[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Sat May 15 10:33:43 EDT 2010


On 2010-05-15 15:38, Jabłoński, Paweł wrote:

> Tak, ale jak pewnie wiesz standardem jest obecnie wzbogacanie response.

Część wdrażanych rozwiązań generuje response wyłącznie na podstawie
klucza tokenu, licznika oraz challenge, lub generuje kod jednorazowy,
np. implementacje OCRA (OATH Challenge-Response Algorithms). I nie ma w
nich mowy o "wzbogacanie response".

> Ja myślę, że oba te sposoby mają plusy i minusy, także ciężko szufladkować.

Mam nadzieję, że jeśli pomysł Przemka doczeka się realizacji, a nie
skończy się na kilku dniach dyskusji, w oparciu o opracowane kryteria
będzie można porównać konkretne implementacje algorytmów autoryzacji
transakcji w różnych bankach i wystawić im ocenę opartą o rzeczywiste
cechy implementacji, a nie ogólne założenie, że CR jest lepszy niż SMS.
Również dwa różne wdrożenia CR nie muszą oferować tego samego poziomu
bezpieczeństwa.

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list