Piotr Gałka <p...@c...pl> writes:

> Ale ta kwestia straconej sekundy w czasie logowania dotyczy każdego
> usera indywidualnie i czasu obliczeniowego na jego komputerze a nie
> czasu serwera.

No ale pisałeś że w każdej sytuacji - a więc też na serwerze.
Rozumiem że masz na myśli sytuację tylko teoretyczną?
Jeśli tak, to naprawdę ta rada z notatnikiem jest dla Ciebie.

> Im więcej userów tym większa szansa, że się ktoś zainteresuje atakiem
> na taki system.

Nie wątpię nawet przez chwilę.

> To jest logiczne.
> Wychodziło by, że wydłużanie haseł cokolwiek da tylko wtedy, gdy
> rozważamy, sytuację, że baza danych wyciekła i o tym nie wiemy, a
> celem atakującego jest uzyskanie dostępu do kont klientów.
> Nie może robić wielu prób logowania bo system zareaguje blokadą kont,
> ale jakby poznał hasła....

A po co mu dostęp do kont klientów?
No bo w banku to rozumiem. Ale w sklepie? Zakładając, że już wszystko
o nich wie oczywiście. Chodzi o to, by łatwiej było go namierzyć po IP?
Nie mówię że na pewno nie może być żadnego powodu - ale w tej chwili nie
widzę żadnego praktycznego.

> Ale zazwyczaj klient ma dostęp do swoich danych. Więc jak ktoś pozna
> hasło to też ma dostęp do tych danych.

Ale jak dostanie bazę, to hasło jest mu zbędne.

> Ale czy takie wycieki nie zdarzają się przez to, że ktoś uzyskał
> dostęp jako jeden z ważnych userów - w sensie poznał jego hasło
> (zakładając, że login jest jawny).

Co za różnica czy ktoś zgubił laptopa czy może ktoś inny znalazł dziurę
w jakimś serwisie?

> Jeżeli system umożliwiał wykonanie tylko kilku prób (dziennie)
> domniemanych haseł to faktycznie wydłużanie nic nie daje.

Rozumiem jeszcze zagrożenie wynikające z używania jednego hasła do
różnych (niezwiązanych ze sobą) systemów, ale naprawdę myślisz, że ktoś
mógł łamać hasło w ten sposób? No bez przesady.
Tzn. oczywiście takie ataki są przeprowadzane cały czas, mimo że systemy
umożliwiają wykonanie dość ograniczonej w czasie liczby prób (raczej nie
tylko kilku dziennie).

> Domyślam się co to są notatniki haseł - miałem zamiar sobie samemu coś
> takiego napisać.

Tego akurat nie sugerowałem - chociaż oczywiście można to zrobić bez
żadnej kryptografii. Ale lepiej dokładnie wiedzieć co się robi,
i w szczególności ustalić założenia.

> Można by wypisywać nie numer karty a jakieś dane zapisane na karcie
> krypto, ale na razie nie było takich pytań. Chyba słusznie, bo to
> raczej nie ma sensu, aby tajne dane dobrze ukryte na karcie wyrzucać
> jawnie jak klawiatura :)

Klawiatura nie "wyrzuca jawnie danych" - w przeciwnym przypadku hasła
byłyby bezużyteczne. Problemem jest to, że takie urządzenie nie wie, czy
to jest akurat dobry moment na wysłanie danych.
--
Krzysztof Hałasa