MarcinF <m...@i...pl> writes:

>> W ten sposob mozna wykazac wszystko? Jakis przyklad "wszystkiego"
>> moze?
>
> np. to ze haslo stale typowo jest bardzo proste bo inaczej byloby
> za trudne do zapamietania,

Jak ktos ma nieco wiecej pieniedzy na koncie to moze miec lepsza
pamiec. Tak czy owak, wybor klienta, a nie "za klienta".

> a zlozonosc jednorazowego ograniczona
> jest jedynie trudnoscia w przepisaniu zbyt dlugiego ciagu znakow

Dlugosc hasla jednorazowego w ogole nie zalezy od jego uzytkownika
(= klienta), wiec jest ograniczona zarowno od gory jak i od dolu
stosowana przez bank wielkoscia.

>> W jaki sposob zwiekszasz sile hasel jednorazowych otrzymanych
>> z banku (tak zeby przestal to byc trywialny PIN i by zrobilo sie z tego
>> normalne, mocne haslo)? ]
>
> np. generuje je tokenem lub w bankowym systemie autentykacji i wysylam
> nastepnie sms'em

Nie zartuj, zwlaszcza z tymi SMSami, ktore stanowia dodatkowy
(nie jeden zreszta) wektor ataku.

Token to nie sa hasla jednorazowe. BTW: sa takie wady tokenow,
ktorych nie maja ani normalne hasla, ani jednorazowe, np. chwilowy
dostep do bazy "seedow" tokenow daje mozliwosc przewidzenia
pozniejszych wynikow (tokena nie wyrzuca sie tak jak sie zmienia
hasla i wykorzystuje kody).

> dobre stale moze istniec tylko w hipotetycznym swiecie,

Jak dla kogo - nie wszyscy sa "frajerami".

> w tym
> prawdziwym mamy phishing, pharming, man in the middle, man in the
> browser...

Tyle ze tylko niektorzy sa podatni na takie ataki.

>> Przyklad: mBank IIRC uzywa 5-znakowych hasel jednorazowych. Pisza
>> o sobie, ze maja 5,9 mld zl. depozytow. Teraz wyobrazmy sobie
>> hipotetyczna sytuacje, ze w mBanku nie ma "pierwszego" logowania
>> (podobno najslabszego), i ze wszystko zalezy od hasel jednorazowych.
>
> wg. mnie podawanie za przyklad sutuacji ktore nie istnieja
> nie jest za bardzo przekonujace

Jesli ktos z gory zaklada ze nie mozna go przekonac to nie mam
w zwyczaju probowac. Jesli nie, to raczej nietrudno dostrzec, ze
rzekomo silniejszy mechanizm musi byc chroniony slabszym zeby
w ogole mogl dzialac.

> za to szansa na trafienie stalego hasla gdy sie je udalo
> przechwycic wynosi 1/1, i to jest wlasnie powod dla
> ktorego uzywa sie jednorazowych

A myslisz ze jesli sie uda przechwycic jednorazowe (w najbardziej
sensownym scenariuszu, tj. z MITMem na skutek np. phishingu
i automatycznym "poprawianiu" przelewu), to jaka jest szansa?

Stad wymaganie SSLa, takiego rzeczywiscie dzialajacego, gdy klient
uzywa bezpiecznego browsera i gdy wie, ze rzeczywiscie polaczony
jest ze swoim bankiem.

Bezpieczenstwo to jest prosta matematyka: szanse, mozliwe straty
i koszty. To nie jest nauka spoleczna ani nie jest tak, ze zasady
powstaja tam bo spodobaly sie prezesowi i akcjonariuszom.
--
Krzysztof Halasa