému se při výrobě/expedici/přepravě dostalo dalších N lidí). A teď věřte tomu, že nikdo z celého popsaného řetězce nemá na vaši banku zlost nebo si nechce na váš účet přilepšit. V podstatě kdokoliv může mít kopii vašeho klíče a dlouhý čas připravovat útok, aniž vy něco tušíte!!!
Co se týče asymetrické kryptografie, pro potvrzení transakce máte soukromý klíč, banka má pro ověření veřejný. V případě použití čipových karet je soukromý klíč generován přímo na čipové kartě uvnitř čipu a nelze jej vyexportovat ven. Proto jediné teoreticky možné zneužití je zcizení vaší karty včetně PINu.
Nic proti kalkulátorům, jen jsem chtěl ukázat, že i kalkulátory mají své mouchy.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
