-
1. Data: 2004-05-24 20:46:49
Temat: Hasła jednorazowe na hasło.
Od: "Szymekg" <s...@g...pl>
Myślałem, myślałem i wymyśliłem.
Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
łatwością i taniością tworzenia papierowych haśle jednorazowych.
I wymyśliłem tabele z hasłami jednorazowymi.
Zasada wygląda następująco:
Klient zamawia sobie taką listę i ustala sobie pięć cyfrowy PIN.
Karta składa się z 50 tabel każda po dwie kolumny i dziesięć wierszy.
W każdej z tych tabel jest w dowolnym miejscu wpisane odpowiednie hasło
jednorazowe zgodne z numerem tabeli ( hasło numer 1 w tabeli nr 1)
W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który wcześniej
klient sobie wymyślił.
Dodatkowo losowo generowane są tzw.fałszywe PIN-y wpisywane w pozostałe
części tabeli, ale w każdym wierszu może być tylko jeden taki fałszywy PIN.
Oczywiście w każdej tabeli są one te same, ale w innej kolejności.
Pozostałe wolne komórki tabel są wypełniane dowolnymi fałszywymi hasłami
jednorazowymi. Ważne jest aby te losowe hasła przypadkiem nie były takie
same jak wymyślony przez na PIN.
Osoba która chce skorzystać z takiej tabeli musi znać PIN. Jeśli system pyta
ją np.,. o hasło numer 04 to szuka tabeli nr 04 znajduje tam swój PIN i
przepisuje hasło z kolumny obok, z tego samego wiersza. Osoba która nie zna
PIN-u mimo, że zobaczy listę haseł nie będzie wstanie znaleźć odpowiedniego
hasła bo będzie miała aż 20 możliwych kombinacji wyboru.
Poniżej zamieściłem przykładowe tabele ja by to miało wyglądać PIN to 54398
01 02 03
98347 89374 66880 79890 54398 73897
83748 89237 57899 00334 38274 53495
54398 47839 04804 98347 82947 57899
79989 57899 12489 08430 98347 38490
79903 12489 90239 54398 47239 90539
98832 66880 89237 87594 12489 38299
84573 08458 99473 83290 58430 66880
57439 90539 84930 08458 45934 90843
53495 89530 90539 79219 87543 32459
83479 99473 53495 77392 84589 83975
hasło nr 01: 4789 nr 02: 90239 nr 03: 73897
Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
rzeczywistością ;-)
-
2. Data: 2004-05-24 21:49:44
Temat: Re: Hasła jednorazowe na hasło.
Od: "kursor" <mKursor@_USUN_wp.pl>
> Myślałem, myślałem i wymyśliłem.
> Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
> łatwością i taniością tworzenia papierowych haśle jednorazowych.
>
> I wymyśliłem tabele z hasłami jednorazowymi.
>
> Zasada wygląda następująco:
> Klient zamawia sobie taką listę i ustala sobie pięć cyfrowy PIN.
> Karta składa się z 50 tabel każda po dwie kolumny i dziesięć wierszy.
> W każdej z tych tabel jest w dowolnym miejscu wpisane odpowiednie hasło
> jednorazowe zgodne z numerem tabeli ( hasło numer 1 w tabeli nr 1)
> W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który wcześniej
> klient sobie wymyślił.
> Dodatkowo losowo generowane są tzw.fałszywe PIN-y wpisywane w pozostałe
> części tabeli, ale w każdym wierszu może być tylko jeden taki fałszywy PIN.
> Oczywiście w każdej tabeli są one te same, ale w innej kolejności.
> Pozostałe wolne komórki tabel są wypełniane dowolnymi fałszywymi hasłami
> jednorazowymi. Ważne jest aby te losowe hasła przypadkiem nie były takie
> same jak wymyślony przez na PIN.
>
> Osoba która chce skorzystać z takiej tabeli musi znać PIN. Jeśli system pyta
> ją np.,. o hasło numer 04 to szuka tabeli nr 04 znajduje tam swój PIN i
> przepisuje hasło z kolumny obok, z tego samego wiersza. Osoba która nie zna
> PIN-u mimo, że zobaczy listę haseł nie będzie wstanie znaleźć odpowiedniego
> hasła bo będzie miała aż 20 możliwych kombinacji wyboru.
