-
Data: 2006-02-04 12:34:13
Temat: Re: rach. prawdopod. ?
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:
>> To sa dwie zupelnie inne rzeczy. Myslisz ze w banku pracuje jeden
>> informatyk, ktory zamawia projekt systemu i pozniej zajmuje sie jego
>> obsluga? Bez zartow.
>
> odwracasz kota ogonem
Nic z tych rzeczy
> - napisalem ze BANK nie ma potrzeby
> odszyfrowywac hasel wiec dla bezpieczenstwa kazdy rozsadny projekt
> przewidzi uzycie haszu czyli szyfrowania w jedna strone
W porzadku. Wiesz, w tamtym przykladzie ja rowniez uzywalem
szyfrowania w jedna strone. Do momentu w ktorym potrzeby sie
zmienily (LM hash to tez jakies tam szyfrowanie w jedna strone
zreszta, tyle ze inne).
> a pojedynczy informatyk nie ma nic do gadania
Np. admin ktory wlasnie dowiedzial sie od sekretarki ze od pierwszego
jest zwolniony?
> i dlatego, ze admin moglby tego chciec zaden bank tego nie zrobi :-)
Ale bank sklada sie z ludzi. Sam budynek z pewnoscia nic nie zrobi,
najwyzej moze sie zawalic.
> to proste drogi Watsonie: hash MD5 z podanego hasla sprawdzamy
> w starej bazie, ze jest poprawnie podane a nowy zapisujemy w nowej
> bazie. Na pewien czas system transakcyjny musialby podsylac dwa hasze
> - wg starego i nowego algorytmu
> Na dodatek wymusilbym szybsza zmiane hasla i po robocie
No widzisz. To teraz napisz dlaczego admin nie moze tego zrobic.
Moze myslisz ze tak trudno jest zmodyfikowac np. cgi (+ js itd.)?
W ogole nie trzeba dotykac systemu transakcyjnego (w sensie bazy danych
i tej czesci interface HTTP, ktory jej dotyczy).
> nie musisz dodawac ze odwracalnie bo to wlasnie jest jasne
> nie wiem dlaczego nie jest jasne ze w innych przypadkach
> odracalne szyfrowanie hasla nie jest wskazane
Nie ma czegos takiego jak uniwersalne "jest" albo "nie jest wskazane".
Punkt widzenia zalezy od punktu siedzenia.
Przyjmij do wiadomosci ze takie hasla jakie sa uzywane w bankach
(a wiec nie kryptografia asymetryczna) nie sa bezpieczne w sytuacji,
gdy osoba majaca dostep do komputera np. autoryzacyjnego chce ich
uzyc. Nie zalezy to od zadnego szyfrowania itp. Albo dalej wierz
w szyfrowanie w banku, ja w kazdym razie pasuje.
--
Krzysztof Halasa
Następne wpisy z tego wątku
- 05.02.06 22:49 blad
Najnowsze wątki z tej grupy
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
Najnowsze wątki
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże