"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

> 1. takie ekranowe klawiatury tez pozwalają zbierac wprowadzane hasla,
> szczegolnie łątwo wtedy, gdy nacisnięcie myszą jakiegoś wirtualnego
> klawisza daje efekt wizualny wciskanego klawisza
> 2. takie hasla maskowane maja jedną podstawową wadę - muszą być po
> stronie banku trzymane w całości, a więc mozliwe do odkodowania w
> całości. Nie dają obrony przed informatykami z wnetrza banku,
> natomiast hasla pelne przechowuje sie w postaci skrótu
> jednokierunkowego, atk jak to robil od zawsze unix/linux

Niestety te ostatnie tez nie zabezpieczaja przed "informatykami
z wnetrza banku" - jesli taki ktos ma dostep do bazy z haslami,
to moze takze np. zmodyfikowac procedure logowania tak, by hasla
byly zapisywane. Oczywiscie, trzeba miec dostep R/W (a nie tylko
np. do backupu) i jest to wieksze ryzyko, ale specjalisci nie takie
rzeczy robia.

Dodatkowo problemem jest jakosc hasla - takie 8-znakowe uzywajace
tylko malych liter i cyfr sa za slabe. Hasla skladajace sie
z imienia i cyfr sa zdecydowanie za slabe. PINy (skladajace sie
tylko z cyfr) da sie tak "zlamac" kalkulatorem w cwierc sekundy.
--
Krzysztof Halasa