Użytkownik "Marcin F"
> > 3. banki to takie dożarte instytucje że prędzej wydadzą milion na
proces z
> > Tobą niż dadzą Ci dobrowolnie 100 000 zł
>
> chyba ze ryzyko podwazenia bezpieczenstwa banku internetowego wyda sie
> wazniejsze
> niz proces, sporo potencjalnych klientow nadal nie ufa dostepowi do
> konta przez internet,
> nawet krotka wzmianka w mediach moze spowodowac konkretne straty
> finansowe dla banku

czy w banku tradycyjnym obsluga ma dostep do twojego rachunku i moze
wykonac przelew - bardzo latwo. Tylko ze w trakcie takiej dyspozycji
drukuje sie potwierdzenie ktore nalezy podpisac podpisem tradycyjnym.
Pracownik banku go widzi i moze sie go nauczyc - czy to nie jest dla
klienta niebezpieczne ;-)))

Jesli pracownik / komputer identyfikuje uzytkownika po kodzie jednorazowym
to znaczy ze musi go umiec wytworzyc lub odczytac

Kwestia zaufania do jednego lub drugiego systemu to kwestia gustu ;-)))
*** blad ***

do góry

.
> > Ja natomiast uważam, że hasla jednorazowe (drukowane lub generowane przez
> > token)
> > maja taką właśnie wadę, że pracownik banku (szczególnie informatyk) mogą
> > sobie taką
> > odpowiedż jednorazową wygenerować, bo komputer bankowy po prostu to umie.
>
> Bo one nie powinny być tak skonstruowane. Powinny być szyfrowane bez
> możliwości zdeszyfrowania (w rozsądnym czasie ;-)
>
>
A może winny jest proces produkcji a nie sposób generowania haseł. Przecież ta
drukarka do kart musi dostać jakiś plik z obrazem karty (jakiś postscript czy
coś innego). Może po prostu dwa razy wrzucono do spoola drukarki ten sam obraz
i stąd dwie identyczne karty ?

Darek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

minik wrote:
>
> > chyba ze ryzyko podwazenia bezpieczenstwa banku internetowego wyda sie
> > wazniejsze
> > niz proces, sporo potencjalnych klientow nadal nie ufa dostepowi do
> > konta przez internet,
> > nawet krotka wzmianka w mediach moze spowodowac konkretne straty
> > finansowe dla banku
>
> A kogo interesuje ich opinia? Tam sa nasze pieniadze...

a jednak banki walcza o klientow i zalezy im na przekonaniu ich ze
operacje dokonywane przez internet sa bezpieczne

do góry

blad wrote:

> czy w banku tradycyjnym obsluga ma dostep do twojego rachunku i moze
> wykonac przelew - bardzo latwo. Tylko ze w trakcie takiej dyspozycji
> drukuje sie potwierdzenie ktore nalezy podpisac podpisem tradycyjnym.
> Pracownik banku go widzi i moze sie go nauczyc - czy to nie jest dla
> klienta niebezpieczne ;-)))

ale falszerstwo podpisu jest do udowodnienia, z kodem jednorazowym jest
juz inaczej :)


> Jesli pracownik / komputer identyfikuje uzytkownika po kodzie jednorazowym
> to znaczy ze musi go umiec wytworzyc lub odczytac

nie jestem specem od kryptografii... ale czy napewno jest tak jak
napisales?

do góry

> Jesli pracownik / komputer identyfikuje uzytkownika po kodzie jednorazowym
> to znaczy ze musi go umiec wytworzyc lub odczytac

1. pracownik / komputer identyfikuje uzytkownika po loginie
2. nie czytales poprzednich postow? komputer nie umie wytworzyc ani
odczytac hasla, moze zweryfikowac czy jest prawidlowe
(tak przynajmniej powinno byc w bezpiecznych systemach)

do góry

> komputer nie umie wytworzyc ani

mialo byc 'odtworzyc'

do góry

> ZUS tego nie rozumie, a ci ktorzy to wszystko zaprojektowali pozostawili w
> systemie dziurę kompromitującą cały potwornie pogmatwany i trudny do
> zrozumienia przez zwyklych ludzi system certyfikatów ZUS.