>
> Poniżej zamieściłem przykładowe tabele ja by to miało wyglądać PIN to 54398
>
> 01 02 03
> 98347 89374 66880 79890 54398 73897
> 83748 89237 57899 00334 38274 53495
> 54398 47839 04804 98347 82947 57899
> 79989 57899 12489 08430 98347 38490
> 79903 12489 90239 54398 47239 90539
> 98832 66880 89237 87594 12489 38299
> 84573 08458 99473 83290 58430 66880
> 57439 90539 84930 08458 45934 90843
> 53495 89530 90539 79219 87543 32459
> 83479 99473 53495 77392 84589 83975
>
> hasło nr 01: 4789 nr 02: 90239 nr 03: 73897
>
> Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
> rzeczywistością ;-)
>
niepotrzebna komplikacja zycia
haslo nr 01 to 47839
a nie 4789
juz jako autor popelniasz bledy
a co dopiero "zwykly" uzytkownik?
kursor
-
3. Data: 2004-05-24 23:02:11
Temat: Re: Hasła jednorazowe na hasło.
Od: "axell" <a...@o...wywalto.pl>
> Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
> rzeczywistością ;-)
Nie chce mi sie rozpisywać ale do kitu rozwiązanie.
Przecież nie mając absolutnie zadnych informacji juz masz
5% szansy ze wylosujesz poprawne hasło.
Do tego jak intruz (sniffer) przechwycił twoją sesję z bankiem
to wie jakie masz hasło(z logowania) i pin, konto jest jego,
kasa bye bye...
Nie po to wymyslono tokeny i hasla jednorazowe do transakcji
w internecie aby zadowolic sie autoryzacją stałym pinem który
tak naprawde pelniby funkcje drugiego hasła.
pozdr axell
-
4. Data: 2004-05-24 23:12:04
Temat: Re: Hasła jednorazowe na hasło.
Od: "axell" <a...@o...wywalto.pl>
> > Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> > Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia
z
> > rzeczywistością ;-)
>
> Nie chce mi sie rozpisywać ale do kitu rozwiązanie.
Ups pozno juz i troche zle Cie zrozumiałem ale i tak system
żeby na zdrapkach było 20 wiecej liczb chyba i tak nie miałby
szans przejsc. Dodatkowo ten prawidłowy pin powtarzałby sie dla
kazdego hasła jednorazowego wiec jaki problem by było go znalesc,
więc to żadne zabezpieczenie.
axell
-
5. Data: 2004-05-25 05:54:11
Temat: Re: Hasła jednorazowe na hasło.
Od: "Maciek Kycler" <m...@p...onet.pl>
> Dodatkowo ten prawidłowy pin powtarzałby sie dla
> kazdego hasła jednorazowego wiec jaki problem by było go znalesc,
> więc to żadne zabezpieczenie.
Niekoniecznie, bo powtarzyłyby się też fałszywe PINy.
Ale system mi się nie bardzo podoba - jest sbyt skomplikowany i niewygodny
(rozumiem, że zamiast zdrapki nosiłbym przy sobie książeczkę).
IMHO najbezpieczniejszy jest jednak token z PINem, po nim token bez PINu, a
zaraz po nim (już w kategorii "rozwiązań tanich") karta ze zdrapką - żeby
nie było widać wszystkich kodów naraz.
MaciejK
-
6. Data: 2004-05-25 06:43:43
Temat: Re: Hasła jednorazowe na hasło.
Od: "Demian" <t...@p...onet.pl>
O wiele lepszym rozwiązaniem jest przepisanie haseł z małym - prostym szumem
(np. +3 do każdego hasła)
Wg mnie to już wystarczy, aby zabezpieczyć LHJ przed niepożądanym
użytkownikiem
Użytkownik "Szymekg" <s...@g...pl> napisał w wiadomości
news:c8tmvh$n5t$1@inews.gazeta.pl...
> Myślałem, myślałem i wymyśliłem.
> Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł)
z
> łatwością i taniością tworzenia papierowych haśle jednorazowych.
>
> I wymyśliłem tabele z hasłami jednorazowymi.
>
> Zasada wygląda następująco:
> Klient zamawia sobie taką listę i ustala sobie pięć cyfrowy PIN.
> Karta składa się z 50 tabel każda po dwie kolumny i dziesięć wierszy.
> W każdej z tych tabel jest w dowolnym miejscu wpisane odpowiednie hasło
> jednorazowe zgodne z numerem tabeli ( hasło numer 1 w tabeli nr 1)
> W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który wcześniej
> klient sobie wymyślił.
> Dodatkowo losowo generowane są tzw.fałszywe PIN-y wpisywane w pozostałe
> części tabeli, ale w każdym wierszu może być tylko jeden taki fałszywy
PIN.
> Oczywiście w każdej tabeli są one te same, ale w innej kolejności.
> Pozostałe wolne komórki tabel są wypełniane dowolnymi fałszywymi hasłami
> jednorazowymi. Ważne jest aby te losowe hasła przypadkiem nie były takie
> same jak wymyślony przez na PIN.
