Dnia Wed, 3 Apr 2002 16:00:14 +0200,
osoba podpisana: blad <b...@W...pl>
napisała:
[...]

>
> Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> transakcji
> nim nie podpisze ;-))

Tak ? A w jaki sposób zapewnisz sobie że np aplet (np. taki jak w
BSKOnLine) nie wyśle gdzieś tego klucza ?

Jeśli klucz to (IMHO) jedynie w postaci karty która nie udostępnia
funkcji "daj klucz" a jedynie "podpisz dokument"

KJ
> *** blad ***
>


--
The world is coming to an end ... SAVE YOUR BUFFERS!!!

do góry

Krzysztof Kowalski wrote:
> Tak, a informatyk w banku to sobie siedzi i pisze co mu się podoba.
> Dzisiaj sobie wyciągnę hasełka, jutro może salda klientów, pojutrze
> adresy kobiet w wieku 25 lat.

O właśnie - chodzi o to kto i do jakich informacji ma w banku dostęp, a nie
w jaki sposób jest kod zapisany. Przy tego typu hasłach jest całkowicie
obojętne czy poznam gotowe "hasła jednorazowe" czy tylko ich skróty. Nie
chodzi o to czy system przechowuje gotowe hasła czy ich skróty - ważne jest
to żeby nie udostępniał żadnych informacji na ich temat.

> Oczywiście, że zawsze można w ten sposób wyciągnąć hasła - ale jest to
> znacznie bezpieczniejsze niż zapisywanie ich w taki sposób, ze można je
> odtworzyć - a wygląda na to, że tak robi Inteligo (oczywiście pewności nie
> ma co się stało).

Nie widze najmniejszej różnicy w bezpieczeństwie czy są zapisywane gotowe
hasła czy tylko skróty (przy tego typu "hasłach" - 5 lub 6 cyferek).

> Poza tym - co to znaczy "znam algorytm tworzenia skrótu"? A co to za
> tajemnica? Każy może wiedzieć jakim algorytmem szyfruje się hasła na
> linuxie - i co? :-)

I nic - bo to jest hasło wymyślone przez Ciebie, dowolnej długości i
zawierające prawie dowolne znaki. Sprawdzenie wszystkich możliwości zajęłoby
zbyt dużo czasu. W banku jest to 5 lub 6 cyferek - sprawdzenie wszystkich
możliwości to kilka sekund.

--
Pozdrowienia
Darek Rzońca
http://drzonca.republika.pl - Zagadki lateralne, dowcipy, warcaby,
kostka Rubika a nawet sposób na nieśmiertelność!

do góry

Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
news:a8fkou$6k8$2@news.onet.pl...

> Napisalem reklamacje, zobaczymy co z tego wyniknie - drugi raz ich
> niezawodny system spieprzyl sie - poprzendim razem polecenie zaplaty -
> zgonili na bank. Teraz- chyba zaczna twierdzic ze ja zglupialem i zwidy
> mialem a to co za szyba siedzialo prawie 4 miesiace to pestka.
>
> Mialem dwa identyfikatory ostal mi sie jeden... Ciekawe jak to
wytlumacza...

A można mieć dwa identyfkatory na jeden numer telefonu?
A z czystej ciekawości - jak wtedy wygląda doładowanie konta wapark w
bankomacie BZWBK ?
Nigdy z tego nie korzystałem, pytam z czystem ciekawości... Nawet w
Warszawie nie mieszkam.
Bo podobnie jest z "Całą dobę przez telefon" w POPie - po ponownej aktywacji
na nową kartę, dane starej karty są usuwane z systemu...

Korzystałeś z obu naraz w praktyce?

Trzeba przyznać, że obsługa klineta w Idei to najgorszy punkt, wymagający
NATYCHMIASTOWEJ poprawy.
Zdaniem BOK nie ma się co przejmować, bo i tak zmienia się ono tyle razy,
ile razy się zadzwoni.
Usługi rewelacyjne, marketing też, oferta badzo dobra, zasięg coraz
lepszy...

Ale klient obsługiwany jak w starych oddziałach PKO BP [zeby było nawiązanie
do tematu ;)].

Często nawet osoby z działu reklamacji piszą głupoty... Może musimy czekać,
aż Idea zmieni się na Orange. Może Orange nie będzie chciał swoim logo
firmować takiego BOKu...