zwroc uwage, ze jest to blad w sposobie postepowania zusu,
a nie w *zasadzie* szyfrowania/uwierzytelniania z dwoma kluczami,

do góry

Użytkownik "bromden"
> > Jesli pracownik / komputer identyfikuje uzytkownika po kodzie
jednorazowym
> > to znaczy ze musi go umiec wytworzyc lub odczytac
>
> 1. pracownik / komputer identyfikuje uzytkownika po loginie

login to malo, dopiero jak podasz haslo to cie zidentyfikuje ;-)))
albo kod jednorazowy - komputer podaje kod a ty odpowiedz po przetworzeniu
przez token, komputer sobie tez kod wejsciowy przetwarza i musi mu wyjsc to
samo - wtedy wie ze masz ten token ktory powinienes miec

> 2. nie czytales poprzednich postow? komputer nie umie wytworzyc ani
> odczytac hasla, moze zweryfikowac czy jest prawidlowe

tak jest przy normalnych haslach wymyslanych przez czlowieka i
zapamietywanych w systemie. Kody jednorazowe z kartki lub tokena tworzy sie
inaczej.

jest klucz symetryczny (twoj w tokenie i identyczny w komputerze) i
algorytm
(np DES, 3*DES) masz komplet potrzebny na wejsciu.
Wrzucisz podajesz tokenowi kod i dostaniesz z tokena odpowiedz -
a komputer sobie to przeliczy i ma wyjsc na to samo.

Kazda lista hasel jednorazowych to lista ilus odpowiedzi po wrzuceniu
jakiegos ostatnio uzytego hasla i zeby ją powtorzyc wystarczy zapamietać to
ostatnio podane haslo. Jesli komputer bankowy nie umialby tej listy
odtworzyc to na jakiej podstawie swierdzalby ze twoja odpowiedz jest
poprawna ;-)))
*** blad ***

do góry

> ostatnio podane haslo. Jesli komputer bankowy nie umialby tej listy
> odtworzyc to na jakiej podstawie swierdzalby ze twoja odpowiedz jest
> poprawna ;-)))

dobra, oto sposob, jak zweryfikowac haslo bez jego pamietania i
mozliwosci odtworzenia:

1. komputer generuje dowolne, calkiem przypadkowe haslo h
2. f - funkcja haszujaca (skrotu)
3. komputer oblicza d = f(h)
4. k. zapisuje d, drukuje i zapomina h

5. uzytkownik dostaje h
6. przy uzyciu hasla, uzytkownik wpisuje h
7. komputer (ktory nie pamieta h) oblicza d' = f(h)
8. jezeli d' = d (zapamietane), to oznacza, ze uzytkownik wpisal
prawidlowe haslo (a scisle mowiac jest to to samo haslo z bardzo
duzym prawdopodobienstwem, w praktyce rownym 1)

funkcja haszujaca:
- jest bardzo zlozona obliczeniowo
- nie ma funkcji odwrotnej
- dla najmniejszej zmiany argumentu, daje calkiem rozne wartosci

przyklady takich funkcji to: SHA-1, MD5,

natomiast wspomniany przez ciebie algorytm DES (3DES) jest algorytmem
*szyfrujacym* i nie wiem, po co takie cos byloby potrzebne tokenowi,
oczekiwalbym raczej wlasnie funkcji haszujacej (dzialajacej na
argumencie zaleznym od czasu, ktory jest zsynchronizowany z czasem
serwera i generujacej dzieki temu taki sam skrot)

do góry

> tylko które media zrozumieja istote problemu?
>
> Potrzebne sa wyedukowane media, a te znowu rozgłosu nie zrobia. No chyba,
że
> potem mniej wyedukowane media podchwyca newsa...

Spokojnie....
1) To moze byc podpucha zwykla od Inteligo - konkurencja sie polasi zrobi
burze - a wtedy Inteligo a figa - zobaczcie na karteczki mozna kserowac i
takie tam - u nas kasa jest bezpieczna
2) znalezc to sie znajda takie media - bez obaw - chociazby Gazeta Bankowa
3) PKO BP - pierwszy wrog ;) bankow wirtualnych wykorzystalby to

Reasumjac - jak nie zobacze, to nie uwierze. Zobaczymy czy autor postu sie
jeszcze odezwie.
a mediom nie ma co dawac. Zobaczcie jak Minik zmienil front od razu ;)))

Warte obserwacji ha ha

do góry