>
> Osoba która chce skorzystać z takiej tabeli musi znać PIN. Jeśli system
pyta
> ją np.,. o hasło numer 04 to szuka tabeli nr 04 znajduje tam swój PIN i
> przepisuje hasło z kolumny obok, z tego samego wiersza. Osoba która nie
zna
> PIN-u mimo, że zobaczy listę haseł nie będzie wstanie znaleźć
odpowiedniego
> hasła bo będzie miała aż 20 możliwych kombinacji wyboru.
>
> Poniżej zamieściłem przykładowe tabele ja by to miało wyglądać PIN to
54398
>
> 01 02 03
> 98347 89374 66880 79890 54398 73897
> 83748 89237 57899 00334 38274 53495
> 54398 47839 04804 98347 82947 57899
> 79989 57899 12489 08430 98347 38490
> 79903 12489 90239 54398 47239 90539
> 98832 66880 89237 87594 12489 38299
> 84573 08458 99473 83290 58430 66880
> 57439 90539 84930 08458 45934 90843
> 53495 89530 90539 79219 87543 32459
> 83479 99473 53495 77392 84589 83975
>
> hasło nr 01: 4789 nr 02: 90239 nr 03: 73897
>
> Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
> rzeczywistością ;-)
>
>
-
7. Data: 2004-05-25 06:45:47
Temat: Re: Hasła jednorazowe na hasło.
Od: "blad" <blad201@_W_Y_T_N_I_J_o2.pl>
Szymekg wrote:
> Myślałem, myślałem i wymyśliłem.
> Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do
> haseł) z łatwością i taniością tworzenia papierowych haśle
> jednorazowych.
(...)
> W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który
> wcześniej klient sobie wymyślił.
i to haslo powtarza sie 50 razy :-)))
mam lepszy pomysl - wywal te kolumny z PINem prawdziwym lub fałszywym
system może chcieć hasła nr N, odczytujemy że na zdrapce jest 98347,
dodajemy do tego swoj PIN 54398 ale każdą parę cyfr osobno (mod 10)
i dostajemy 42635 - takiej odpowiedzi spodziewa sie system.
Ponieważ mozesz zdalnie zmienic swoj PIN w systemie to juz nastepnym razem
meldujac sie do systemu bedziesz mogl dodac inny PIN i podsluchanie starego nie
wiele pomoże.
*** blad ***
PS - podobne metody, ale z podawaniem PINu obok odczytanego hasla ze zdrapki sa
prostsze i juz stosowane
-
8. Data: 2004-05-25 07:18:58
Temat: Re: Hasła jednorazowe na hasło.
Od: gornik <g...@g...w.pl>
Osoba zwana "Szymekg" <s...@g...pl> napisała:
>Myślałem, myślałem i wymyśliłem.
>Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
>łatwością i taniością tworzenia papierowych haśle jednorazowych.
>
>I wymyśliłem tabele z hasłami jednorazowymi.
[ciach]
To nie prościej wygenerować np. hasła 10 cyfrowe i klient ustawia sobie w
systemie które pięć cyfr będzie jego hasłem (np. 2,3,6,8 i 9 cyfra)
--
Górnik | "Więc kimże w końcu jesteś ?
| - Jam częścią tej siły
g...@g...w.pl | która wiecznie zła pragnąc
www.gumasy.w.pl | wiecznie czyni dobro." (J.W.Goethe "Faust")
-
9. Data: 2004-05-25 07:31:43
Temat: Re: Hasła jednorazowe na hasło.
Od: Sławomir Szczyrba <steev@.hot.pl>
Per aspera ad gornik :
>>Myślałem, myślałem i wymyśliłem.
>>Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
>>łatwością i taniością tworzenia papierowych haśle jednorazowych.
>>I wymyśliłem tabele z hasłami jednorazowymi.
> [ciach]
> To nie prościej wygenerować np. hasła 10 cyfrowe i klient ustawia sobie w
> systemie które pięć cyfr będzie jego hasłem (np. 2,3,6,8 i 9 cyfra)
>
A nie prościej zastosować mechanizm OTP/SKey ?
Sławek
--
________
_/ __/ __/ The truth is out there.
\__ \__ \___________________________________________________
____________
/___/___/ Sławomir Szczyrba steev(AT)hot(dot)pl
-
10. Data: 2004-05-25 09:21:36
Temat: Re: Hasła jednorazowe na hasło.
Od: "Szymekg" <s...@g...pl>
Ok jesli nie tutaj nie znalazłem ani jednej osoby której mój pomysł by się
podobał, to chyba bankowi i jego kientom tez się nie będzie pdobal. Chciałem
zastapić token ktorego raczej zawsze przy sobie mieć nie można jedną kartką.
Token jak się zgubi to czasem nawet 200zł w plecy a dobry haker pewnie i tak
go rozpracuje, ale jak ktoś ma ochote się pobawić to może we własnym
zakresie sobie taka tabelke zrobić ze swoimi hasłami, lub w inny sposób je
zaszyfrować.