Krzysztof Halasa wrote:
>
> MarcinF <m...@i...pl> writes:
>
> >> Tyle ze "stale" haslo moze miec wiele znakow, zas "hasla jednorazowe"
> >> typowo maja tylko kilka cyfr - kilkanascie bitow entropii.
> >
> > porownujesz "moze miec" z "typowo maja", w ten sposob mozna wykazac
> > wszystko
>
> W ten sposob mozna wykazac wszystko? Jakis przyklad "wszystkiego"
> moze?

np. to ze haslo stale typowo jest bardzo proste bo inaczej byloby
za trudne do zapamietania, a zlozonosc jednorazowego ograniczona
jest jedynie trudnoscia w przepisaniu zbyt dlugiego ciagu znakow


> W jaki sposob zwiekszasz sile hasel jednorazowych otrzymanych
> z banku (tak zeby przestal to byc trywialny PIN i by zrobilo sie z tego
> normalne, mocne haslo)? ]

np. generuje je tokenem lub w bankowym systemie autentykacji i wysylam
nastepnie sms'em


> Bo w jaki sposob ustawic dobre haslo stale to
> chyba wiesz?

dobre stale moze istniec tylko w hipotetycznym swiecie, w tym
prawdziwym mamy phishing, pharming, man in the middle, man in the
browser...

> Przyklad: mBank IIRC uzywa 5-znakowych hasel jednorazowych. Pisza
> o sobie, ze maja 5,9 mld zl. depozytow. Teraz wyobrazmy sobie
> hipotetyczna sytuacje, ze w mBanku nie ma "pierwszego" logowania
> (podobno najslabszego), i ze wszystko zalezy od hasel jednorazowych.

wg. mnie podawanie za przyklad sutuacji ktore nie istnieja
nie jest za bardzo przekonujace

> Szansa na trafienie hasla jednorazowego wynosi 1/100000, a wiec
> nawet tylko w jednej probie (dla kazdego konta) osiagasz "wynik"
> srednio kilkudziesieciu tysiecy zl.

za to szansa na trafienie stalego hasla gdy sie je udalo
przechwycic wynosi 1/1, i to jest wlasnie powod dla
ktorego uzywa sie jednorazowych