Wojtek Piecek wrote:
> Ale w systemach bankowych wystarczy ze md5 bedzie liczone od jakis
> fajnych rzeczy (a nie tylko od klucza) i juz nasz riper wysiada.

Zauważ, że potem prawdziwość hasła musi być werfikowalna, więc albo te
"fajne rzeczy" też są gdzieś zapisane (i jeśli mam dostęp do bazy ze
"skrótami haseł" to do bazy z "fajnymi rzeczami" pewnie też), albo są jakoś
generowane - czyli wystarczy że poznam ten tajny algorytm generujący "fajne
rzeczy". Czyli tak jak pisałem - jeśli informatyk (czy ktokolwiek inny) ma
dostęp do bazy czy to z gotowymi "hasłami", czy ze "skrótami" (i wie jak są
tworzone) to taki poziom zabezpieczeń nadaje się do wyrzucenia. Jedyna
informacja jaką powinno się dać wydrzeć z systemu to to czy dane hasło
wpisaliśmy poprawnie (i blokada po trzecim błędnym wpisaniu) (no i dodatkowo
zabezpieczenie przed sprawdzaniem hasła na wielu kontach - wybieramy jakieś
hasło i lecimy przez wszystkie konta - przy takich hasłach (6 cyferek)
trafimy dość szybko). Takie coś jak możliwość stworzenia duplikatu listy
całkowicie dyskwalifikuje poziom bezpieczeństwa. Jak banki nie są w stanie
tego zapewnić, to niech chociaż stosują bardziej skomplikowane hasła
jednorazowe (powiedzmy małe, duże litery i cyfry, długość 12-14 znaków) i
wtedy zapisują jedynie skróty - to trochę urealni te zabezpieczenia.

--
Pozdrowienia
Darek Rzońca
http://drzonca.republika.pl - Zagadki lateralne, dowcipy, warcaby,
kostka Rubika a nawet sposób na nieśmiertelność!