scream <n...@p...pl> writes:

> Nie mam zastrzeżeń co do SSL, a jedynie zastrzeżenia do kombinacji
> login/hasło. To nie jest bezpieczna forma logowania.

BTW: kombinacja login/haslo jest jedna z najbezpieczniejszych
i z pewnoscia jest o rzedy wielkosci bezpieczniejsza niz przecietny
klient banku.

Problem w tym, by klienci nie podawali tych hasel komputerowi innemu
niz banku, by nie zapisywali ich sobie na czole, by te hasla byly
sensowne (dobre 10-znakowe haslo ma 60+ bitow losowych), by
komputery tych userow nie mialy poinstalowanych keyloggerow,
wirusow, Trojanow i innych takich, i by sami userzy nie korzystali
z komputerow, do ktorych potencjalny zlodziej ma dostep (np. w cafe).

Od pary login/haslo zauwazalnie lepsza jest glownie kryptografia
asymetryczna, gdyz dodaje pewnosc, ze to klient (lub osoba znajaca
jego prywatny klucz) podpisal transakcje - nie moze tego zrobic ktos
z wewnatrz banku.

Mozna tez wskazywac na mniejsze roznice pomiedzy roznymi systemami
hasel, np. haslo "statyczne" vs tokeny vs S/Key itd. Wszystkie one
sa jednak o rzedy wielkosci bezpieczniejsze od pozostalych, typowych
elementow ukladanki.
--
Krzysztof Halasa