Re: rach. prawdopod. ? - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › rach. prawdopod. ? › Re: rach. prawdopod. ?

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
sfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: rach. prawdopod. ?
Date: Sat, 04 Feb 2006 13:34:13 +0100
Organization: tp.internet - http://www.tpi.pl/
Lines: 55
Message-ID: <m...@d...localdomain>
References: <dqgq9b$m35$1@atlantis.news.tpi.pl> <drfr96$192$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drm2fd$7s1$1@nemesis.news.tpi.pl>
<m...@d...localdomain> <dro740$a0q$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drojgn$e7i$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drr9v3$h9n$1@atlantis.news.tpi.pl>
<m...@d...localdomain> <drtfmp$2ln$1@nemesis.news.tpi.pl>
<m...@d...localdomain> <ds0o6b$rf0$1@nemesis.news.tpi.pl>
NNTP-Posting-Host: cpa96.neoplus.adsl.tpnet.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
X-Trace: atlantis.news.tpi.pl 1139056471 18207 83.31.206.96 (4 Feb 2006 12:34:31 GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Sat, 4 Feb 2006 12:34:31 +0000 (UTC)
Cancel-Lock: sha1:a/Avgl5zDrFIo/CjEumswvkd5Es=
Xref: news-archive.icm.edu.pl pl.biznes.banki:376803
[ ukryj nagłówki ]
"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

>> To sa dwie zupelnie inne rzeczy. Myslisz ze w banku pracuje jeden
>> informatyk, ktory zamawia projekt systemu i pozniej zajmuje sie jego
>> obsluga? Bez zartow.
>
> odwracasz kota ogonem

Nic z tych rzeczy

> - napisalem ze BANK nie ma potrzeby
> odszyfrowywac hasel wiec dla bezpieczenstwa kazdy rozsadny projekt
> przewidzi uzycie haszu czyli szyfrowania w jedna strone

W porzadku. Wiesz, w tamtym przykladzie ja rowniez uzywalem
szyfrowania w jedna strone. Do momentu w ktorym potrzeby sie
zmienily (LM hash to tez jakies tam szyfrowanie w jedna strone
zreszta, tyle ze inne).

> a pojedynczy informatyk nie ma nic do gadania

Np. admin ktory wlasnie dowiedzial sie od sekretarki ze od pierwszego
jest zwolniony?

> i dlatego, ze admin moglby tego chciec zaden bank tego nie zrobi :-)

Ale bank sklada sie z ludzi. Sam budynek z pewnoscia nic nie zrobi,
najwyzej moze sie zawalic.

> to proste drogi Watsonie: hash MD5 z podanego hasla sprawdzamy
> w starej bazie, ze jest poprawnie podane a nowy zapisujemy w nowej
> bazie. Na pewien czas system transakcyjny musialby podsylac dwa hasze
> - wg starego i nowego algorytmu
> Na dodatek wymusilbym szybsza zmiane hasla i po robocie

No widzisz. To teraz napisz dlaczego admin nie moze tego zrobic.
Moze myslisz ze tak trudno jest zmodyfikowac np. cgi (+ js itd.)?

W ogole nie trzeba dotykac systemu transakcyjnego (w sensie bazy danych
i tej czesci interface HTTP, ktory jej dotyczy).

> nie musisz dodawac ze odwracalnie bo to wlasnie jest jasne
> nie wiem dlaczego nie jest jasne ze w innych przypadkach
> odracalne szyfrowanie hasla nie jest wskazane

Nie ma czegos takiego jak uniwersalne "jest" albo "nie jest wskazane".
Punkt widzenia zalezy od punktu siedzenia.

Przyjmij do wiadomosci ze takie hasla jakie sa uzywane w bankach
(a wiec nie kryptografia asymetryczna) nie sa bezpieczne w sytuacji,
gdy osoba majaca dostep do komputera np. autoryzacyjnego chce ich
uzyc. Nie zalezy to od zadnego szyfrowania itp. Albo dalej wierz
w szyfrowanie w banku, ja w kazdym razie pasuje.
--
Krzysztof Halasa