-
Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
ews.man.poznan.pl!news.internetia.pl!mimuw.edu.pl!news.mimuw.edu.pl!uw.edu.pl!p
m.waw.pl!defiant.pm.waw.pl!not-for-mail
From: Krzysztof Halasa <k...@d...pm.waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: zabezpieczenia w bankowosci elektronicznej
Date: 23 Jul 2002 18:09:16 +0200
Organization: The Palace of Youth in Warsaw
Lines: 54
Message-ID: <m...@d...pm.waw.pl>
References: <agb629$c96$1@news.tpi.pl> <agcmgm$2ls$1@news2.tpi.pl>
<8...@l...localdomain> <m...@d...pm.waw.pl>
<8...@l...localdomain> <m...@d...pm.waw.pl>
<8...@l...localdomain>
NNTP-Posting-Host: defiant.pm.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: defiant.pm.waw.pl 1027440556 3742 195.116.170.34 (23 Jul 2002 16:09:16 GMT)
X-Complaints-To: n...@d...pm.waw.pl
NNTP-Posting-Date: Tue, 23 Jul 2002 16:09:16 +0000 (UTC)
Xref: news-archive.icm.edu.pl pl.biznes.banki:195395
[ ukryj nagłówki ]Maciek Pasternacki <j...@h...org.pl> writes:
> >> Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
> >> podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
> >> odrobina zdrowego rozsądku. Chyba, że przeceniam nasze banki...
> >
> > Nie, to nawet nie o to chodzi. Tego nie da sie tak zrobic "dla mas".
>
> Dlaczego?
Poniewaz masy wola 5-cyfrowe hasla jednorazowe itp. Poniewaz masy
nie sa w stanie wklepac np. do telefonu 128-bitowego hasha MD5.
Poniewaz tak naprawde w tej chwili to nie wystarczy, by zabezpieczyc
sie przed dzialaniem banku na szkode klienta. Poniewaz to i tak byloby
rozwiazanie przejsciowe - wszyscy czekaja na podpis elektroniczny,
i sie z pewnoscia doczekaja.
> Mówiąc o łamaniu haseł chyba nie mamy na myśli włamywacza znajdującego
> kartkę z hasłami, bo to jest oczywiste, że wtedy długość hasła nie ma
> znaczenia. Dlatego do jednorazów powinien być jakiś stały pin czy
> prefix password jak w OTPW. Dla programu łamiącego... hm... weźmy
> pięciocyfrową liczbę. Mamy ln 10/ln 2 = 3,322 bita na cyfrę, razy
> pięć to będzie 16,6 bitów na hasło. Przy siedmiu znakach
> litery/cyfry, mamy ln (26*2+10 = 62)/ln 2=5,954 bitów na znak, razy
> siedem to jest 41,68 bitów na hasło. Rzeczywiście, wciąż mało jak na
> dzisiejszą moc obliczeniową. Chociaż, jak na jednorazy w systemie
> OTPW, gdzie szansę trafienia możesz mieć jak jeden do kilkuset tysięcy
> (wspomniany wyżej system z wybieraniem iluś cyfr z długiej tabeli może
> być jakimś słabszym wariantem OTPW, co zresztą wcześniej opisałem).
Ale co przez to zyskujesz? Nic. Zabezpieczyc sie przed bankiem nie jestes
w stanie, bo to bank generuje Ci hasla i przesyla poczta. Nic nie stoi
na przeszkodzie, by zaradny specjalista robil druga kopie "na wszelki
wypadek".
> > Tak przypuszczam. Taki hash MD5 zapisany w postaci dziesietnej mialby
> > tylko ok. 128/10*3 = czterdziesci cyfr. Przy SHA1 tylko drobne 50 cyferek.
>
> A kto mi (a właściwie bankowi) zabroni wygenerować 64-, 48-, a nawet
> 32-bitowy skrót SHA1 albo MD5? Że zamiast 128 bitów entropii będą 64?
> Do jednorazów wystarczy. Powtarzam, nie widziałem rozwiązań haseł
> jednorazowych stosowanych przez banki, byłem przekonany, że nie
> stosują rozwiązań, które bym obśmiał, jakby ktoś mi sugerował
> zabezpieczenie tym konta pocztowego, a co dopiero dorobku całego
> życia... ;)
Wbrew pozorom, roznica pomiedzy stosowanymi przez banki np. 5-cyfrowymi
haslami jednorazowymi a np. 32 czy 64-bitowymi skrotami nie jest wcale
taka duza - ani jedno, ani drugie nie zabezpiecza uzytkownika przed
dzialaniem banku na jego szkode, oraz jedno i drugie dosc dobrze
zabezpiecza uzytkownika przed dzialaniem osob trzecich.
--
Krzysztof Halasa
Network Administrator
Następne wpisy z tego wątku
- 23.07.02 20:15 Maciek Pasternacki
- 30.07.02 17:27 Maciek Pasternacki
- 30.07.02 17:36 Maciek Pasternacki
- 31.07.02 18:44 Vizvary II Istvan
- 31.07.02 18:49 Vizvary II Istvan
Najnowsze wątki z tej grupy
- Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- Obcokrajowcy w bankach
- Wysokie ceny nieruchomości... ;)
- Dlaczego takie preferencje banków?
- Awaria BNP Paribas
- Citi Handlowy promocja na kartę kredytową
- czy zablokują mi środki?
- Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- Zamykanie konta dziecka.
- Czy apka bankowa to gra komputerowa?
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
Najnowsze wątki
- 2025-02-22 Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- 2025-02-18 Obcokrajowcy w bankach
- 2025-02-13 Wysokie ceny nieruchomości... ;)
- 2025-02-10 Dlaczego takie preferencje banków?
- 2025-02-03 Awaria BNP Paribas
- 2025-01-23 Citi Handlowy promocja na kartę kredytową
- 2025-01-21 czy zablokują mi środki?
- 2025-01-09 Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- 2024-12-31 Zamykanie konta dziecka.
- 2024-12-31 Czy apka bankowa to gra komputerowa?
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...