"Maciek Pasternacki" <j...@h...org.pl> wrote in message
news:87wus1s272.fsf@lizard.localdomain...
> Krzysztof Halasa <k...@d...pm.waw.pl> writes:
> >> To znaczy, bank (o ile nie są skrajnymi kretynami ani
> >> niczym w tym duchu) nie posiada odszyfrowanej listy moich haseł
> >> jednorazowych, tylko (w prostszym przypadku) jednokierunkowe funkcje
> >> skrótu każdego z tych haseł.
> >
> > 1. Skad ta informacja?
>
> Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
> podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
> odrobina zdrowego rozsądku. Chyba, że przeceniam nasze banki...

Ponownie Ci zwracam uwage na przyadek BS Online - do identyfikacji podaje
się CZESC hasla. Funkcja skrotu wykluczona. Haslo MUSI byc w banku w postaci
jawnej. Inna sprawa, że owe haslo upowaznia do sprawdzenia stanu konta itd.
Do wszelkich operacji stosuja podpisane cyfrowo dokumenty.

> Chyba, że wymyślili coś sprytnego. W co nie wierzę. (hm... token
> oparty w jakiś sposób na algorytmie w duchu S/KEY?)

Roznie z tym bywa. Ja się krecilem wokol zespolu ktory wdrazal pierwsze
tokeny w Polsce (w innej sprawie). Z tego co pamietam i wiem, kierownictwo
banku zazadal tokeny z kryptografii asymetryczna. Producent tokenu
zapewnial, ze dostarczane tokeny beda takie. Mi sie smiac chcialo i
tlumaczylem ze wykluczone, by moglo takie cos miec zasilanie bateryjkowe i
to dzialajace bez wymiany baterii przez dwa lata (znajac pobor mocy kart z
kryptografia asymetryczna). Czas naglil. Okazalo sie, że tokeny zawieraja
pojedynczy DES i to bodajze DES okrojony ze wzgledu na ograniczenia
eksportowe...


Vizvary