--
Pozdrawiam,

Wojciech Nawara
w...@p...onet.pl
0501950782

do góry

> A można mieć dwa identyfkatory na jeden numer telefonu?
> A z czystej ciekawości - jak wtedy wygląda doładowanie konta wapark w
> bankomacie BZWBK ?
> Nigdy z tego nie korzystałem, pytam z czystem ciekawości... Nawet w
> Warszawie nie mieszkam.

Mozna mozna i dziala super. (znaczy dzialalo ;)
Na pierwszy zarejestrowany na poczatek wysylasz P na 5001 a K na koniec.
Aby na druga czy kolejna karte zaparkowac wystarczy wyslac P numer karty i K
(juz bez nunmeru) na koniec.

doladowywalem zawsze via SMS po 10 zl :)

do góry

"Darek R." <d...@...pl> wrote in message news:a8i0a4$s46$1@news.tpi.pl...
> O właśnie - chodzi o to kto i do jakich informacji ma w banku dostęp, a
nie
> w jaki sposób jest kod zapisany. Przy tego typu hasłach jest całkowicie
> obojętne czy poznam gotowe "hasła jednorazowe" czy tylko ich skróty. Nie
> chodzi o to czy system przechowuje gotowe hasła czy ich skróty - ważne
jest
> to żeby nie udostępniał żadnych informacji na ich temat.

Sugerujesz system write-only? :-)))
Masz tu skrót hasła z mojego serwera linuxowego
ut2:$1$vH.l3c.o$H9t.kvDA3fiFO81dEFgs91:11394:0:99999
:5:::
a teraz idź w świat ze swoim transparentem, że czy hasło czy skrót to
obojętne ;-)))

> Nie widze najmniejszej różnicy w bezpieczeństwie czy są zapisywane gotowe
> hasła czy tylko skróty (przy tego typu "hasłach" - 5 lub 6 cyferek).

Na szczęście nie Ty decydujesz o bezpieczeństwie systemów komputerowych ;-)

> I nic - bo to jest hasło wymyślone przez Ciebie, dowolnej długości i
> zawierające prawie dowolne znaki. Sprawdzenie wszystkich możliwości
zajęłoby
> zbyt dużo czasu. W banku jest to 5 lub 6 cyferek - sprawdzenie wszystkich
> możliwości to kilka sekund.

I ten "informatyk" tak sobie pisze w przerwie między drugim śniadaniem a
trzecim beknięciem skrypcik, który będzie sprawdzał hasła podstawiając
wartości od 000000 do 999999. Tia, może ten informatyk jeszcze on-line
generuje wszystkim dynamiczne strony? ;-)

Pozdrawiam
K. Kowalski

do góry

On Fri, Apr 05, 2002 at 10:27:29AM +0200, jakis misio wrote:

> > Nie widze najmniejszej różnicy w bezpieczeństwie czy są zapisywane gotowe
> > hasła czy tylko skróty (przy tego typu "hasłach" - 5 lub 6 cyferek).

Alez prosze - 4-ro znakowe haslo (passwd) po obrobce crypt + md5:

pasat:$1$7PAfYb85$21A1xWPE0SUzZ12I2mnC61:11782:0:999
99:7:::

z podobnego linuxa ;-)

--

--w
--
Archiwum grupy: http://niusy.onet.pl/pl.biznes.banki

do góry

Krzysztof Kowalski wrote:
> "Darek R." <d...@...pl> wrote:
> > O właśnie - chodzi o to kto i do jakich informacji ma w banku dostęp, a
> > nie w jaki sposób jest kod zapisany. Przy tego typu hasłach jest
> > całkowicie obojętne czy poznam gotowe "hasła jednorazowe" czy tylko
> > ich skróty. Nie chodzi o to czy system przechowuje gotowe hasła czy
> > ich skróty - ważne jest to żeby nie udostępniał żadnych informacji na
> > ich temat.
>
> Sugerujesz system write-only? :-)))

Jedyna informacja o haśle którą powinien udostępniać system to taka, że gdy
on żąda podania kolejnego, a ja je wpiszę to powinien zweryfikować czy
wpisałem poprawne czy nie, a po np. trzech pomyłkach blokować całą listę.
Tyle. Nie powinno być najmniejszej możliwości dostania się do bazy w której
są zapisane hasła, a tym bardziej zrobienie duplikatu jakiejś listy.

