-
Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
ews.man.poznan.pl!news.ipartners.pl!not-for-mail
From: "Rafal Smigielski" <r...@b...pl>
Newsgroups: pl.biznes.banki
Subject: Re: bezpieczeństwo a' la Inteligo - tp mit :-(
Date: Tue, 9 Apr 2002 12:12:25 +0200
Organization: Internet Partners
Lines: 70
Message-ID: <a8uf7d$1geh$1@news2.ipartners.pl>
References: <a8i0a4$s46$1@news.tpi.pl> <a8jn6f$n4b$1@flis.man.torun.pl>
<2...@d...pingwin.waw.pl> <a8kpov$4q3$1@news.tpi.pl>
<2...@d...pingwin.waw.pl> <a8qkg2$q99$1@news.tpi.pl>
<X...@1...254.173.2>
NNTP-Posting-Host: out.spsa.com.pl
X-Trace: news2.ipartners.pl 1018347565 49617 217.153.26.97 (9 Apr 2002 10:19:25 GMT)
X-Complaints-To: a...@i...pl
NNTP-Posting-Date: 9 Apr 2002 10:19:25 GMT
X-Newsreader: Microsoft Outlook Express 5.50.4522.1200
X-MSMail-Priority: Normal
X-Priority: 3
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
Xref: news-archive.icm.edu.pl pl.biznes.banki:175114
[ ukryj nagłówki ]
Użytkownik "Adam_mb" <m...@i...pl> napisał w wiadomości
news:Xns91EAB3F3361CFx2e5@150.254.173.2...
> >całkowicie dyskwalifikuje poziom bezpieczeństwa. Jak banki nie są w
stanie
> >tego zapewnić, to niech chociaż stosują bardziej skomplikowane hasła
> >jednorazowe (powiedzmy małe, duże litery i cyfry, długość 12-14 znaków) i
> >wtedy zapisują jedynie skróty - to trochę urealni te zabezpieczenia.
>
> hmm, a czy crypt(crypt(crypt("moje_tajne_haslo"))) zwieksza czas
odtwarzania
> hasła?
>
> Bo zakodowanie takiego hasła jest nadal proste (krótkie), a może rosnie
czas,
> nazwijmy to eufemistycznie, "dekompresji"? I już nie 5h, tylko 7 tygodni
albo
> 13 miesiecy na tej samej maszynce...
>
> Bezpieczeństwo kodowanych haseł polega na tym, że jesli od np. awarii
systemu
> (włamania itd.) do wykrycia tego faktu nie upłynie zbyt długi czas, to
fakt
> potrzeby użycia odpowiedniego czasu na crackowanie daje pewne
bezpieczeństwo
> systemowi i jego administatorom - na wykrycie luki, zmiane haseł czy
> zablokowanie danego kanału...
>
> Lepiej mieć 5 godzin niż 5 sekund, lepiej 7 tygodni niż 5h.
>
Zgadzam się całkowicie - jednak należałoby sytuację trochę odwrócić:
najważniejszą sprawą wydaje mi się minimalizowanie czasu, jaki jest
udostępniany na próbę złamania haseł i to zarówno dla ataków zewnętrznych
jak i wewnętrznych.
Użycie tokenów kryptograficznych wykorzystujących funkcje czasowe powoduje,
że w efekcie do systemu autoryzacyjnego banku dociera od użytkownika efekt
funkcji crypt ("hasło_autoryzacyjne", crypt("tajny_kod_tokena"),
"czas_systemowy"). Oczywiście w duzym uproszczeniu. System autoryzacyjny po
stronie banku nie przechowuje lecz na bieżąco wylicza wartość tej funkcji
dla wywołania autoryzacyjnego opierając się na znajomości poszczególnych
argumentów i funkcji crypt. Wyznacza więc wartość crypt
("hasło_autoryzacyjne", crypt("tajny_kod_tokena"), "czas_systemowy") i
porównuje wartość wyzaczoną z przekazaną przez użytkownika.
System autoryzacyjny przechowuje jedynie skrót "tajnego_kodu_tokenu", reszta
informacji jest pobierana lub generowana przez system ("czas_systemowy" -
pobierany, "hasło_autoryzacyjne" - generowane, często losowo, lecz zależy to
od potrzeb i zastosowań).
I teraz najistotniejsze - efekt działania funkcji crypt jest wiarygodny
tylko w wyznaczonym przedziale czasu (rzędu kilkunastu - kilkudziesięciu
sekund).
Próby typu "brute force" z zewnątrz są skazane na niepowodzenie gdyż jest na
to zbyt mało czasu a ilość prób jest ograniczona (z reguły do trzech). Próby
podszycia się pod użytkownika przez pracownika banku też graniczą z
niemożliwością z tego samego względu oraz ze względu na brak możliwości
pozyskania informacji o "tajnym_kodzie_tokenu" i nieprzewidywalności
elementu generowanego ("hasło_autoryzacyjne").
Zaznaczam, że "hasło_autoryzacyjne" jest hasłem generowanym przez system
jako wywołanie dla danej sesji autoryzacyjnej i nie ma nic wspólnego z
typową autoryzacją user/password, która z reguły jest równiez wykorzystywana
jako wzmocnienie całego procesu autoryzacji - stanowi po prostu pierwszy
krok.
Pozdrawiam
RS
Następne wpisy z tego wątku
- 09.04.02 15:36 Paweł Grajewski
- 10.04.02 00:08 Krzysztof Halasa
- 10.04.02 00:16 Krzysztof Halasa
- 10.04.02 00:24 Krzysztof Halasa
- 10.04.02 00:11 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- silna zlotowka
- oszołomy paranoidalne
- Citi --> Velo
- Phishing obok nas.
- poznaj siłe swoich pieniędzy
- mBank i (nowe?) limity wypłat z bankomatów
- presja na aplikacje i blik
- Santander
- wydobywanie Bitcoinów jest aktualnie zajęciem po prostu nieopłacalnym. Jak wynika z opublikowanych danych, średni koszt wygenerowania jednego Bitcoina wynosi ok. 137 tysięcy dolarów.
- Join Bitcoin Blockchain Nonce Global University
- eMakler ?
- Senator Cynthia Lummis revealed that President Trump supports her Strategic Bitcoin Reserve bill aimed at acquiring 1,000,000 BTC$BTC for the U.S.
- Fundusze znikają z SFI mBanku
Najnowsze wątki
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-03 Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- 2025-06-02 silna zlotowka
- 2025-05-29 oszołomy paranoidalne
- 2025-05-28 Citi --> Velo
- 2025-05-17 Phishing obok nas.
- 2025-05-17 poznaj siłe swoich pieniędzy
- 2025-05-16 mBank i (nowe?) limity wypłat z bankomatów
- 2025-05-12 presja na aplikacje i blik
- 2025-05-07 Santander
- 2025-05-06 wydobywanie Bitcoinów jest aktualnie zajęciem po prostu nieopłacalnym. Jak wynika z opublikowanych danych, średni koszt wygenerowania jednego Bitcoina wynosi ok. 137 tysięcy dolarów.
- 2025-05-06 Join Bitcoin Blockchain Nonce Global University
- 2025-05-05 eMakler ?
- 2025-05-03 Senator Cynthia Lummis revealed that President Trump supports her Strategic Bitcoin Reserve bill aimed at acquiring 1,000,000 BTC$BTC for the U.S.