Piotr Gałka <p...@c...pl> writes:

> Ale z punktu widzenia sklepu to już wygląda inaczej. Wyobraźmy sobie
> tysiące fikcyjnych zamówień (opłacanych przy odbiorze). Po co hacker
> miałby to robić - może jest wynajęty przez konkurencyjny sklep.

No, czyli to co napisałem - żeby go było łatwiej namierzyć.
Przecież do złożenia fikcyjnych zamówień nie trzeba się nigdzie
włamywać, wystarczy je po prostu złożyć.

> Sądzę, że jak oni w tej książce pisali o stosowaniu tego we wszystkich
> systemach haseł to mieli na myśli:
> - systemy bankowe,
> - systemy firmowe.

A to błąd. Bo to jest potrzebne głównie w:
- systemach domowych :-)

W systemach firmowych (w tym bankowych) można to zrobić lepiej.

>> Ale jak dostanie bazę, to hasło jest mu zbędne.
>
> Chyba, że baza jest lepiej zaszyfrowana niż hasła. Albo dostanie bazę
> tylko haseł, a nie całą. Nie mam zielonego pojęcia jak to jest w
> serwerach. Czasem pojawiają się informacje, że coś wyciekło, ale
> wyciekło tylko to i to a do tamtego to się atakującym nie udało
> uzyskać dostępu.

No ale można w ciemno założyć, że jeśli wycieknie baza userów, to
wycieknie wszystko poza ew. numerami kart (bo tych tam zwykle nie ma).
A jeśli wyciekną też karty, to może przynajmniej bez CVC2 (bo tych nie
wolno tam trzymać). Zresztą teraz często 3DS, a karty można zastrzec.

> Nie pamiętam kontekstu tego fragmentu dyskusji.
> Jak ktoś chce zaatakować system to:
> - może ukraść laptopa - ale tam nie powinno być hasła do systemu więc
> nic mu to nie da.

Kontekst jest taki, że cenne informacje to nie są hasła. I tyle.

> Ale pamiętam informacje, że wyciekły hasła (kojarzy mi się morele.net
> i cyfrowe.pl) i użytkownicy, którzy używali tego samego hasła w innych
> systemach powinni je jak najszybciej zmienić.

Nie. Nie powinni mieć tego samego hasła. Natomiast zmienić powinni
wszyscy, którzy używali danych serwisów.

> Ale nie rozumiem, jak można by zrobić notatnik haseł bez kryptografii.
> Przecież to nie miałoby sensu. Hasła byłyby w pliku zapisane jawnie.

Dlaczego nie miałoby to sensu? To zależy od założeń - być może taki
notatnik miałby być używany tylko w bezpiecznym miejscu.

> Chyba, że źle się domyślam co to jest notatnik haseł. Ja myslałem o
> programie, który zapisuje wiele haseł w jednym (dobrze zabezpieczonym)
> pliku do którego dostęp uzyskuje się poprzez podanie hasła.

Taki notatnik to raczej urządzenie, które przechowuje hasła w swojej
pamięci. Jest na tyle proste, że nie odpala się tam "dowolnego" softu,
i na tyle bezpieczne, że bez zgody usera nie wystawi na zewnątrz żadnych
niejawnych informacji.

> Nie rozumiem co chcesz powiedzieć.
> Klawiatura wyrzuca jawnie właśnie naciśnięty klawisz. No chyba, że
> masz na myśli jakieś inne rodzaje klawiatur a nie zwykłe podłączone do
> USB komputera.

No to moja klawiatura nie "wyrzuca jawnie" naciśniętego klawisza -
przesyła go tylko względnie tajnym kanałem do (również niezbyt jawnego)
komputera. Ale gdyby tak można było jej wyjście skierować np. do paska
przeglądarki, albo np. do treści emaila, w taki sposób, bym tego nie
widział, to może byłoby to problemem.

W przypadku klawiatury zwykłego peceta jest to dość oczywiste, ale
zupełnie inaczej wygląda to wtedy, gdy mamy "klawiaturę" komputera
(np. czytnik kart), którego ekranu nie widzimy.
--
Krzysztof Hałasa