Użytkownik "Krzysztof Halasa" napisał w wiadomości grup
dyskusyjnych:m...@p...waw.pl...
"J.F." <j...@p...onet.pl> writes:
>> Choc pozostaja metody slownikowe - haslo pamietane w postaci
>> haszowanej jak w unixie,
>> a oni sprawdzaja milion najpopularniejszych hasel, i blokuja
>> trafionych uzytkownikow.

>To bez sensu. Aczkolwiek teraz wyobrażam sobie, że mogli sprawdzić
>w taki sposób dane wykradzione z jakiegoś innego systemu, i
>poblokować
>pasujące. To miałoby przypuszczalnie sens.

Dlaczego bez sensu ?
Stwierdzasz w banku np rosnaca ilosc kradziezy gdzie klient twierdzi,
ze to nie on,
i chcesz sprawdzic, czy klienci nie maja ich zbyt prostych.
A masz hasla tylko hashowane.

Oczywiscie mozna tez wymusic zmiane hasla na wszystkich, i sprawdzac
nowe czy dobre :-)

>> swoja droga - Alior. Haslo dlugie, maskowane, ale loguje sie trzema
>> znakami.
>> To juz IMO stosunkowo latwo trafic.
>> Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...

>36 (małe litery łacińskie i cyfry) ^ 3 = 46656. Nawet, jeśli trzeba
>zmieniać IP co chwilę, to to nie jest nijak bezpieczne. Można się
>zapewne zalogować na wielu klientów w pierwszej próbie.

>Inną kwestią jest to, co następnie można zrobić.

Teraz to raczej niewiele. Ba - nawet sie nie zalogujesz.
Ale .. np poznanie danych klienta - grozne czy nie ?

>Może identyfikator nie jest prostą liczbą i może jest traktowany jako
>tajny - ale tak się nie powinno robić.

mozna podejrzec, mozna wyciagnac z klienta, a 8 cyfr przy milionach
klientach to nie jest duze zabezpieczenie ..

J.