witek wrote:
> Użytkownik "DooMiniK" <"bachus20[WYTNIJ]\"@poczta.wp.pl"> napisał w
> wiadomości news:49674569$1@news.home.net.pl...
>> Trzymanie haseł w postaci jawnej, a nie na zasadzie skrótu (+ dodatkowa
>> "sól" np. w przypadku MD5) jest niedorzecznością w systemie bankowym.
> Tyle, że znalezienie metodą "brutal force" 4 cyfrowego PINu na podstawie
> jego hasha
> jest śmiesznie proste. (10000 kombinacji). Nawet się nie opłaca tego
> szyfrować.


W takich sytuacjach robi się złożenie, wszystko zależy od algorytmu.
Zwięszysz to 100.000.000.000 możliwości ID+PIN. To i tak zbyt łatwe
do 'złamania' (cyfry), więc nie problem dodać coś do całości
(np słowo K@pytko). No ale chyba pl.biznes.banki to nie jest
miejsce do dykusji na temat alogrytmów trzymania skrótów hasła ;)



--
Dominik Siedlak (bachus)
Na serwerze bachus - login taki mam,
serwer post.pl, w całość złóż to sobie sam...

do góry

MarekZ wrote:
> Użytkownik "DooMiniK" <"bachus20[WYTNIJ]\"@poczta.wp.pl"> napisał w
> wiadomości news:496738c9$1@news.home.net.pl...
>
>> Co mnie zaskoczyło: IDENTYCZNY, jak poprzedni.
>> W zbieg okoliczności ciężko uwierzyć, szansa jak 1/10tys.
> Łomatko, dobrze że to dotyczy niepolskiego banku. Jakby w PL występowało
> takie samo zjawisko, to nic tylko się załamać.
> Prawdopodobieństwo zbiegu okoliczności małe, ale jednak mierzalne. Super
> by było gdyby ktoś był w stanie przetestować to ponownie w tym samym
> banku, na karcie tego samego rodzaju...

No mi się aż ciepło zrobiło. Żałuję, że wcześniej znisczyłem kartkę
z pinem. Jak nie znajdę nikogo do 'testu', to za miesiąc dla
eksperymentu powtórzę operację.

--
Dominik Siedlak (bachus)
Na serwerze bachus - login taki mam,
serwer post.pl, w całość złóż to sobie sam...

do góry

DooMiniK <"bachus20[WYTNIJ]\"@poczta.wp.pl"> writes:

> W takich sytuacjach robi się złożenie, wszystko zależy od algorytmu.
> Zwięszysz to 100.000.000.000 możliwości ID+PIN. To i tak zbyt łatwe
> do 'złamania' (cyfry), więc nie problem dodać coś do całości
> (np słowo K@pytko).

Nie, tu nic nie zalezy od algorytmu, bo bankomat żąda tylko PINu, nie
jakichs dodatkowych slow. Nie ma sie zastosowac skutecznie zadnego
hashowania do PINu, innymi slowy kazdy bank w efekcie zna wszystkie
PINy.

Dokladnie tak samo jest nie tylko w bankach, ale wszedzie, gdzie
uzywane sa (tylko) PINy.
--
Krzysztof Halasa

do góry

DooMiniK <"bachus20[WYTNIJ]\"@poczta.wp.pl"> writes:

> Udałem się do oddziału banku, poprosiłem o wygenerowanie nowego pinu.
> PIN przyszedł pocztą (standardowo w nieoznakowanej kopercie itd.).
> Co mnie zaskoczyło: IDENTYCZNY, jak poprzedni.

Moze to nie bylo wygenerowanie nowego a przypomnienie starego :-)

Aczkolwiek nie powinno sie czegos takiego robic, bo zmiana PINu
zostawia lepszy slad w systemie i trudniej ja przegapic (gdyby np.
ktos nieuprawniony uzyskal koperte).
--
Krzysztof Halasa

do góry

Fafnaście lat temu dostałem pin będący kawałkiem (krótkiego wówczas) numeru na
karcie, głównie same zera ;-))

BTW był już watek o powtarzających się numerach cvv na różnych kartach.


-----

> Mi "kopara opadła", ciężko uwierzyć w zbieg okoliczności.

do góry

Użytkownik "Krzysztof Halasa"
> Nie, tu nic nie zalezy od algorytmu, bo bankomat żąda tylko PINu, nie
> jakichs dodatkowych slow. Nie ma sie zastosowac skutecznie zadnego
> hashowania do PINu, innymi slowy kazdy bank w efekcie zna wszystkie
> PINy.

citi-prawda, jak to się kiedys na pbb mówilo :-)
*** blad ***

do góry

"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

>> Nie, tu nic nie zalezy od algorytmu, bo bankomat żąda tylko PINu, nie
>> jakichs dodatkowych slow. Nie ma sie zastosowac skutecznie zadnego
>> hashowania do PINu, innymi slowy kazdy bank w efekcie zna wszystkie
>> PINy.
>
> citi-prawda, jak to się kiedys na pbb mówilo :-)
> *** blad ***

Zaproponuj dzialajacy system PINow odporny na atak brute-force, nie
bedziesz pisal takich rzeczy.
--
Krzysztof Halasa

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:
> Zaproponuj dzialajacy system PINow odporny na atak brute-force, nie
> bedziesz pisal takich rzeczy.

Przecież podobno po trzech nieudanych próbach karta jest blokowana,
względnie połykana? (Tak wszyscy straszą, ale nie testowałem.)

A jak ten PIN jest trzymany w bankowym komputerze, to już inna
sprawa, raczej łatwo go stamtąd ukraść nie będzie. Jeśli
jest zhashowany, to jeszcze trzeba ukraść algorytm. No i resztę
danych karty, oczywiście.

--
Piotr Auksztulewicz i...@n...net

do góry

Piotr Auksztulewicz <w...@h...net> writes:

> Przecież podobno po trzech nieudanych próbach karta jest blokowana,
> względnie połykana? (Tak wszyscy straszą, ale nie testowałem.)

W bankomacie, moze tak. Ale tu mowa byla o informacjach posiadanych
przez bank.

> A jak ten PIN jest trzymany w bankowym komputerze, to już inna
> sprawa, raczej łatwo go stamtąd ukraść nie będzie. Jeśli
> jest zhashowany, to jeszcze trzeba ukraść algorytm. No i resztę
> danych karty, oczywiście.

Bank posiada te informacje, nie musi sobie ich krasc - nie chodzilo
o kogos z zewnatrz.
--
Krzysztof Halasa

do góry