> Masz tu skrót hasła z mojego serwera linuxowego
> ut2:$1$vH.l3c.o$H9t.kvDA3fiFO81dEFgs91:11394:0:99999
:5:::
> a teraz idź w świat ze swoim transparentem, że czy hasło czy skrót to
> obojętne ;-)))

Faaacet czy ty czytasz co ja piszę? Wyraźnie zaznaczyłem że chodzi mi o tego
typu "hasła", gdzie z góry wiem, że hasło składa się z sześciu cyferek.
Kumasz różnicę? Jak wiem że hasło to 6 cyferek to mam raptem 10^6 (czyli
1000000) możliwości i mogę wszystkie sprawdzić. Twoje hasło do linuxa może
składać się z kombinacji małych i dużych literek, cyfr i znaków specjalnych
i może mieć dowolną długość. Tak na oko około 10^40 możliwości, czyli
złamanie twojego hasła zajęło by mi 10^34 raza dłużej. Drobna różnica, nie?

> > Nie widze najmniejszej różnicy w bezpieczeństwie czy są zapisywane
> > gotowe hasła czy tylko skróty (przy tego typu "hasłach" - 5 lub 6
> > cyferek).
>
> Na szczęście nie Ty decydujesz o bezpieczeństwie systemów komputerowych
> ;-)

A wyraźnie napisałem "(przy tego typu "hasłach" - 5 lub 6 cyferek)" ... Jak
mam do sprawdzenia jedynie 10^6 kombinacji to tak samo jakbym miał gotowe
podane na tacy ...

> > I nic - bo to jest hasło wymyślone przez Ciebie, dowolnej długości i
> > zawierające prawie dowolne znaki. Sprawdzenie wszystkich możliwości
> > zajęłoby
> > zbyt dużo czasu. W banku jest to 5 lub 6 cyferek - sprawdzenie
> > wszystkich możliwości to kilka sekund.
>
> I ten "informatyk" tak sobie pisze w przerwie między drugim śniadaniem a
> trzecim beknięciem skrypcik, który będzie sprawdzał hasła podstawiając
> wartości od 000000 do 999999. Tia, może ten informatyk jeszcze on-line
> generuje wszystkim dynamiczne strony? ;-)

Nie zrozumiałeś. Jak ten informatyk ma dostęp do bazy ze skrótami haseł
jednorazowych (a nie powinien mieć), to nie stanowi dla niego problemu
skopiowanie kilku (-nastu) takich skrótów i stwierdzenie jakim hasłom
odpowiadają już w domu, na własnym PC.

--
Pozdrowienia
Darek Rzońca
http://drzonca.republika.pl - Zagadki lateralne, dowcipy, warcaby,
kostka Rubika a nawet sposób na nieśmiertelność!

do góry

Wojtek Piecek wrote:
> Alez prosze - 4-ro znakowe haslo (passwd) po obrobce crypt + md5:
>
> pasat:$1$7PAfYb85$21A1xWPE0SUzZ12I2mnC61:11782:0:999
99:7:::
>
> z podobnego linuxa ;-)

O ile mój Johny się nie pomylił to hasło brzmi 1234
Zgadłem?

--
Pozdrowienia
Darek Rzońca
http://drzonca.republika.pl - Zagadki lateralne, dowcipy, warcaby,
kostka Rubika a nawet sposób na nieśmiertelność!

do góry

Darek R wrote:
> Krzysztof Kowalski wrote:
<big ciach>
> > Masz tu skrót hasła z mojego serwera linuxowego
> > ut2:$1$vH.l3c.o$H9t.kvDA3fiFO81dEFgs91:11394:0:99999
:5:::
> > a teraz idź w świat ze swoim transparentem, że czy hasło czy skrót to
> > obojętne ;-)))

Zapuściłem na tym "skrócie" Johny`ego i pokazał mi coś takiego 12345. Zgadza
się?

--
Pozdrowienia
Darek Rzońca
http://drzonca.republika.pl - Zagadki lateralne, dowcipy, warcaby,
kostka Rubika a nawet sposób na nieśmiertelność!

do góry

> I ten "informatyk" tak sobie pisze w przerwie między drugim śniadaniem a
> trzecim beknięciem skrypcik, który będzie sprawdzał hasła podstawiając
> wartości od 000000 do 999999. Tia, może ten informatyk jeszcze on-line
> generuje wszystkim dynamiczne strony? ;-)


A po trzecim blednym wprowadzeniu kodu dostep jest blokowany.

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry