> ostatnio podane haslo. Jesli komputer bankowy nie umialby tej listy
> odtworzyc to na jakiej podstawie swierdzalby ze twoja odpowiedz jest
> poprawna ;-)))

dobra, oto sposob, jak zweryfikowac haslo bez jego pamietania i
mozliwosci odtworzenia:

1. komputer generuje dowolne, calkiem przypadkowe haslo h
2. f - funkcja haszujaca (skrotu)
3. komputer oblicza d = f(h)
4. k. zapisuje d, drukuje i zapomina h

5. uzytkownik dostaje h
6. przy uzyciu hasla, uzytkownik wpisuje h
7. komputer (ktory nie pamieta h) oblicza d' = f(h)
8. jezeli d' = d (zapamietane), to oznacza, ze uzytkownik wpisal
prawidlowe haslo (a scisle mowiac jest to to samo haslo z bardzo
duzym prawdopodobienstwem, w praktyce rownym 1)

funkcja haszujaca:
- jest bardzo zlozona obliczeniowo
- nie ma funkcji odwrotnej
- dla najmniejszej zmiany argumentu, daje calkiem rozne wartosci

przyklady takich funkcji to: SHA-1, MD5,

natomiast wspomniany przez ciebie algorytm DES (3DES) jest algorytmem
*szyfrujacym* i nie wiem, po co takie cos byloby potrzebne tokenowi,
oczekiwalbym raczej wlasnie funkcji haszujacej (dzialajacej na
argumencie zaleznym od czasu, ktory jest zsynchronizowany z czasem
serwera i generujacej dzieki temu taki sam skrot)