"Krzysztof Kowalski" <k...@b...pl> writes:

> minik - nie pisz bzdur. Idea kodów wg mnie powinna być zgodna z ideą haseł
> szyfrowanych. Czyli kody generuje się TYLKO i WYŁĄCZNIE raz. Kod można
> sprawdzić ale NIE odtworzyć, dlatego że algorytm ma działać tylko w jedną
> stronę. Łopatologinicze: możesz wpisywać i do skutku zgadywać kod aż Ci
> system napisze "Kod OK" ale odtworzenie kodu NIE wchodzi w grę.

No to wlasnie tak to mozna odtworzyc. Normalnie, uzywajac klienta WWW,
zapewne nie wchodzi to w rachube, ale jesli pracownik zna hashe,
to bedzie to ulamek sekundy.
--
Krzysztof Halasa
Network Administrator

do góry

"blad" <b...@W...pl> writes:

> Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> transakcji
> nim nie podpisze ;-))

To jest ewidentne, problem tylko w tym, by klienci bankow chcieli takiego
sposobu uzywac. Obawiam sie ze w tej chwili niespecjalnie duzo by takich
klientow sie znalazlo - zwlaszcza takich, ktorzy dodatkowo pilnowaliby
tego klucza (albo calego podpisywacza).
--
Krzysztof Halasa
Network Administrator

do góry

<y...@y...pl> writes:

> Lista haseł jest kopiowalna w sposób fizyczny, da sie wydukować duplikat,
> skopiować plik itp. Token nie jest kopiowalny. Posiada swój unikatowy numer,
> niemożna go powielić, rozmontować czy przeprogramować.

Mozna, mozna.

> Zakładasz że bank sam szyfruje tokeny - ma to miejsce tylko w wypadku
> tokenów
> typu challange - response. Tokeny generujące response w oparciu o czas są
> programowane przez producenta a ich algorytmy są najcześciej nieznane
> bankowi.

Ale znane ludziom, ktorzy sie tym interesuja. Wszelkie urzadzenia
"szyfrujace", ktorych producenci staraja sie zapewnic (zwiekszyc)
odpornosc przez utajnienie algorytmow, jednoczesnie stosujac te same
algorytmy w wielu tokenach, sa bez sensu. To tak jakby zwiekszyc
ilosc znakow w hasle z 8 do 16, ale teraz pierwsze 8 znakow byloby
jednakowe dla wszystkich uzytkownikow.

Tyle ze to z reguly jest tak, ze albo mamy 8 roznych znakow,
albo 12 jednakowych + 4 wlasne :-(

> Najbezpieczniejszy moim zdaniem token pracujący w trybie Time based
> challange
> response generuje kod w oparciu o wywołanie i ziarno czasu. Jeśli więc nawet
> ktoś "podpatrzyłby" odpowiedz z tokena dla danego wywołania to i tak po
> uływie
> określinego czasu straciła by ona swoją ważność.

Wszystko mozna zlamac. Silna kryptografia to na razie jedyna rzecz,
ktora w tym przeszkadza. Niestety tokeny niekoniecznie czegos takiego
uzywaja.

> A jak przechowujesz ten kluczyk?
> - na karcie ? to musisz mieć w kieszeni czytnik inaczej rozwiąznie nie jest
> przenośne.
> - na dyskietce? ;-)........ kiedyś miałem ze pare programików do
> kopiowania
> dyskietek 1 do 1 z nunerami seryjnymi włącznie.

Numer seryjny zapisany jest w boot sektorze, wiadomo w ktorym miejscu itd.
Bardziej skomplikowany bylby program, ktory _nie_ kopiowalby SN.
--
Krzysztof Halasa
Network Administrator

do góry