-
Path: news-archive.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!newsfeed.pionier.net
.pl!newsfeed.silweb.pl!newsfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!
not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: rach. prawdopod. ?
Date: Thu, 02 Feb 2006 19:17:33 +0100
Organization: tp.internet - http://www.tpi.pl/
Lines: 67
Message-ID: <m...@d...localdomain>
References: <dqgq9b$m35$1@atlantis.news.tpi.pl> <drfr96$192$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drm2fd$7s1$1@nemesis.news.tpi.pl>
<m...@d...localdomain> <dro740$a0q$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drojgn$e7i$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drr9v3$h9n$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drtfmp$2ln$1@nemesis.news.tpi.pl>
NNTP-Posting-Host: cpb231.neoplus.adsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: nemesis.news.tpi.pl 1138904335 11657 83.31.207.231 (2 Feb 2006 18:18:55 GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Thu, 2 Feb 2006 18:18:55 +0000 (UTC)
Cancel-Lock: sha1:3JROn4fbL89/NfQbopI2jRs29l0=
Xref: news-archive.icm.edu.pl pl.biznes.banki:376630
[ ukryj nagłówki ]"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:
> moge zakladac ze informatyk nie bedzie niczego robil co by sugerowalo
> ze moze poznac hasla - czyli bank nie zamowi algorytmu na odwracanie
> hasel bo nie ma do tego uzasadnienia a musialby za to zaplacic.
To sa dwie zupelnie inne rzeczy. Myslisz ze w banku pracuje jeden
informatyk, ktory zamawia projekt systemu i pozniej zajmuje sie jego
obsluga? Bez zartow.
Chociaz moze w jakims malym spoldzielczym...
> Jak
> klient zapomni haslo to wystarczy wpisac mu nowe jednorazowe, ktore
> sam sobie zmieni - tak banki robią, tak dziala to na unixie i nawet w
> windowsach.
> Administrator nie zna twojego hasla - moze je co najwyzej skasowac
Tak zwykle jest :-)
Ale tak jest dlatego, ze wlasnie ten administrator a) nie chce znac
Twojego hasla (bo i po co mu ono, jesli bez niego moze robic w systemie
co mu sie podoba), b) nie chce by ktos mu spojrzal przez ramie podczas
edycji np. /etc/shadow albo innego /etc/passwd.master i by tym sposobem
poznal hasla, c) nie chce by w przypadku np. wlamania, kradziezy
backupu itp. ktos poznal _jego_ haslo, ktore moze dzialac takze na
innych maszynach.
Ok?
Teraz sytuacja z bankiem jest zupelnie inna: a) admin moglby chciec
znac hasla klientow banku i wykorzystac je, b) jest mu zupelnie
obojetne czy po kompromitacji hasel klientow da sie przy ich uzyciu
uzyskac dostep do innych rzeczy (poza bankiem), c) hasla admina,
uprawniajacego do czegos wiecej niz uprawnienia dowolnego klienta,
w ogole nie ma w bazie klientow.
Widzisz roznice?
> A powod do szyfrowania hasel jest - przeciez nie moga zostac jawne
> - to by byla jawna granda i bląd w projekcie systemu bankowego
Moge sie zgodzic co do ostatecznego wniosku jednakze powody sa
zupelnie inne niz "jawna granda i błąd" :-)
> wierze w rozsadne projekty - odpowiednio dlugie haslo zaszyfrowane
> jednokierunkowo daje zabezpieczenie przez bankowymi informatykami.
Musisz mi uwierzyc na slowo ze nie ma takiej gwarancji. Tak jak
napisalem, przeprowadzilem kiedys migracje (calkowicie niewidoczna
dla uzytkownikow) z MD5. Rownie dobrze moglbym wydrukowac hasla
(poprzednio zaszyfrowane MD5) na tablicy ogloszen. Jesli ja moglem
to jak mozesz zakladac ze w banku nie da sie tego zrobic?
Skad wiesz ze bank w ogole uzywa MD5 albo innego SHA-* a nie
np. ROT-13? Tez szyfr :-)
> A hasla z zalozenia odwracalne (jak w ING) moga byc przechowywane
> nawet jawnie - nie trzeba by bylo robic procedury odszyfrowania hasla
Jasne.
Aczkolwiek zwykle dane tego typu sie w jakis sposob szyfruje
(odwracalnie) - po to, by nie bylo widac np. hasel jesli przypadkowo
wydruk albo inna tasma znajdzie sie na smietniku.
Welcome to the real world.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 03.02.06 23:12 blad
- 04.02.06 12:34 Krzysztof Halasa
- 05.02.06 22:49 blad
Najnowsze wątki z tej grupy
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
Najnowsze wątki
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże