Re: czym jest token lub lista haseł jednorazowych? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › czym jest token lub lista haseł jednorazowych? › Re: czym jest token lub lista haseł jednorazowych?

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
s.nask.pl!news.nask.org.pl!newsfeed00.sul.t-online.de!t-online.de!border2.nntp.
dca.giganews.com!nntp.giganews.com!npeer02.iad.highwinds-media.com!news.highwin
ds-media.com!feed-me.highwinds-media.com!postnews.google.com!36g2000yqu.googleg
roups.com!not-for-mail
From: Jarek Andrzejewski <p...@g...com>
Newsgroups: pl.biznes.banki,pl.hum.polszczyzna
Subject: Re: czym jest token lub lista haseł jednorazowych?
Date: Tue, 2 Feb 2010 08:21:27 -0800 (PST)
Organization: http://groups.google.com
Lines: 38
Message-ID: <4...@3...googlegroups.com>
References: <7...@n...onet.pl>
<hhc68e$vgk$2@news.supermedia.pl> <hhca31$fss$2@inews.gazeta.pl>
<hk1ima$60i$1@achot.icm.edu.pl>
<d...@2...googlegroups.com>
<hk2216$s3j$1@news.dialog.net.pl>
<a...@m...googlegroups.com>
<hk8hth$a1f$1@news.dialog.net.pl>
<3...@z...googlegroups.com>
<m...@i...localdomain>
NNTP-Posting-Host: 212.2.96.101
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1265127687 10165 127.0.0.1 (2 Feb 2010 16:21:27 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Tue, 2 Feb 2010 16:21:27 +0000 (UTC)
Complaints-To: g...@g...com
Injection-Info: 36g2000yqu.googlegroups.com; posting-host=212.2.96.101;
posting-account=KIMD8QoAAABIhENdsWpFXzRPIvVvn-Ib
User-Agent: G2/1.0
X-HTTP-Via: 1.1 ISA2K4N2, 1.1 ISA2K4N1
X-HTTP-UserAgent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.7)
Gecko/20091221 Firefox/3.5.7 (.NET CLR
2.0.50727),gzip(gfe),gzip(gfe)
Xref: news-archive.icm.edu.pl pl.biznes.banki:517094 pl.hum.polszczyzna:118646
[ ukryj nagłówki ]
On 2 Lut, 16:19, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Jarek Andrzejewski <p...@g...com> writes:
> > Lepiej doucz się trochę z dziedziny kryptologii :-) Właśnie takie
> > rozwiązanie (losowy ciąg znany obu stronom) jest najbezpieczniejszym
> > rozwiązaniem.
>
> Nic z tych rzeczy, oczywiscie ze nie jest, i nie bede sprawdzal co tam
> akurat Schneier w tym miejscu napisal, ale na pewno nie pisal o tym jako
> o bezwzglednie najbezpieczniejszym, czy w ogole bezpiecznym rozwiazaniu.
>
> Generalnie wszelkie metody z "shared secret" (haslem, kodami, tokenami
> itp. znanym obu stronom) sa na tyle bezpieczne, na ile obie strony maja
> do siebie zaufanie. Innymi slowy - sa przypadku relacji bank-klient sa
> niespecjalnie bezpieczne.

Bezpieczeństwo metody szyfrowania z losowym ciągiem (kluczem) polega
na tym, że kryptoanaliza przechwyconej transmisji nie jest niemożliwa.
Po prostu wynikiem jest tez losowy ciąg.
Ja miałem na myśli, że lepsze losowo generowane liczby na liście +
kopia w bazie niż generowane przy pomocy deterministycznego algorytmu,
którego złamanie jest przecież możliwe.

> Obecnie najbezpieczne jest podpisywanie zlecen w odpowiednim formacie
> przy uzyciu podpisu cyfrowego. Klucz publiczny (lub np. certyfikat)
> sluzacy do weryfikacji podpisu powinien byc czescia umowy miedzy
> stronami. Druga strona powinna potwierdzac otrzymanie zlecenia swoim
> podpisem, a jej certyfikat (klucz publiczny) powinien takze byc czescia
> umowy, i powinien byc ogolnie dostepny.

słuszna uwaga.

--
pozdrawiam,
Jarek Andrzejewski