"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

> jesli "mogą" byc szyfrowane to bez sensu szyfrowac je w taki sposo zeby
> dalo sie szyfrowanie odwrocic - odszyfrowanie jest nikomu nie potrzebne
> i jak sam napisales ktos moze sie o nie pokusic.
> Czyli - jesli szyfrowac to w jedna strone. Przy odpowiednio dlugim
> hasle
> moze sie informatyk bawic w zgadywanie hasla - powodzenia

To jaki konkretnie algorytm proponujesz? Taki, ktory da Tobie (klientom)
pewnosc, ze go bank ("informatyk") nie bedzie potrafil odwrocic? :-)

> Natomiast przy haslach w ING wiem ze bank musi umiec moje haslo
> odszyfrowac i ze jest na to algorytm. Tak wiec wiem na pewno, ze
> takie haslo moze zostac w banku odczytane.

Owszem. Bo w ta strone to dziala - mozesz wiedziec, ze bank moze haslo
rozszyfrowac, ale nie mozesz wiedziec, ze nie moze.

Chyba ze sam wygenerujesz sobie pare kluczy asymetrycznych, i bank nie
bedzie mial prywatnej czesci - wtedy (modulo ew. lamanie samego
algorytmu albo wadliwy klucz, ale bez przesady z paranoja) masz racje.

> Hakerom ze sniferami
> podsluchujacymi jest za to trudniej - od tego zaczelismy - tym bardziej
> ze krateczki z haslem mozna wypelniac w dowolnej kolejnosci

Snifery akurat do SSL maja sie nijak. Ew. ataki MITM, ale przy
poprawnie skonfigurowanym komputerze teoretycznie spowoduje to
ostrzezenia, i wymaga ingerencji w przesylane informacje (aktywne
dzialanie, nie pasywne skanowanie). W praktyce wyglada to troche
gorzej ale tak czy owak jest zdecydowanie trudniejsze niz poznanie
hasla usera jesli sie ma do maszyny pelny dostep.

> nic nie napisales jak sprawa wyglada - nie umiesz ocenic jasno dwoch
> metod
> przechowywania hasel, a glos zabierasz jakbys tylko tym sie zajmowal

Zajmuje sie roznymi rzeczami (aczkolwiek akurat tym od dluzszego czasu
niz innymi rzeczami). Jakbys konkretnie napisal czego nie rozumiesz albo
z czym sie nie zgadzasz to zapewne bede w stanie Ci to wytlumaczyc.
To sa dosc podstawowe rzeczy zreszta.
--
Krzysztof Halasa