Цитата:
Сообщение от Erkin Kuchkarov
Но, если я имею аутентифицированный и персонифицированный доступ до моего банковского счета то зачем мне каким бы то ни было образом пытаться подписывать сертификатом для доступа свои банковские проводки?
|
ЭЦП дает Вам связку аутентификация + целостность, а RSA SecurID только аутентификацию. Если не подписываете, то я (со стороны банка) могу создать фиктивный платеж с вашего счета и сказать что так и было. Подпись нужна, чтобы банк мог доказать, а Вы могли потребовать доказательства, что это именно Вы платили, а не адимин базы данных банка. А так аудит лишь покажет, что в этот день Вы действительно подключались... хотя даже это можно сфабриковать (алгоритм то у RSA SecurID симметричный).
Оффтоп:
Может собраться где-то и обсудить различные технологии и методы защиты информации, что где применимо и как использовать. Я то как матетматик смотрю на проблему нескорлько по-другому - больше с точки зрения администрирования и организации процесса совсем не вникая как это организовано технически. Когда меня наконец уволят с ГРП - пока в ражиме "чемоданное настроение" - сразу поговорим на счет нового uParty и может за рюмочкой чая и поговорим?
Цитата:
Сообщение от Erkin Kuchkarov
Я могу это делать любым другим сертификатом, выданным мне банком для этих целей.
|
Тогда зачем RSA SecurID? Пользуйтесь группой закрытых ключей, сертификаты которых зарегистрированы в третьей, сторонней организации... а не в банке. Открывайте им тонели и бла... бла... бла... короче аутентификация с помощью RSA SecurID - это на класс ниже безопасность чем обычные RSA алгоритмы аутентификации. А с учетом открытости алгоритма создания одноразовых паролей (а это должно считаться быть открытым, независимо от того скопировали их или нет при хакерской атаке - теория шифрования к этому все сводит), то увы, система безопасности на RSA SecurID - мусор хорошо иммитирующий хорошую безопасность.
28.03.2011 10:48
Древовидный вид