Użytkownik "Krzysztof Halasa"
>> Czyli - jesli szyfrowac to w jedna strone. Przy odpowiednio dlugim
>> hasle moze sie informatyk bawic w zgadywanie hasla - powodzenia
>
> To jaki konkretnie algorytm proponujesz? Taki, ktory da Tobie
> (klientom)
> pewnosc, ze go bank ("informatyk") nie bedzie potrafil odwrocic? :-)

niech będzie np hasz md5

>> Natomiast przy haslach w ING wiem ze bank musi umiec moje haslo
>> odszyfrowac i ze jest na to algorytm. Tak wiec wiem na pewno, ze
>> takie haslo moze zostac w banku odczytane.
>
> Owszem. Bo w ta strone to dziala - mozesz wiedziec, ze bank moze
> haslo
> rozszyfrowac, ale nie mozesz wiedziec, ze nie moze.

w ING bank MUSI umiec rozszyfrowac haslo zeby porownac wybrane
jego znaki. W innych bankach nic noie MUSZĄ - mogą za to zaszyfrowac
hasla jednokierunkowo i nawet powinni - nie ma powodu by
hasło pozostawić nie zaszyfrowane lub tworzyc
procedure odszyfrowania - jesli znasz takie powody to podaj

>> Hakerom ze sniferami podsluchujacymi jest za to trudniej
>
> Snifery akurat do SSL maja sie nijak.

OK - moja pomylka - te podsluchujące hasło trojany to key-loggery

>> nic nie napisales jak sprawa wyglada - nie umiesz ocenic jasno
>> dwoch
>> metod przechowywania hasel, a glos zabierasz jakbys tylko tym sie
>> zajmowal
>
> Zajmuje sie roznymi rzeczami (aczkolwiek akurat tym od dluzszego
> czasu
> niz innymi rzeczami). Jakbys konkretnie napisal czego nie rozumiesz
> albo
> z czym sie nie zgadzasz to zapewne bede w stanie Ci to wytlumaczyc.
> To sa dosc podstawowe rzeczy zreszta.

no wlasnie - dla mnie tez sa oczywiste, i ja te dwie metody loginow
porownuje
a ty nie chcesz sie na temat porownania wypowiedziec
1 - logowanie - pelne haslo mozna podsluchac keylogerem,
wyrywkowe potrzebuje wielu prob podsluchu
2 - przechowanie hasla - pelne haslo mozna przechowac jako skrót,
bezpiecznie
wyrywkowe - musimy w banku miec algorytm na
odszyfrowanie hasla
Oba sposoby mają więc swoje "plusy dodatnie i ujemne" :-)
A teraz powiedz czego nie rozumiesz i o czym my dyskutujemy
*** blad ***