eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankizabezpieczenia w bankowosci elektronicznejRe: zabezpieczenia w bankowosci elektronicznej
  • Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
    ews.man.poznan.pl!news.nask.pl!newsfeed.tpinternet.pl!news.tpi.pl!nnrpd
    From: Maciek Pasternacki <j...@h...org.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: zabezpieczenia w bankowosci elektronicznej
    Date: Fri, 12 Jul 2002 12:10:08 +0200
    Organization: tp.internet - http://www.tpi.pl/
    Lines: 62
    Message-ID: <8...@l...localdomain>
    References: <agb629$c96$1@news.tpi.pl> <agcmgm$2ls$1@news2.tpi.pl>
    <8...@l...localdomain> <m...@d...pm.waw.pl>
    NNTP-Posting-Host: hell.org.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2
    Content-Transfer-Encoding: 8bit
    X-Trace: news.tpi.pl 1026718704 7053 212.244.218.42 (15 Jul 2002 07:38:24 GMT)
    X-Complaints-To: u...@t...pl
    NNTP-Posting-Date: Mon, 15 Jul 2002 07:38:24 +0000 (UTC)
    X-Path-Notice: Path line has been filtered
    X-Original-Path: lizard!not-for-mail
    User-Agent: Gnus/5.090005 (Oort Gnus v0.05) Emacs/21.2 (i386-redhat-linux-gnu)
    X-Favourite-Drink: Cherry-Coke
    Xref: news-archive.icm.edu.pl pl.biznes.banki:193396
    [ ukryj nagłówki ]

    Krzysztof Halasa <k...@d...pm.waw.pl> writes:
    >> To znaczy, bank (o ile nie są skrajnymi kretynami ani
    >> niczym w tym duchu) nie posiada odszyfrowanej listy moich haseł
    >> jednorazowych, tylko (w prostszym przypadku) jednokierunkowe funkcje
    >> skrótu każdego z tych haseł.
    >
    > 1. Skad ta informacja?

    Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
    podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
    odrobina zdrowego rozsądku. Chyba, że przeceniam nasze banki...

    > 2. Taki mechanizm, by sensownie dzialac, potrzebuje argumentu o znacznej
    > dlugosci. Przy kilku cyfrach takiego hasla jednorazowego, nie ma
    > najmniejszego znaczenia czy bank przechowuje skrot, czy cale haslo
    > - i tak zlamanie tego trwa mikrosekunde.

    ...tak, chyba przeceniam. Byłem święcie przekonany, że jak hasło jest
    jednorazowe i czytane z karteczki, to można wymagać od ludzi
    przepisania co najmniej siedmiu znaków, liter (małych i dużych) i
    cyfr. Co byłoby i tak niezbyt złożonym hasłem...

    > Dokladnie tak samo jest oczywiscie z tokenami, tyle ze tam bank musi
    > posiadac kompletne dane o pamieci tokena, gdyz musi z nich na biezaco
    > liczyc jego wskazania.

    Chyba, że wymyślili coś sprytnego. W co nie wierzę. (hm... token
    oparty w jakiś sposób na algorytmie w duchu S/KEY?)

    > Niczego takiego sie nie stosuje. Gdyby tak bylo, bank moglby wygenerowac
    > kazde haslo (ktore jest skrotem poprzedniego). S/Key dziala dokladnie
    > odwrotnie - stare haslo jest funkcja nowego, po prostu hasla podaje sie
    > w odwrotnej kolejnosci do ich generowania.

    Albo mi się coś pochrzaniło przy przepisywaniu, albo Ty odczytałeś nie
    w tę stronę; w każdym razie, miałem na myśli właśnie S/KEY.

    > Nie slyszalem, by jakis bank uzywal tego mechanizmu. Co oczywiscie nie
    > ma zadnego znaczenia, gdyz nie jest on z zalozenia bezpieczny
    > kryptograficznie przy niewielkich rozmiarach kluczy.

    Ja po prostu chyba jakiś naiwny jestem i zakładam, że klucze mają
    jakiś ludzki rozmiar.

    > To teraz porownaj np. SHA1 czy nawet MD5 (ktory jest podatny na ataki
    > polegajace na dopasowywaniu tresci do pozadanego wyniku) z tym, co
    > wklepujesz w okienko logowania / potwierdzenia przelewu itp.

    Możesz rozwinąć? Chodzi Ci o to, że to, co mi wypluwa np. md5sum
    ,,wygląda inaczej''? Przecież hasz czegokolwiek jest liczbą, a to, co
    wypluwa md5sum albo jest zapisane w /etc/shadow jest jakąś
    reprezentacją alfanumeryczną tej liczby. Co komu szkodzi hashować tym
    samym algorytmem, używając innej reprezentacji liczb? Chyba, że źle
    zrozumiałem...

    --japh

    --
    __ Maciek Pasternacki <m...@j...fnord.org> [ http://japhy.fnord.org/ ]
    `| _ |_\ / { ...Boże Ciało. Pół rynku, albo trzy czwarte rynku,
    ,|{-}|}| }\/ oblepione wiernymi. Czemuś jestem wierny,
    \/ |____/ więc czuję się u siebie... } ( M. Świetlicki ) -><-

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1