Re: PIN do karty - przechowywany przez bank? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › PIN do karty - przechowywany przez bank? › Re: PIN do karty - przechowywany przez bank?

Received: by 10.49.76.65 with SMTP id i1mr148335qew.24.1353597386640; Thu, 22 Nov
2012 07:16:26 -0800 (PST)
Received: by 10.49.76.65 with SMTP id i1mr148335qew.24.1353597386640; Thu, 22 Nov
2012 07:16:26 -0800 (PST)
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!wsisiz.edu.pl!plix.pl!newsfeed2.plix.pl!feed.xsnews.nl!border-2.ams.xs
news.nl!feeder3.cambriumusenet.nl!feed.tweaknews.nl!209.197.12.242.MISMATCH!nx0
1.iad01.newshosting.com!newshosting.com!69.16.185.16.MISMATCH!npeer02.iad.highw
inds-media.com!news.highwinds-media.com!feed-me.highwinds-media.com!i9no8692833
qap.0!news-out.google.com!gf5ni2982588qab.0!nntp.google.com!i9no8727170qap.0!po
stnews.google.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.biznes.banki
Date: Thu, 22 Nov 2012 07:16:26 -0800 (PST)
In-Reply-To: <m...@i...localdomain>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=95.143.245.61;
posting-account=UXATpAoAAACnMkD2hZ_VE5v-3hjNR9ao
NNTP-Posting-Host: 95.143.245.61
References: <50a3f8ea$1@news.home.net.pl> <k80tj1$bgj$1@node1.news.atman.pl>
<50a40289$1@news.home.net.pl> <k810jg$1t06$1@adenine.netfront.net>
<k81a84$d6f$2@dont-email.me> <m...@i...localdomain>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <d...@g...com>
Subject: Re: PIN do karty - przechowywany przez bank?
From: Zibo <z...@g...com>
Injection-Date: Thu, 22 Nov 2012 15:16:26 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Received-Bytes: 3964
Xref: news-archive.icm.edu.pl pl.biznes.banki:583186
[ ukryj nagłówki ]
W dniu czwartek, 15 listopada 2012 23:49:00 UTC+1 użytkownik Krzysztof Halasa
napisał:
> witek <w...@g...pl.invalid> writes:
>
>
>
> >> W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
>
> >> ciebie w bankomacie czy sklepie sie zgadza?
>
> >
>
> > do tego pin mu nie jest potrzebny.
>
>
>
> Potrzebne jest coś, co pozwoli na jego sprawdzenie. Nawet 6 cyfr to dla
>
> zwykłego komputerka czas grubo poniżej sekundy.
>
>
>
> Jakąś możliwością jest taka, w której sprawdzenie każdej kombinacji
>
> byłoby bardzo kosztowne obliczeniowo. Wtedy oczywiście atak na
>
> pojedynczą kartę wciąż byłby możliwy (i łatwy - komputery w banku nie
>
> mogą być nieograniczone), ale już atak na np. wszystkie karty byłby
>
> nieopłacalny. Tyle że to nie rozwiązuje żadnego praktycznego problemu.
>
>
>
> >> Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
>
> >> 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
>
> >> "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
>
> >> wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
>
> >
>
> > jeszcze musisz wiedziec jak zaszyfrowanej.
>
> >
>
> > zapisz sie na jakis kurs kryptografii.
>
>
>
> Przecież ma rację, no może poza tym, że to aż tak długo nie trwa.
>
>
>
> Nie myślisz też chyba że łatwiej ukryć algorytm niż bazę PINów?
>
> BTW zawartość bazy wygeneruje (z dużym prawdopodobieństwem) w sposób
>
> sensowny bezduszny prosty program typu cat /dev/random. Zrób to samo
>
> z algorytmem, i nie zdziw się później, gdy okaże się trywialnie łamalny.
>
> BTW znakomita większość "autorskich" algorytmów szyfrujących jest
>
> trywialnie łamalna, nawet jeśli teoretyczne założenia umożliwiają
>
> napisanie dobrego algorytmu (tu tego nie mamy).
>
>
>
> W tej chwili praktycznie dowolne algorytmy tego typu operujące na
>
> powiedzmy 48-bitowych kluczach są łatwe do złamania nawet amatorskimi
>
> sposobami. 4-cyfrowy PIN to jest tylko (prawie) 14 bitów, w kontekście
>
> kryptografii to nawet nie jest śmieszne.
>
> --
>
> Krzysztof Halasa

A nie można przyjąć założenie że kluczem szyfrującym nie jest PIN tylko jakiś
wielobitowy klucz inny a pin jest częścią wiadomości szyfrującej?