eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankirach. prawdopod. ?Re: rach. prawdopod. ?
  • Data: 2006-02-02 18:17:33
    Temat: Re: rach. prawdopod. ?
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

    > moge zakladac ze informatyk nie bedzie niczego robil co by sugerowalo
    > ze moze poznac hasla - czyli bank nie zamowi algorytmu na odwracanie
    > hasel bo nie ma do tego uzasadnienia a musialby za to zaplacic.

    To sa dwie zupelnie inne rzeczy. Myslisz ze w banku pracuje jeden
    informatyk, ktory zamawia projekt systemu i pozniej zajmuje sie jego
    obsluga? Bez zartow.

    Chociaz moze w jakims malym spoldzielczym...

    > Jak
    > klient zapomni haslo to wystarczy wpisac mu nowe jednorazowe, ktore
    > sam sobie zmieni - tak banki robią, tak dziala to na unixie i nawet w
    > windowsach.
    > Administrator nie zna twojego hasla - moze je co najwyzej skasowac

    Tak zwykle jest :-)
    Ale tak jest dlatego, ze wlasnie ten administrator a) nie chce znac
    Twojego hasla (bo i po co mu ono, jesli bez niego moze robic w systemie
    co mu sie podoba), b) nie chce by ktos mu spojrzal przez ramie podczas
    edycji np. /etc/shadow albo innego /etc/passwd.master i by tym sposobem
    poznal hasla, c) nie chce by w przypadku np. wlamania, kradziezy
    backupu itp. ktos poznal _jego_ haslo, ktore moze dzialac takze na
    innych maszynach.

    Ok?

    Teraz sytuacja z bankiem jest zupelnie inna: a) admin moglby chciec
    znac hasla klientow banku i wykorzystac je, b) jest mu zupelnie
    obojetne czy po kompromitacji hasel klientow da sie przy ich uzyciu
    uzyskac dostep do innych rzeczy (poza bankiem), c) hasla admina,
    uprawniajacego do czegos wiecej niz uprawnienia dowolnego klienta,
    w ogole nie ma w bazie klientow.

    Widzisz roznice?

    > A powod do szyfrowania hasel jest - przeciez nie moga zostac jawne
    > - to by byla jawna granda i bląd w projekcie systemu bankowego

    Moge sie zgodzic co do ostatecznego wniosku jednakze powody sa
    zupelnie inne niz "jawna granda i błąd" :-)

    > wierze w rozsadne projekty - odpowiednio dlugie haslo zaszyfrowane
    > jednokierunkowo daje zabezpieczenie przez bankowymi informatykami.

    Musisz mi uwierzyc na slowo ze nie ma takiej gwarancji. Tak jak
    napisalem, przeprowadzilem kiedys migracje (calkowicie niewidoczna
    dla uzytkownikow) z MD5. Rownie dobrze moglbym wydrukowac hasla
    (poprzednio zaszyfrowane MD5) na tablicy ogloszen. Jesli ja moglem
    to jak mozesz zakladac ze w banku nie da sie tego zrobic?

    Skad wiesz ze bank w ogole uzywa MD5 albo innego SHA-* a nie
    np. ROT-13? Tez szyfr :-)

    > A hasla z zalozenia odwracalne (jak w ING) moga byc przechowywane
    > nawet jawnie - nie trzeba by bylo robic procedury odszyfrowania hasla

    Jasne.
    Aczkolwiek zwykle dane tego typu sie w jakis sposob szyfruje
    (odwracalnie) - po to, by nie bylo widac np. hasel jesli przypadkowo
    wydruk albo inna tasma znajdzie sie na smietniku.

    Welcome to the real world.
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1