eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank balansuje na granicy ryzyka
Ilość wypowiedzi w tym wątku: 14

  • 11. Data: 2004-01-30 02:08:53
    Temat: Re: mBank balansuje na granicy ryzyka
    Od: Jarek Andrzejewski <j...@d...com.pl>

    On Tue, 27 Jan 2004 13:03:39 +0100, "Tukan" <t...@g...cjb.net>
    wrote:

    >Nie rozumiem porównania listy haseł do malucha i tokena do mercedesa.
    >Pokaż mi wyższośc tokena nad listą haseł, bo jeśli chodzi o bezpieczeństwo
    >to dla mnie nie ma żadnej różnicy.

    a) tokena nie skopiujesz
    b) karta kodów jest dostępna bez PINu

    --
    Jarek Andrzejewski


  • 12. Data: 2004-01-30 17:49:29
    Temat: Re: mBank balansuje na granicy ryzyka
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Jarek Andrzejewski <j...@d...com.pl> writes:

    > a) tokena nie skopiujesz

    Nie mozna tego zalozyc. Fakt, trudniej go skopiowac, jesli karta kodow
    nie jest odpowiednio zabezpieczona "zdrapka" (jesli jest, to jest szansa,
    ze token moze byc nawet latwiejszy do skopiowania bez zwlacania na to
    uwagi).

    > b) karta kodów jest dostępna bez PINu

    Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
    wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
    sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
    ktore nie zostaly jeszcze wygenerowane.

    Natomiast oczywiscie wszystkie te problemy rozwiazuje dopiero
    kryptografia (niekoniecznie w sensie "kwalifikowanego podpisu
    elektronicznego").
    --
    Krzysztof Halasa, B*FH


  • 13. Data: 2004-01-31 18:22:30
    Temat: Re: mBank balansuje na granicy ryzyka
    Od: Jarek Andrzejewski <j...@d...com.pl>

    On Fri, 30 Jan 2004 18:49:29 +0100, Krzysztof Halasa <k...@p...waw.pl>
    wrote:

    >> a) tokena nie skopiujesz
    >
    >Nie mozna tego zalozyc. Fakt, trudniej go skopiowac, jesli karta kodow
    >nie jest odpowiednio zabezpieczona "zdrapka" (jesli jest, to jest szansa,
    >ze token moze byc nawet latwiejszy do skopiowania bez zwlacania na to
    >uwagi).

    jak chcesz skopiować token np. Vasco? Prześwietlić? :-)

    >> b) karta kodów jest dostępna bez PINu
    >
    >Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
    >wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
    >sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
    >ktore nie zostaly jeszcze wygenerowane.

    a niby jak ma poznać nie pracując w banku odpowiedź tokena na
    zapytanie, które wynika z treści przyszłego zlecenia i do tego zależy
    od czasu?

    A co do list: nie ma pewności, że listy są losowe, a jeśli nie są, to
    kryptoanalityk już ma większe szanse.

    >Natomiast oczywiscie wszystkie te problemy rozwiazuje dopiero
    >kryptografia (niekoniecznie w sensie "kwalifikowanego podpisu
    >elektronicznego").

    Ależ tokeny używają kryptografię. Może nie jakąś super, bo np.
    DES/3DES, ale jednak kryptografię...
    --
    Jarek Andrzejewski


  • 14. Data: 2004-01-31 22:35:40
    Temat: Re: mBank balansuje na granicy ryzyka
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Jarek Andrzejewski <j...@d...com.pl> writes:

    > jak chcesz skopiować token np. Vasco? Prześwietlić? :-)

    Sa rozmaite metody. Mozna skopiowac duzo ciekawsze rzeczy. Naturalnie
    nie twierdze ze moze to zrobic majsterkowicz uzywajac narzedzi
    kupionych w OBI (choc glowy nie dam ze nie moze).

    >>Ale porownaj to z mozliwoscia poznania (np. przez pracownika banku)
    ^^^^^^^^^^^^^^^^^^^^^^^^^^
    >>wszystkich, takze przyszlych wskazan tokena, i ta mozliwosc nie konczy
    >>sie wraz z rozwiazaniem umowy o prace. Pracownik nie moze poznac list,
    >>ktore nie zostaly jeszcze wygenerowane.
    >
    > a niby jak ma poznać nie pracując w banku odpowiedź tokena na
    > zapytanie, które wynika z treści przyszłego zlecenia i do tego zależy
    > od czasu?

    Token to prosty kalkulator, wynik otrzymywany na wyjsciu jest funkcja
    kilku parametrow wejsciowych - zwykle czasu oraz znanej obu stronom
    - komputerowi banku i tokenowi - tajnej wartosci (seed, shared secret).
    Czasem moze to byc challenge-response, gdzie dochodzi dodatkowy parametr
    - zapytanie generowane przez bank.
    Jesli ktos ma dostep do komputera autoryzujacego operacje z tokenami,
    to po prostu moze skopiowac baze seedow (albo w ogole caly program,
    ktory sie tym zajmuje). Pozostale rzeczy bedzie znal: zna aktualny
    czas (dryft czasu tokena da sie latwo zbadac podsluchujac _jedna_
    oryginalna odpowiedz tokena lub metoda brute-force), ew. podslucha
    challenge jesli jest to uzywane.

    > A co do list: nie ma pewności, że listy są losowe, a jeśli nie są, to
    > kryptoanalityk już ma większe szanse.

    Dokladnie tak samo jak seedy tokenow, wiec tu nie ma roznic. Ale
    zaklada sie, ze jednak obie te rzeczy sa wystarczajaco losowe, inaczej
    lamie to podstawowe zalozenia.

    > Ależ tokeny używają kryptografię. Może nie jakąś super, bo np.
    > DES/3DES, ale jednak kryptografię...

    Jasne ze tak. Tyle ze to jest wciaz kryptografia z shared secred,
    dokladnie tak samo jak w przypadku list kodow.
    --
    Krzysztof Halasa, B*FH

strony : 1 . [ 2 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1