eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankirach. prawdopod. ?Re: rach. prawdopod. ?
  • Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
    sfeed.tpinternet.pl!atlantis.news.tpi.pl!news.tpi.pl!not-for-mail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: rach. prawdopod. ?
    Date: Sat, 04 Feb 2006 13:34:13 +0100
    Organization: tp.internet - http://www.tpi.pl/
    Lines: 55
    Message-ID: <m...@d...localdomain>
    References: <dqgq9b$m35$1@atlantis.news.tpi.pl> <drfr96$192$1@atlantis.news.tpi.pl>
    <m...@d...localdomain> <drm2fd$7s1$1@nemesis.news.tpi.pl>
    <m...@d...localdomain> <dro740$a0q$1@atlantis.news.tpi.pl>
    <m...@d...localdomain> <drojgn$e7i$1@atlantis.news.tpi.pl>
    <m...@d...localdomain> <drr9v3$h9n$1@atlantis.news.tpi.pl>
    <m...@d...localdomain> <drtfmp$2ln$1@nemesis.news.tpi.pl>
    <m...@d...localdomain> <ds0o6b$rf0$1@nemesis.news.tpi.pl>
    NNTP-Posting-Host: cpa96.neoplus.adsl.tpnet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=us-ascii
    X-Trace: atlantis.news.tpi.pl 1139056471 18207 83.31.206.96 (4 Feb 2006 12:34:31 GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Sat, 4 Feb 2006 12:34:31 +0000 (UTC)
    Cancel-Lock: sha1:a/Avgl5zDrFIo/CjEumswvkd5Es=
    Xref: news-archive.icm.edu.pl pl.biznes.banki:376803
    [ ukryj nagłówki ]

    "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

    >> To sa dwie zupelnie inne rzeczy. Myslisz ze w banku pracuje jeden
    >> informatyk, ktory zamawia projekt systemu i pozniej zajmuje sie jego
    >> obsluga? Bez zartow.
    >
    > odwracasz kota ogonem

    Nic z tych rzeczy

    > - napisalem ze BANK nie ma potrzeby
    > odszyfrowywac hasel wiec dla bezpieczenstwa kazdy rozsadny projekt
    > przewidzi uzycie haszu czyli szyfrowania w jedna strone

    W porzadku. Wiesz, w tamtym przykladzie ja rowniez uzywalem
    szyfrowania w jedna strone. Do momentu w ktorym potrzeby sie
    zmienily (LM hash to tez jakies tam szyfrowanie w jedna strone
    zreszta, tyle ze inne).

    > a pojedynczy informatyk nie ma nic do gadania

    Np. admin ktory wlasnie dowiedzial sie od sekretarki ze od pierwszego
    jest zwolniony?

    > i dlatego, ze admin moglby tego chciec zaden bank tego nie zrobi :-)

    Ale bank sklada sie z ludzi. Sam budynek z pewnoscia nic nie zrobi,
    najwyzej moze sie zawalic.

    > to proste drogi Watsonie: hash MD5 z podanego hasla sprawdzamy
    > w starej bazie, ze jest poprawnie podane a nowy zapisujemy w nowej
    > bazie. Na pewien czas system transakcyjny musialby podsylac dwa hasze
    > - wg starego i nowego algorytmu
    > Na dodatek wymusilbym szybsza zmiane hasla i po robocie

    No widzisz. To teraz napisz dlaczego admin nie moze tego zrobic.
    Moze myslisz ze tak trudno jest zmodyfikowac np. cgi (+ js itd.)?

    W ogole nie trzeba dotykac systemu transakcyjnego (w sensie bazy danych
    i tej czesci interface HTTP, ktory jej dotyczy).

    > nie musisz dodawac ze odwracalnie bo to wlasnie jest jasne
    > nie wiem dlaczego nie jest jasne ze w innych przypadkach
    > odracalne szyfrowanie hasla nie jest wskazane

    Nie ma czegos takiego jak uniwersalne "jest" albo "nie jest wskazane".
    Punkt widzenia zalezy od punktu siedzenia.

    Przyjmij do wiadomosci ze takie hasla jakie sa uzywane w bankach
    (a wiec nie kryptografia asymetryczna) nie sa bezpieczne w sytuacji,
    gdy osoba majaca dostep do komputera np. autoryzacyjnego chce ich
    uzyc. Nie zalezy to od zadnego szyfrowania itp. Albo dalej wierz
    w szyfrowanie w banku, ja w kazdym razie pasuje.
    --
    Krzysztof Halasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

  • 05.02.06 22:49 blad

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1