J.F. wrote:

> Teraz przychodzi SMS-sem co autoryzuje ...

I dalej będzie przychodzić. :-)

> Ulatwienie to to nie jest ... ale miejmy nadzieje, ze dziala :-)

Owszem, to jest koszt znacznego podniesienia poziomu bezpieczeństwa.

> To musialyby sie banki zdecydowac akurat na to.
> No i producent musialby zadbac, zeby tego nikt nie zlamal ...

Złamać się tego w praktycznym rozumieniu nie da. Sklonować też nie.
No chyba, że zadarłeś z NSA, ale wtedy to i tak jest najmniejszy z
Twoich problemów. :-)

> Ale to chyba nie beda zmienne ?

Hasła w LastPass możesz (i powinieneś) mieć losowe i unikatowe dla
każdego portalu/serwisu. Nawet ja nie znam swoich. :-)
Znam tylko hasło do googla i do LastPassa. Oba dobezpieczyłem kluczykiem.

> No chyba, ze bank uzna poczte za zbyt niebezpieczna.
> Bo w sumie czemu uznac za bezpieczna ...

Musi istnieć jakiś sposób komunikacji z klientem, choćby
celem potwierdzenia, że to on zmienia hasło. Czy akurat ma to być e-mail
-- a czemu nie, jeden pies. Tak czy inaczej ten kanał to jest Twój
główny zasób do ochrony, bo dzięki niemu rozbezpieczysz/przejmiesz
pozostałe.

> Ale haslo podejrze a kluczyk ukradne ... no dobra - to juz ogranicza
> ilosc hackerow ktorzy moga to zrobic ...

I widzi babcia. :-)

Na początku musisz sobie stworzyć model zagrożenia, przed którym się
bronisz. Inaczej będzie przed ruskim hackerem, któremu płacą od tysiąca
przejętych skrzynek, inaczej gdy jesteś celem szpiegostwa przemysłowego,
inaczej, gdy zadzierasz z państwem i jego służbami. Jeśli będziesz HVT
(High Value Target), to nikt raczej nie będzie się bawił w atak na
Twoją infrastrukturę. W zależności od źródeł, 80-85% skutecznych ataków
jest na białko. Podstawi Ci się cycatą blondynę or compatible i
podbijesz statystykę. W wersji soft pewnego słonecznego dnia znajdziesz
na chodniku ładny pendrive i pobiegniesz sprawdzić, co na nim jest... :-)

Ale na dzieciarnię z nadmiarem wolnego czasu to spokojnie wystarczy.
Oni chcą tysiąca *dowolnych* kont, a nie Ciebie.

Pozdrawiam, Piotr