-
Data: 2002-07-11 12:15:13
Temat: Re: zabezpieczenia w bankowosci elektronicznej
Od: Krzysztof Halasa <k...@d...pm.waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Maciek Pasternacki <j...@h...org.pl> writes:
> Nieprawda.
Jednak prawda.
> To znaczy, bank (o ile nie są skrajnymi kretynami ani
> niczym w tym duchu) nie posiada odszyfrowanej listy moich haseł
> jednorazowych, tylko (w prostszym przypadku) jednokierunkowe funkcje
> skrótu każdego z tych haseł.
1. Skad ta informacja?
2. Taki mechanizm, by sensownie dzialac, potrzebuje argumentu o znacznej
dlugosci. Przy kilku cyfrach takiego hasla jednorazowego, nie ma
najmniejszego znaczenia czy bank przechowuje skrot, czy cale haslo
- i tak zlamanie tego trwa mikrosekunde.
Dokladnie tak samo jest oczywiscie z tokenami, tyle ze tam bank musi
posiadac kompletne dane o pamieci tokena, gdyz musi z nich na biezaco
liczyc jego wskazania.
> W ciekawszej implementacji haseł
> jednorazowych, każde kolejne hasło jest jednokierunkową funkcją skrótu
> poprzedniego, a bank (czy cokolwiek innego dokonującego autoryzacji)
> posiada tylko wartość jednokierunkowej funkcji skrótu ostatniego
> hasła. Ja podaję ostatnie hasło z listy, bank sprawdza, czy wartość
> funkcji skrótu jest taka sama, jeżeli tak, zapamiętuje podane przeze
> mnie hasło (już użyte, czyli tym samym odtajnione) jako wartość
> funkcji skrótu hasła kolejnego.
Niczego takiego sie nie stosuje. Gdyby tak bylo, bank moglby wygenerowac
kazde haslo (ktore jest skrotem poprzedniego). S/Key dziala dokladnie
odwrotnie - stare haslo jest funkcja nowego, po prostu hasla podaje sie
w odwrotnej kolejnosci do ich generowania.
Nie slyszalem, by jakis bank uzywal tego mechanizmu. Co oczywiscie nie
ma zadnego znaczenia, gdyz nie jest on z zalozenia bezpieczny
kryptograficznie przy niewielkich rozmiarach kluczy.
> Nie wiem, jak wyglądają algorytmy
> tokenów, tutaj już jest większe prawdopodobieństwo, że bank posiada
> dokładnie tę samą tajemnicę (chyba, że wymyślili coś równie sprytnego,
> jak powyżej); token działa głównie na zasadzie ,,security by
> obscurity'', a jak wszyscy (mam nadzieję) wiedzą, ,,security by
> obscurity is no security''.
Nie, token dziala na zasadzie jawnego algorytmu i shared secret (seed).
Przynajmniej od jakiegos czasu tokeny SecurID tak dzialaja, wczesniej
algorytm takze byl niby tajny (na tyle, na ile tajny przed adminem
serwera autoryzacyjnego moze byc jakis kod).
> Jednokierunkowa funkcja skrótu to jest taka funkcja, której
> odwrotności nie można obliczyć (a konkretniej, złożoność obliczeniowa
> odwrotności takiej funkcji jest większa niż metoda brute force --
> wyliczanie wartości funkcji kolejno dla wszystkich możliwych danych
> wejściowych). Funkcjami takimi są np. algorytm MD5, SHA1 czy uniksowy
> crypt().
To teraz porownaj np. SHA1 czy nawet MD5 (ktory jest podatny na ataki
polegajace na dopasowywaniu tresci do pozadanego wyniku) z tym, co
wklepujesz w okienko logowania / potwierdzenia przelewu itp.
> Zainteresowanym polecam cegiełkę ,,Kryptografia dla praktyków'' pana
> Bruce'a Schneiera.
Ja ze swej strony polecam standardowo Handbook of Applied Cryptography
(mimo ze nie jest to najnowsza ksiazka), potem mozna czytac inne rzeczy.
--
Krzysztof Halasa
Network Administrator
Następne wpisy z tego wątku
- 11.07.02 12:50 Robert Wicik
- 12.07.02 09:51 Maciek Pasternacki
- 15.07.02 08:06 Vizvary II Istvan
- 15.07.02 08:49 Vizvary II Istvan
- 12.07.02 09:43 Maciek Pasternacki
- 12.07.02 10:10 Maciek Pasternacki
- 15.07.02 08:15 Vizvary II Istvan
- 15.07.02 12:51 Piotr W
- 16.07.02 16:52 Krzysztof Halasa
- 16.07.02 17:09 Krzysztof Halasa
- 16.07.02 17:13 Krzysztof Halasa
- 17.07.02 19:13 Vizvary II Istvan
- 18.07.02 12:04 Krzysztof Halasa
- 17.07.02 10:52 Maciek Pasternacki
- 17.07.02 11:28 Maciek Pasternacki
Najnowsze wątki z tej grupy
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
- Zapamiętana karta w aplikacji
- Velo -- zgłoszenie incydentu
- Velo -- kradzież czy bałagan?...
- Velo bank nie odpuszcza?...
- Velo jak zwykle bredzi...
- Od setki do setki...
- Velo ostrzega przed sobą?
- Nest -- polecenie
Najnowsze wątki
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem
- 2024-09-12 Zapamiętana karta w aplikacji
- 2024-09-11 Velo -- zgłoszenie incydentu
- 2024-09-10 Velo -- kradzież czy bałagan?...
- 2024-09-10 Velo bank nie odpuszcza?...
- 2024-09-05 Velo jak zwykle bredzi...
- 2024-09-01 Od setki do setki...
- 2024-08-30 Velo ostrzega przed sobą?
- 2024-08-29 Nest -- polecenie