eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostępRe: mBank - zablokowany dostęp
« poprzedni post
następny post »
  • Data: 2020-06-08 17:13:22
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    W dniu 2020-06-08 o 16:33, Krzysztof Halasa pisze:
    > Piotr Gałka <p...@c...pl> writes:
    >
    >> W tej gałęzi wątku twierdzę, że powinniśmy móc używać tych samych haseł.
    >> Jeśli komputery mogą nam to załatwić to powinno to (dla ogólnego
    >> bezpieczeństwa) być tak zrobione. Najlepiej 'od zawsze'.
    >> Nie widzę uzasadnienia dlaczego nie jest.
    >
    > Napisałem - dlatego, że HTTPS nie przewiduje takiego mechanizmu.
    > Dlatego, że obecnie musiałoby to być zrobione w JS, a do tego nie można
    > mieć zaufania. Poza tym, gdyby ktoś chciał to zrobić (w ogóle takie
    > rzeczy występują, tylko że nie w HTTPS), to należałoby to zrobić lepiej.

    To są argumenty dlaczego nie zrobiono.
    Mi chodzi o to czy są jakieś argumenty mówiące dlaczego 'nie da się zrobić'.

    >
    >> Moje założenie, że hasło jest hashowane w komputerze użytkownika,
    >> chyba wzięło się z lektury tej jednej książki. Z niej chyba wynikało,
    >> że tak to musi być i ja to przyjąłem jako pewnik.
    >
    > Czy ja dobrze kojarzę, że ta książka to "Applied Crypto" Schneiera?

    Nie to 'Practical Cryptography' Ferguson, Schneier.

    > Naprawdę coś takiego tam napisał? W którym miejscu?

    Jestem prawie pewien (ale nie mam czasu szukać), że gdy omawiali
    potrzebny na wydłużenie czas to właśnie pojawiła się kwestia wydajności
    komputera użytkownika a nie serwera. I była chyba mowa o przyjęciu
    rozwiązania skalowalnego w tym sensie, że wraz z przyspieszaniem
    komputerów użytkowników należy zwiększać wydłużenie tak, aby czas był
    zawsze maksymalny akceptowalny przez użytkownika.

    >> W ciągu sekundy (na zwykłym PC) daje się wydłużyć hasło o około 20
    >> bitów, a tym zabiegiem skrócił je o 32 bity.
    >
    > "Wydłużyć" to IMHO nie jest najszczęśliwsze sformułowania.

    Mi to się z niczym nie kłóci. Trzeba tylko rozumieć, że 8 znakowe hasło
    przeliczone przez SHA512 nie jest wydłużone do 512 bitów a zostało tylko
    wydłużone o 1 bit. A przeliczone milion razy jest wydłużone o około 20
    bitów.

    Dodatkowo, ta
    > np. "1s" jest korzystna, by trudniej było złamać słabe hasło - zobacz
    > np. PBKDF2.

    Na pierwszy rzut oka wygląda mi to po prostu na wydłużenie hasła.
    P.G.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy