-
Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
ews.man.poznan.pl!news.nask.pl!newsfeed.tpinternet.pl!news.tpi.pl!nnrpd
From: Maciek Pasternacki <j...@h...org.pl>
Newsgroups: pl.biznes.banki
Subject: Re: zabezpieczenia w bankowosci elektronicznej
Date: Fri, 12 Jul 2002 12:10:08 +0200
Organization: tp.internet - http://www.tpi.pl/
Lines: 62
Message-ID: <8...@l...localdomain>
References: <agb629$c96$1@news.tpi.pl> <agcmgm$2ls$1@news2.tpi.pl>
<8...@l...localdomain> <m...@d...pm.waw.pl>
NNTP-Posting-Host: hell.org.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: news.tpi.pl 1026718704 7053 212.244.218.42 (15 Jul 2002 07:38:24 GMT)
X-Complaints-To: u...@t...pl
NNTP-Posting-Date: Mon, 15 Jul 2002 07:38:24 +0000 (UTC)
X-Path-Notice: Path line has been filtered
X-Original-Path: lizard!not-for-mail
User-Agent: Gnus/5.090005 (Oort Gnus v0.05) Emacs/21.2 (i386-redhat-linux-gnu)
X-Favourite-Drink: Cherry-Coke
Xref: news-archive.icm.edu.pl pl.biznes.banki:193396
[ ukryj nagłówki ]Krzysztof Halasa <k...@d...pm.waw.pl> writes:
>> To znaczy, bank (o ile nie są skrajnymi kretynami ani
>> niczym w tym duchu) nie posiada odszyfrowanej listy moich haseł
>> jednorazowych, tylko (w prostszym przypadku) jednokierunkowe funkcje
>> skrótu każdego z tych haseł.
>
> 1. Skad ta informacja?
Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
odrobina zdrowego rozsądku. Chyba, że przeceniam nasze banki...
> 2. Taki mechanizm, by sensownie dzialac, potrzebuje argumentu o znacznej
> dlugosci. Przy kilku cyfrach takiego hasla jednorazowego, nie ma
> najmniejszego znaczenia czy bank przechowuje skrot, czy cale haslo
> - i tak zlamanie tego trwa mikrosekunde.
...tak, chyba przeceniam. Byłem święcie przekonany, że jak hasło jest
jednorazowe i czytane z karteczki, to można wymagać od ludzi
przepisania co najmniej siedmiu znaków, liter (małych i dużych) i
cyfr. Co byłoby i tak niezbyt złożonym hasłem...
> Dokladnie tak samo jest oczywiscie z tokenami, tyle ze tam bank musi
> posiadac kompletne dane o pamieci tokena, gdyz musi z nich na biezaco
> liczyc jego wskazania.
Chyba, że wymyślili coś sprytnego. W co nie wierzę. (hm... token
oparty w jakiś sposób na algorytmie w duchu S/KEY?)
> Niczego takiego sie nie stosuje. Gdyby tak bylo, bank moglby wygenerowac
> kazde haslo (ktore jest skrotem poprzedniego). S/Key dziala dokladnie
> odwrotnie - stare haslo jest funkcja nowego, po prostu hasla podaje sie
> w odwrotnej kolejnosci do ich generowania.
Albo mi się coś pochrzaniło przy przepisywaniu, albo Ty odczytałeś nie
w tę stronę; w każdym razie, miałem na myśli właśnie S/KEY.
> Nie slyszalem, by jakis bank uzywal tego mechanizmu. Co oczywiscie nie
> ma zadnego znaczenia, gdyz nie jest on z zalozenia bezpieczny
> kryptograficznie przy niewielkich rozmiarach kluczy.
Ja po prostu chyba jakiś naiwny jestem i zakładam, że klucze mają
jakiś ludzki rozmiar.
> To teraz porownaj np. SHA1 czy nawet MD5 (ktory jest podatny na ataki
> polegajace na dopasowywaniu tresci do pozadanego wyniku) z tym, co
> wklepujesz w okienko logowania / potwierdzenia przelewu itp.
Możesz rozwinąć? Chodzi Ci o to, że to, co mi wypluwa np. md5sum
,,wygląda inaczej''? Przecież hasz czegokolwiek jest liczbą, a to, co
wypluwa md5sum albo jest zapisane w /etc/shadow jest jakąś
reprezentacją alfanumeryczną tej liczby. Co komu szkodzi hashować tym
samym algorytmem, używając innej reprezentacji liczb? Chyba, że źle
zrozumiałem...
--japh
--
__ Maciek Pasternacki <m...@j...fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...Boże Ciało. Pół rynku, albo trzy czwarte rynku,
,|{-}|}| }\/ oblepione wiernymi. Czemuś jestem wierny,
\/ |____/ więc czuję się u siebie... } ( M. Świetlicki ) -><-
Następne wpisy z tego wątku
- 15.07.02 08:15 Vizvary II Istvan
- 15.07.02 12:51 Piotr W
- 16.07.02 16:52 Krzysztof Halasa
- 16.07.02 17:09 Krzysztof Halasa
- 16.07.02 17:13 Krzysztof Halasa
- 17.07.02 19:13 Vizvary II Istvan
- 18.07.02 12:04 Krzysztof Halasa
- 17.07.02 10:52 Maciek Pasternacki
- 17.07.02 11:28 Maciek Pasternacki
- 17.07.02 11:09 Maciek Pasternacki
- 23.07.02 18:43 Vizvary II Istvan
- 23.07.02 21:37 Vizvary II Istvan
- 23.07.02 16:09 Krzysztof Halasa
- 23.07.02 20:15 Maciek Pasternacki
- 30.07.02 17:27 Maciek Pasternacki
Najnowsze wątki z tej grupy
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
- Karta MasterCard z ALIOR za granicą.
- Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- zloto
Najnowsze wątki
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...
- 2024-10-07 Karta MasterCard z ALIOR za granicą.
- 2024-10-05 Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-05 Re: Z cyklu oszuści w akcji. ja się nie złapię ale może komuś pomoże
- 2024-10-03 zloto