Krzysztof Halasa wrote:
> "K." <k...@w...pl> writes:
>
>> Pod warunkiem ze karta np dopuszcza jedno zapytanie o poprawnosc
>> PIN'u na jakis
>> czas. Jestes adminem (jesli dobrze kojarze) to wiesz jak to sie robi
>> np. przy telnecie. Dosc mocno to ogranicza ataki metoda slownikowa.
>
> 1. Przy telnecie to sie nic nie robi, a w kazdym razie zadnych hasel
> sie nie przesyla

A to sorry - ale skad system do którego sie laczysz ma wiedziec ze Ty to Ty ?
Telepatia. No chyba ze chcesz mi mówic o ssh i uwierzytelnianiu przy pomocy
kluczy.

> 2. To i tak nie ma nic do rzeczy, gdyz porownywales PIN clear-text
[ciach - nieelegancko bo w srodku wypowiedzi]
> na zewnatrz to i tak wyglada jednakowo.

przypomne poczatek

>>>> I co
>>>> niby PIN jest gdzies na karcie umieszczony? Tak explicite? Przeciez
>>>> to kompletny bezsens. Powinien byc w formie zakodowanej, a PIN
>>>> wprowadzany przez uzytkownika jest kodowany i wtedy porownywany.

i Twoja odpowiedz:

>>> Nie widze problemu z przetestowaniem wszystkich PINow, jest ich cale
>>> 10 tysiecy (albo milion przy 6 cyfrach, to jest drobny moment dla
>>> komputera).

Wydawalo mi sie ze nie rozrózniales sytuacji w której karta zwraca PIN od
sytuacji w której karta tylko informuje (na zadanie autoryzacji PIN + kwota +
moze timestamp) - moge autoryzowac, nie moge autoryzowac i ew. autoryzacja tylko
przez CA. W tym drugim przypadku mozna ograniczyc ilosc prób na jednostke czasu.

--

K.