Krzysztof Halasa wrote:

> Zalezy od scenariusza, jesli ktos np. bedzie mial dostep do backupu,
> to hasla stale i jednorazowe moga byc juz dawno nieaktualne, zas
> seedy tokenow (pomijajac dryft, ktory moze byc pewnym utrudnieniem)
> sa jak najbardziej mozliwe do uzycia.

mimo trudnosci w wykradzeniu i posluzeniu sie seedami ten przyklad
moglby mnie przekonac, gdyby nie jeden drobny szczegol, tokeny
to zwykle autentykacja dwuskladnikowa, a tym pierwszym skladnikiem
jest haslo stale, a jak slusznie zauwazyles haslo stale moze byc
juz dawno nieaktualne

jakby nie porownywac to haslo stale + kod tokena bedzie bezpieczniejsze
od samego hasla stalego

do góry

MarcinF <m...@i...pl> writes:

> mimo trudnosci w wykradzeniu i posluzeniu sie seedami ten przyklad
> moglby mnie przekonac, gdyby nie jeden drobny szczegol, tokeny
> to zwykle autentykacja dwuskladnikowa, a tym pierwszym skladnikiem
> jest haslo stale, a jak slusznie zauwazyles haslo stale moze byc
> juz dawno nieaktualne

Nie wiem co to jest "zwykle", nie prowadze takich badan.
Token np. SecurID pokazuje liczbe, albo po prostu ta liczba
jest odpowiednikiem "hasla jednorazowego", albo dodajesz do
niej dodatkowe haslo (zapewne cyfrowe = PIN, ale niekoniecznie).

Jak juz chyba ustalilismy, wskazanie tokena da sie przewidziec
posiadajac baze (niezmiennych) seedow.

Nie chcesz chyba udowadniac, ze haslo stale jest gorsze niz haslo
stale + token? To jest chyba oczywiste.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:

> Nie wiem co to jest "zwykle", nie prowadze takich badan.
> Token np. SecurID pokazuje liczbe, albo po prostu ta liczba
> jest odpowiednikiem "hasla jednorazowego", albo dodajesz do
> niej dodatkowe haslo (zapewne cyfrowe = PIN, ale niekoniecznie).

nie musisz prowadzic badan, skoro przywolujesz nazwe konkretnego
produktu to wystarczy ze zajrzysz do jego dokumentacji,
z definicji stosuje sie pin + kod z tokena bo to jest
wlasnie idea autentykacji dwuskladnikowej

do góry

MarcinF <m...@i...pl> writes:

> nie musisz prowadzic badan, skoro przywolujesz nazwe konkretnego
> produktu to wystarczy ze zajrzysz do jego dokumentacji,
> z definicji stosuje sie pin + kod z tokena bo to jest
> wlasnie idea autentykacji dwuskladnikowej

Stary, rownie dobrze moge zajrzec do dokumentacji dlugopisu albo
kubka do kawy.

BTW: nigdy nie widziales takiego zastosowania tokena, w ktorym
podajesz tylko jawna nazwe uzytkownika oraz wskazanie tokena?
Kiedys to norma byla.

BTW: SecurID nie jest wcale nazwa konkretnego produktu, np. sa
tokeny bez pinpadu i z nim. Z tym, ze nie prowadzilem badan
statystycznych dotyczacych zastosowan w bankach.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:

> BTW: nigdy nie widziales takiego zastosowania tokena, w ktorym
> podajesz tylko jawna nazwe uzytkownika oraz wskazanie tokena?
> Kiedys to norma byla.

widzialem tez takie zastosowanie hasla w ktorym bylo ono puste,
ale ani pustych hasel ani tokenow bez pinu nie uwazam za bezpieczne

do góry

MarcinF <m...@i...pl> writes:

> widzialem tez takie zastosowanie hasla w ktorym bylo ono puste,
> ale ani pustych hasel ani tokenow bez pinu nie uwazam za bezpieczne

Stary, wez sie w garsc. Twierdziles ze token jest zawsze lepszy niz
haslo "stale", PIN (w tokenie bez pinpadu) nie jest czescia tokena
chyba?

A jesli bank zastosuje logowanie na podstawie jednoczesnie zdjecia
siatkowki, odciskow wszystkich palcow, pieciu swiadkow, i osobistej
znajomosci prezesa banku, oraz tokena, to tez bedzie to swiadczyc
o wyzszosci tokena nad prezesem?

Tak czy owak, mozesz przyjac sobie jak chcesz, nie bede ciagnal tego
tematu tylko dla samego pisania.
--
Krzysztof Halasa

do góry

On Tue, 18 Dec 2007 00:36:41 +0100, scream <n...@p...pl> wrote:

>Pewnie tak, ale weź pod uwagę, że ludzie są z reguły wzrokowcami. Jeśli
>ktoś przyzwyczai się do widoku swojego obrazka, to kiedy go nie zobaczy
>przy logowaniu, podświadomie będzie czuł że "coś jest nie tak" :))
To mu tworca podrobionej strony dorzuci komunikat "Przepraszamy - z
przyczyn techicznych spersonalizowane obrazki zostaly wylaczone na
okres 15 dni" albo lepiej "W celu zapobiegania atakom hakerow
wylaczono obrazki spersonalizowane".

WAM
--
Ostatnie miejsca na Sylwestra 2007!
http://www.nadmorze.pl - Może nad morze?

do góry