eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankizabezpieczenia w bankowosci elektronicznejRe: zabezpieczenia w bankowosci elektronicznej
« poprzedni post
następny post »
  • Data: 2002-07-09 07:09:56
    Temat: Re: zabezpieczenia w bankowosci elektronicznej
    Od: "Pawel Kierski" <p...@m...com.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Użytkownik Piotr W <t...@p...onet.pl> w wiadomości do grup dyskusyjnych
    napisał:agc33b$n5$...@n...tpi.pl...
    >
    > Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
    [...]
    > > Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
    > > Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
    > > też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
    > > rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
    > > (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
    > > żeby jednak powiedział 8-), podstawienie komuś trojana logującego
    > > naciśnięcia klawisza) są tańsze i szybsze.
    > > Paweł Kierski
    >
    > No dobrze, dobrze . . .
    > To jak wygląda tak głośny ostatnio podpis elektroniczny ?
    > Jeżeli dobrze trybie to przecież to to samo ?

    Doczytałem - wygląda to na asymetryczne klucze. Czyli coś takiego,
    na czym będzie funkcjonować podpis elektroniczny.

    > Jeszcze jedno :
    > mamy tu do czynienia z zahasłowanym kluczem elektronicznym
    > trojan przechwyci hasło do klucza a co z samym kluczem ?

    Jak jest w praktyce przechowywany? Jeśli gdzieś w pliku, i to
    jeszcze o w miarę dobrze ustalonych parametrach, to do "wyłuskania"
    żaden problem...
    Ideałem jest zewnętrzne urządzenie, które od strony komputera
    można jedynie poprosić o podpisanie/zaszyfrowanie ciągu danych.
    Dodatkowo takie urządzenie w momencie przyjęcia żądania powinno
    prosić o PIN, albo jakoś inaczej weryfikować osobę "podpisującą".

    > Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie
    > tylko 1 raz.
    > Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały
    > klucz a jedynie jego sciśle określony ciąg przez niego generowany
    > na dany moment , połączenie . . . etc.

    W przypadku kluczy asymetrycznych - faktycznie na podstawie jednej
    transakcji nie da się nic sensownego uzyskać. Poprzednio pisałem
    o sytuacji, gdy hasło służy do autoryzacji (nawet, jeśli przesyłane
    jest nie hasło, ale np. losowany przez serwer ciąg szyfrowany
    przy użyciu hasła). Ale jak widać system InvestBanku ma dużo słabszy
    punkt w innym miejscu: klucz prywatny i hasło można stosunkowo łatwo
    przechwycić.

    Paweł Kierski
    p...@m...com.pl


Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy