Krzysztof Halasa wrote:


>>Tokien jest 100% zabezpieczeniem przed wlamaniem brutalnym i
>>analitycznym.
>
>
> Bajki. Wielokrotnie juz pisalem dlaczego.

Ciekawe bo w sumie jak sie zastanowic to nie ma zwiazku metoda
przechowywania hasel do wlamania metoda brutalna czy analityczna ktora
opiera sie scisle na opornosci samego algorytmu. Zreszta wlamania
brutalne w ogole sa czystymi bajkami.



>>Inna sprawa ze swietnie sie go
>>kradnie
>
>
> Podobnie jak i listy hasel, i moze tylko troche gorzej niz statyczne
> haslo

Znacznie gorzej chyba ze liste hasel masz w portfelu z naglowkiem "
lista hasel do konta o numerze xxxxxxxx w banku xxxxxx prosze nie krasc"




> Nie widze zwiazku. Zeby rozsynchronizowac przyzwoity token nalezy
> zapisywac jego wskazania i nastepnie podawac je komputerowi banku
> z odpowiednim opoznieniem. Z niektorymi tokenami w ogole nie da sie
> tego zrobic. Chyba ze masz na mysli po prostu jego uszkodzenie.

Po prostu mozna sie mylic z wpisami i ponaciskac troche.



>
> ROTFL.
> Do falszowania podpisow cyfrowych jeszcze daleko, bo w znakomitej
> wiekszosci bankow takie rozwiazanie nie jest na razie uzywane.

Dowod na targu kupisz za kilka stowek a podpis czesto jest latwy do
podrobienia. Teraz poszukaj goscia co lamie zabezpieczenia i dlaczego go
nie ma? W efekcie najlatwiej takie zabezpieczenie wykrasc/wyludzic co ma
sie nijak do lamania elektronicznych zabezpieczen. Jak zwykle zawodzi
czlowiek.



--
l...@s...pl

do góry

sebol <l...@s...pl> writes:

> Ciekawe bo w sumie jak sie zastanowic to nie ma zwiazku metoda
> przechowywania hasel do wlamania metoda brutalna czy analityczna ktora
> opiera sie scisle na opornosci samego algorytmu. Zreszta wlamania
> brutalne w ogole sa czystymi bajkami.

... chyba ze przestrzen kluczy jest niewielka. Czyli wlasnie w takich
przypadkach. Jedyne zabezpieczenie, ktore powoduje, ze ten system nie
jest przerazliwie dziurawy, to blokowanie mozliwosci operacji po
kilku nieudanych probach standardowymi kanalami.

> Znacznie gorzej chyba ze liste hasel masz w portfelu z naglowkiem "
> lista hasel do konta o numerze xxxxxxxx w banku xxxxxx prosze nie
> krasc"

Co, jak rozumiem, rozni sie zasadniczo od tokena. Bez zartow.

>> Nie widze zwiazku. Zeby rozsynchronizowac przyzwoity token nalezy
>> zapisywac jego wskazania i nastepnie podawac je komputerowi banku
>> z odpowiednim opoznieniem. Z niektorymi tokenami w ogole nie da sie
>> tego zrobic. Chyba ze masz na mysli po prostu jego uszkodzenie.
>
> Po prostu mozna sie mylic z wpisami i ponaciskac troche.

I to rozsynchronizowuje token? Interesujace. To moze - w takim razie
- z czym on jest normalnie zsynchronizowany?

> Dowod na targu kupisz za kilka stowek a podpis czesto jest latwy do
> podrobienia. Teraz poszukaj goscia co lamie zabezpieczenia i dlaczego
> go nie ma? W efekcie najlatwiej takie zabezpieczenie wykrasc/wyludzic
> co ma sie nijak do lamania elektronicznych zabezpieczen. Jak zwykle
> zawodzi czlowiek.

To wszystko jest z kosmosu, gdyz - tak jak napisalem - banki nie
stosuja prawie w ogole podpisu cyfrowego.
--
Krzysztof Halasa, B*FH

do góry