"K." <k...@w...pl> writes:

>>> I co
>>> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez
>>> to kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
>>> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany.
>>
>> Nie widze problemu z przetestowaniem wszystkich PINow, jest ich cale
>> 10 tysiecy (albo milion przy 6 cyfrach, to jest drobny moment dla
>> komputera).
>
> Pod warunkiem ze karta np dopuszcza jedno zapytanie o poprawnosc PIN'u na
> jakis
> czas. Jestes adminem (jesli dobrze kojarze) to wiesz jak to sie robi np. przy
> telnecie. Dosc mocno to ogranicza ataki metoda slownikowa.

1. Przy telnecie to sie nic nie robi, a w kazdym razie zadnych hasel sie
nie przesyla (z poprawka na niektore dziwne urzadzenia, do ktorych nie da
sie inaczej).

2. To i tak nie ma nic do rzeczy, gdyz porownywales PIN clear-text
oraz w formie zakodowanej. Domyslam sie, ze to nie user ma wprowadzac
PIN w formie zakodowanej z klawiatury, a raczej karta ma go miec
w srodku w takiej formie. W tym przypadku ilosc mozliwych prob nie robi
najmniejszej roznicy, gdyz:
- jesli znamy (np. zakodowany) PIN - umiemy go odczytac z karty itp.
- to mozemy go sobie zlamac na wlasnym komputerze, nie musi tego robic
karta, a wiec zrobimy to szybko i nic nam nie ogranicza liczby prob,
- jesli go nie znamy (w sensie: nie umiemy odczytac karty), to sposob
przechowywania PINu nie ma zadnego znaczenia, bo na zewnatrz to i tak
wyglada jednakowo.
--
Krzysztof Halasa, B*FH