Dnia Wed, 18 Oct 2006 20:17:53 +0000 (UTC),
osoba podpisana: Manwe <u...@g...pl>
napisała:
> Kamil Jońca <k...@p...onet.pl> napisał(a):
>
>> Nie ma P R O S T E J możliwości zmiany hasła. Czytenie ze zrozumieniem
>> to podstawówka chyba jest.
>
> Zdefiniuj pojęcie PROSTEJ zmiany hasła ;)
> Bo jeżeli uważasz, że użytkownik powinien mieć możliwość zmiany hasła np. w
> serwisie transakcyjnym to byłoby to na pewno obniżenie poziomu zabezpieczeń.
A jakieś uzasadnienie tego, przyznam, nowatorskiego dla mnie poglądu ?


> Jak sądzisz ilu użytkowników zamiast 6 losowo wygenerowanych liter, wybierze
> sobie coś łatwego do zapamiętania?

Jeśli się ich *zmusi* to wszyscy. Odpowiednie narzędzia (np. libpam*,
oracle tez ma coś podobnego) istnieją. Ale trzeba *chcieć* je
zastosować.


> W związku z tym taka, a nie inna procedura zmiany hasła (a w zasadzie wymiana
> KB karty) jest jak najbardziej sensowna.
Jakby to ując: sama kb karta jest bezsensowna. I to czy jest wymieniana
w oddziale czy nie, nie zmienia w znaczący sposób jej (bez) sensowności.

[...]
> Przecież potwierdzając operację w KB24 nie wpisujesz całego hasła z KB karty,
> tylko wybrane losowo 3 litery. Co z tego, że keylogger je zapisze? I tak nie
> znasz całego hasła.
>
A kto powiedział, że keylogger nie funkcjonował tam powiedzmy ...
miesiąc ? Uważasz, że nie mógł (przy średnio aktywnym użytkowniku)
poznać wszystkich znaków ?

> To nie za pomocą keylogger'a ktoś się włamał na to konto, tylko za pomocą
> podstawionej stronki na której gościu podał wszystkie swoje dane.
>

Byłes przy tym ? Bo ja wśród spamu dostaję dużo phishingowych maili (ten
słynny mBanku też dostałem), ale KB nie uświadczyłem. A jakieś inne
metody skłonienia człowieka do wejścia na podmienioną stronę (podmiana DNS na
przykład) to jakoś mi się prostsze od keyloggera nie wydają.

KJ

--
Rowery treningowe, sprzęt sportowy, siłownie
http://strony.aster.pl/kjonca/index.xhtml#f4y
Anyone can make an omelet with eggs. The trick is to make one with none.