"Vizvary Istvan II" <v...@p...onet.pl> writes:

> A jesli PIN jest zapisane w postaci hash-a (standardowy padding, SHA1) ?

To przeciez nic nie zmienia - jesli masz zawartosc karty (ktorej normalnie
nie masz), to albo masz PIN clear textem, albo masz dowolny, jaki Ci sie
podoba hash, ktory zmieniasz w PIN uzywajac 10 tys. prob (czyli w czasie
mikrosekund). Nie ma takiego hasha, ktorego zlozonosc obliczeniowa
utrudnialaby jego odwrocenie przy tak malej dlugosci klucza (rzedu
15 bitow - zmiennego elementu klucza, zaleznego od PINu).

Jesli nie masz zawartosci karty (normalna sytuacja), to postac PINu takze
nie ma znaczenia, albo go znasz albo nie.

> Karty sa inteligentne.

Nazwalbym to lekka przesada :-)

> Tak z ciekawosci chyba 6 lat temu zrobilem taka karte z jednorazowymi PIN
> kodami pamietanymi w postaci hashowanej. Generowalo sie je samemu w
> bezpiecznym srodowisku, a korzystalo sie z nich byle gdzie.
> Podejrzewam, ze do tego stopnia nie przedobrzyli systemu, bo tez nikomu to
> do szczescia nie jest potrzebne.

Czasem sie przydaje. Zwykly PIN jest niewystarczajaco bezpieczny - moze
lepsze to troche niz karty, gdzie na podpis i kopie paska mozna komus
w ciagu sekundy ukrasc wszystkie oszczednosci i narobic dlugow, ale
z wiekszymi pieniedzmi to bym zwyklego PINu, zwlaszcza na karcie,
nie wiazal (na karcie = podawanego w roznych dziwnych okolicznosciach,
a nie tylko w swoim gabinecie).

Mysle ze w przyszlosci beda dostepne karty, w ktorych programowanie
sposobu podawania PINow bedzie zostawione uzytkownikowi. Wystarczy
ze ci, ktorzy beda potrzebowac, zmienia zwykle PINy w listy
jednorazowych.
--
Krzysztof Halasa