-
Data: 2002-07-16 17:09:17
Temat: Re: zabezpieczenia w bankowosci elektronicznej
Od: Krzysztof Halasa <k...@d...pm.waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Maciek Pasternacki <j...@h...org.pl> writes:
> Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
> podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
> odrobina zdrowego rozsądku. Chyba, że przeceniam nasze banki...
Nie, to nawet nie o to chodzi. Tego nie da sie tak zrobic "dla mas".
> > 2. Taki mechanizm, by sensownie dzialac, potrzebuje argumentu o znacznej
> > dlugosci. Przy kilku cyfrach takiego hasla jednorazowego, nie ma
> > najmniejszego znaczenia czy bank przechowuje skrot, czy cale haslo
> > - i tak zlamanie tego trwa mikrosekunde.
>
> ...tak, chyba przeceniam. Byłem święcie przekonany, że jak hasło jest
> jednorazowe i czytane z karteczki, to można wymagać od ludzi
> przepisania co najmniej siedmiu znaków, liter (małych i dużych) i
> cyfr. Co byłoby i tak niezbyt złożonym hasłem...
Wlasnie. Dla osoby, ktora wlamala sie do domu z wlaczonym komputerem
i strona z np. mBanku roznica miedzy takimi haslami i 5-znakowymi
bedzie niezauwazalna (bo albo wlamywacz znajdzie kartke z haslami,
albo jej nie znajdzie i najwyzej zasili zaklad energetyczny).
Dla komputera, ktory mialby to polamac, roznica bedzie oczywiscie
wielokrotna - ale i tak zajmie to tylko chwile.
> Chyba, że wymyślili coś sprytnego. W co nie wierzę. (hm... token
> oparty w jakiś sposób na algorytmie w duchu S/KEY?)
Teoretycznie moglaby byc taka mozliwosc, ale:
- 1. wciaz problem dlugosci klucza
- 2. user musialby sam "obsiewac" taki token (ten sam problem co przy
kryptografii asymetrycznej).
No i ile normalne tokeny maja nieograniczony czas zycia (przynajmniej
nie jest z zalozenia ograniczony), a poza tym zabezpieczaja usera przed
"skopiowaniem wskazan".
> Ja po prostu chyba jakiś naiwny jestem i zakładam, że klucze mają
> jakiś ludzki rozmiar.
Tzn. ile? Ludzie maja sklonnosc do uzywania slabych kluczy (entropia
w wymyslanych przez nich haslach to cos w stylu np. 2 bitow / znak).
Hasla generowane losowo przez komputer sa oczywiscie lepsze, ale
trudniejsze do zapamietania/zapisania, i naprawde nie moga byc
specjalnie dlugie, jesli maja dzialac (postaw sie w sytuacji helpdesku).
> > To teraz porownaj np. SHA1 czy nawet MD5 (ktory jest podatny na ataki
> > polegajace na dopasowywaniu tresci do pozadanego wyniku) z tym, co
> > wklepujesz w okienko logowania / potwierdzenia przelewu itp.
>
> Możesz rozwinąć? Chodzi Ci o to, że to, co mi wypluwa np. md5sum
> ,,wygląda inaczej''? Przecież hasz czegokolwiek jest liczbą, a to, co
> wypluwa md5sum albo jest zapisane w /etc/shadow jest jakąś
> reprezentacją alfanumeryczną tej liczby. Co komu szkodzi hashować tym
> samym algorytmem, używając innej reprezentacji liczb? Chyba, że źle
> zrozumiałem...
Tak przypuszczam. Taki hash MD5 zapisany w postaci dziesietnej mialby
tylko ok. 128/10*3 = czterdziesci cyfr. Przy SHA1 tylko drobne 50 cyferek.
No coz, w jakims sensie to tez wyglada inaczej :-)
--
Krzysztof Halasa
Network Administrator
Następne wpisy z tego wątku
- 16.07.02 17:13 Krzysztof Halasa
- 17.07.02 19:13 Vizvary II Istvan
- 18.07.02 12:04 Krzysztof Halasa
- 17.07.02 10:52 Maciek Pasternacki
- 17.07.02 11:28 Maciek Pasternacki
- 17.07.02 11:09 Maciek Pasternacki
- 23.07.02 18:43 Vizvary II Istvan
- 23.07.02 21:37 Vizvary II Istvan
- 23.07.02 16:09 Krzysztof Halasa
- 23.07.02 20:15 Maciek Pasternacki
- 30.07.02 17:27 Maciek Pasternacki
- 30.07.02 17:36 Maciek Pasternacki
- 31.07.02 18:44 Vizvary II Istvan
- 31.07.02 18:49 Vizvary II Istvan
Najnowsze wątki z tej grupy
- Velo częściowo ugiął się...
- że co?
- I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- Jak to kupić?
- Re: Obronią nas doskonale czołgi...
- Re: Obronią nas doskonale czołgi...
- Zabawny epizod z Santander Consumerem
- Zapamiętana karta w aplikacji
- Velo -- zgłoszenie incydentu
- Velo -- kradzież czy bałagan?...
- Velo bank nie odpuszcza?...
- Velo jak zwykle bredzi...
- Od setki do setki...
- Velo ostrzega przed sobą?
- Nest -- polecenie
Najnowsze wątki
- 2024-09-23 Velo częściowo ugiął się...
- 2024-09-22 że co?
- 2024-09-22 I po co było się tak ZAPIERAĆ? Mówiłem żeby proponować wcześniej UGODY FRANKOWE?
- 2024-09-20 Jak to kupić?
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-17 Re: Obronią nas doskonale czołgi...
- 2024-09-12 Zabawny epizod z Santander Consumerem
- 2024-09-12 Zapamiętana karta w aplikacji
- 2024-09-11 Velo -- zgłoszenie incydentu
- 2024-09-10 Velo -- kradzież czy bałagan?...
- 2024-09-10 Velo bank nie odpuszcza?...
- 2024-09-05 Velo jak zwykle bredzi...
- 2024-09-01 Od setki do setki...
- 2024-08-30 Velo ostrzega przed sobą?
- 2024-08-29 Nest -- polecenie