[Owasp-poland] Kryteria oceny bezpieczen??stwa bankowos??ci internetowej

Tomasz Dudzisz mem at unnameden.com
Tue May 18 12:27:15 EDT 2010


(wto, maj 18, 2010 at 04:30:52 +0200) Paweł Goleń:
> Chyba kręcimy się w kółko. Powinny, ale nie zawsze są. Opisuję jedną z
> możliwych (i istniejących w naturze, że tak się wyrażę) implementacji
> tokenu CR na telefony komórkowe. W TEJ KONKRETNEJ implementacji klient

No zgadza się - ale chciałeś argumenty za CR, więc starałem się wykazać, że
w najlepszej znanej mi implementacji CR jest nieco bezpieczniejsze od 
jego, powiedzmy, odpowiednika SMSowego :) Nie będę się odnosił do ułomnej 
implementacji CR i porównywał z najlepszą SMSową bo to chyba nie o to chodzi.
Moim zdaniem niewiele przemawia za tym by iść drogą kodów jednorazowych
przesyłanych SMSem, a sporo za tym by generować je na żądanie w urządzeniu 
trzecim (np telefonie). Tyle chyba w tym temacie, generalnie zgadzamy się 
ze sobą myślę.


-- 
TD



More information about the Owasp-poland mailing list