Krzysztof Kowalski wrote:
> "Darek R." <d...@...pl> wrote:
> > O właśnie - chodzi o to kto i do jakich informacji ma w banku dostęp, a
> > nie w jaki sposób jest kod zapisany. Przy tego typu hasłach jest
> > całkowicie obojętne czy poznam gotowe "hasła jednorazowe" czy tylko
> > ich skróty. Nie chodzi o to czy system przechowuje gotowe hasła czy
> > ich skróty - ważne jest to żeby nie udostępniał żadnych informacji na
> > ich temat.
>
> Sugerujesz system write-only? :-)))

Jedyna informacja o haśle którą powinien udostępniać system to taka, że gdy
on żąda podania kolejnego, a ja je wpiszę to powinien zweryfikować czy
wpisałem poprawne czy nie, a po np. trzech pomyłkach blokować całą listę.
Tyle. Nie powinno być najmniejszej możliwości dostania się do bazy w której
są zapisane hasła, a tym bardziej zrobienie duplikatu jakiejś listy.

> Masz tu skrót hasła z mojego serwera linuxowego
> ut2:$1$vH.l3c.o$H9t.kvDA3fiFO81dEFgs91:11394:0:99999
:5:::
> a teraz idź w świat ze swoim transparentem, że czy hasło czy skrót to
> obojętne ;-)))

Faaacet czy ty czytasz co ja piszę? Wyraźnie zaznaczyłem że chodzi mi o tego
typu "hasła", gdzie z góry wiem, że hasło składa się z sześciu cyferek.
Kumasz różnicę? Jak wiem że hasło to 6 cyferek to mam raptem 10^6 (czyli
1000000) możliwości i mogę wszystkie sprawdzić. Twoje hasło do linuxa może
składać się z kombinacji małych i dużych literek, cyfr i znaków specjalnych
i może mieć dowolną długość. Tak na oko około 10^40 możliwości, czyli
złamanie twojego hasła zajęło by mi 10^34 raza dłużej. Drobna różnica, nie?

> > Nie widze najmniejszej różnicy w bezpieczeństwie czy są zapisywane
> > gotowe hasła czy tylko skróty (przy tego typu "hasłach" - 5 lub 6
> > cyferek).
>
> Na szczęście nie Ty decydujesz o bezpieczeństwie systemów komputerowych
> ;-)

A wyraźnie napisałem "(przy tego typu "hasłach" - 5 lub 6 cyferek)" ... Jak
mam do sprawdzenia jedynie 10^6 kombinacji to tak samo jakbym miał gotowe
podane na tacy ...

> > I nic - bo to jest hasło wymyślone przez Ciebie, dowolnej długości i
> > zawierające prawie dowolne znaki. Sprawdzenie wszystkich możliwości
> > zajęłoby
> > zbyt dużo czasu. W banku jest to 5 lub 6 cyferek - sprawdzenie
> > wszystkich możliwości to kilka sekund.
>
> I ten "informatyk" tak sobie pisze w przerwie między drugim śniadaniem a
> trzecim beknięciem skrypcik, który będzie sprawdzał hasła podstawiając
> wartości od 000000 do 999999. Tia, może ten informatyk jeszcze on-line
> generuje wszystkim dynamiczne strony? ;-)

Nie zrozumiałeś. Jak ten informatyk ma dostęp do bazy ze skrótami haseł
jednorazowych (a nie powinien mieć), to nie stanowi dla niego problemu
skopiowanie kilku (-nastu) takich skrótów i stwierdzenie jakim hasłom
odpowiadają już w domu, na własnym PC.

--
Pozdrowienia
Darek Rzońca
http://drzonca.republika.pl - Zagadki lateralne, dowcipy, warcaby,
kostka Rubika a nawet sposób na nieśmiertelność!