А колкото до спора дали токена е по сигурен ами не съвсем. Аз лично поради спецификата на работата ми ползвам аладински токен хубавото при него е че има и сертификат с него. За оторизация се ползва или сертификата или ОТП-то (естествено и пина на токена ти трябва).

Реално цялата дискусия в момента се свежда до „многофакторна аутентификация“, или иначе казано по няколко начина доказваш че си ти. Популярните са нещо което имаш и нещо което знаеш (токен, сертификат + парола, пин)

Както казах по-горе, сигурни работи общо взето няма, но аз съм против да мъкна излишни играчки или хартия с кодове, а телефонът си е винаги с мен, така че предпочитам ТАН-ът да го получавам там.

@nv – ако можем да доплатим малко и да получим универсален електронен подпис в документите си, това ще е перфектно. Слагаме парола и можем да го използваме на стандартен четец. Такива може да има на всички ведомства, а така или иначе за електронен подпис ни трябва и вкъщи. Тъкмо ще направят обществена поръчка за целта и ще похарчат още пари от фондовете.

При транзакциите например през банкомат това не е необходимо („aaa“ са достътъчни), защото например при злоупотреба поне една от две последователни транзакции през няколко минути от два различни края на света може да бъде отказана като престъпление- картата като token на физическо нива може да бъде само на едното място.

Идеята в поста е доста интересна. Биометричните данни в новите документи за самоличност могат да се използват като token за достъп до и ползване на осигурена от държавата инфраструктура на публичните ключове (държавата ако има информационна система разполага с необходимите „нотариатни“ данни) поне що се отнася до документи за и от несъществуващото още електронно правителство. Иначе за един-два пъти годишно използване на цифров подпис – цената каквато и да е са пари на вятъра.

Силно подкрепям въвеждането на единна безплатна система за виртулна идентификация, най-добре в рамките на ЕС.

@kyky – този тип услуги наистина са удобни. Предполагам, че не са ти искали електронен подпис?

@Петър – Тоукъна е така направен, че да трябва физически да се разбие и да се сканира чипа с електронен микроскоп, за да се хакне. Със същия успех може да се прочете и информацията в кодираните карти на банките и електронните подписи.

Всеки метод за сигурност разчита на сложността на дадена операция. Методите за криптиране далеч не са перфектни – просто разчитат на страшно трудно за решаване математически задачи. Подобен е случая и с такива ТАН-ове и ПИН-ове. Вече кой какво ще избере зависи от конкретната държава, начина на мислене на хората и ситуацията.

Физическото присъствие на въпросния token е много важно. Той е като ключ и ще кара хората да се чувстват, че контролират нещата. Да не говорим, че няма проблем да се използва където и да е и не зависи от това дали ще ти се скапе компютъра. Главоболията около сертификатите и наработещия хардуер са достатъчни, за да откажат всеки. Пример са студентските ни карти, които имат подобен сертификат и за да се използват трябва четец. Той обаче често не работи, което довежда то там, че почти никой не му се занимава да подновява картата и да я използва за каквото и да е.

Причината да го предложа за работа с администрацията беше, че много хора използват услугите им рядко и не биха си изкарали електронен подпис само заради една данъчна декларация.

@tzappa – и при електронния подпис, и при token-а трябва хардуер. При първия може и без, но не е толкова безопасно. Така може и при подписа да загубиш картата, а и на всеки компютър, който го ползваш ти трябва четец. В нашия университет имаме точно този проблем.

Ако някой служител в банката иска да те измами, той ще го направи независимо от твоя подпис. Тук не говорим за вътрешни хора, а за такива по-средата. Като например „доверената страна“ в електронните подписи. Макар и сертифицирани, откъде да знам, какви интереси имат и дори каква информация за транзакциите ми събират.

@Yordanka – тоукъните определено са удобни, но не съм сигурен колко ще струват. Хубавото е, че се взимат еднократно и после само го пазиш като ключ.

Това, което аз не мога да разбера е следното: когато security experts се припират кой метод за електронно банкиране (примерно) е най-сигурен – защо гоправят? Щом е напълно възможно лично да идеш и извършиш измама, няма според мен как това да бъде предотвратено виртуално. Как става измамата лично е ясно. Всичко което ти трябва е фалшив документ за самоличност (забелязал съм че поне в нашите банки мн кос поглед хвърлят на личната карта) и номер на сметка, не се изисква допълнително удостоверяване, аз примерно бих предпочел, особено при транзакции над 2000 лева (примерно) да се изисква таен въпрос/отговор.

Относно доводите, както могат да ти откраднат token устойството, така могат да откраднат и сертифката – и двете са защитени с някакъв вид парола. Аз лично не виждам смисъла от token у-во, освен факта че не изисква никакви стъпки за настройка от потребителя – ползва се директно, не се инсталира, не се бекъпва и тн. Минуса е че се губи по-лесно и може да бъде счупен (аз например мн си троша нещата, които кача по ключовете – дистанционни за коли и тн).

Мисля обаче че хората му се радват (на токъна) повече, защото е нещо физическо, нещо което имат усещането че могат да пазят/предпазят. Вероятно ще набира още популярност.

Не знам там с идентификацията как го решават проблема, но за мен беше безумно удобно, макар да ме съмнява да се ползва от много хора, защото не се рекламира. А като си спомня в София как се вади свидетелство за съдимост…. мухахахаах :о

http://upload.wikimedia.org/wikipedia/commons/3/3d/Token_Verisign.JPG

За да се идентифицира потребителя с еднократната парола, генерирана от токен, трябва да въведеш и ПИН код, който би трябвало да се намира само в главата на потребителя и няма как да бъде откраднат!!!

Останалата част от коментара ти не я прочетох.. Направи си блог и пиши фермани.. 🙂