"J.F." <j...@p...onet.pl> writes:

> W zasadzie nie narusza. To tylko we wczesnym unixie kazdy uzytkownik
> mogl odczytac hasla wszystkich innych ... ale zaszyfrowane.

Albo i nie. W wersji eksportowej przynajmniej niektórych systemów
(oczywiście takich bez shadow password suite) hasła były jawnie
w /etc/passwd :-) Aczkolwiek nie pamiętam już co się działo, jeśli ktoś
miał tam np. dwukropek.

> Choc pozostaja metody slownikowe - haslo pamietane w postaci
> haszowanej jak w unixie,
> a oni sprawdzaja milion najpopularniejszych hasel, i blokuja
> trafionych uzytkownikow.

To bez sensu. Aczkolwiek teraz wyobrażam sobie, że mogli sprawdzić
w taki sposób dane wykradzione z jakiegoś innego systemu, i poblokować
pasujące. To miałoby przypuszczalnie sens.

> swoja droga - Alior. Haslo dlugie, maskowane, ale loguje sie trzema
> znakami.
>
> To juz IMO stosunkowo latwo trafic.
>
> Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...

36 (małe litery łacińskie i cyfry) ^ 3 = 46656. Nawet, jeśli trzeba
zmieniać IP co chwilę, to to nie jest nijak bezpieczne. Można się
zapewne zalogować na wielu klientów w pierwszej próbie.

Inną kwestią jest to, co następnie można zrobić. Ale samo uzyskanie
dostępu nie powinno także mieć miejsca.

Może identyfikator nie jest prostą liczbą i może jest traktowany jako
tajny - ale tak się nie powinno robić.
--
Krzysztof Hałasa