"pedro" <s...@i...pl> writes:

> Tez w to wierze ale bank na razie nie. Mówia ze jak z pinem to przed
> czy po zastrzezeniu - nie ma mowy o uznaniu.... Moze mamy inne
> regulaminy.?

5. Klient nie ponosi odpowiedzialnosci za transakcje dokonane za
pomoca karty po jej zastrzezeniu, z wyjatkiem sytuacji, gdy transakcje
zostaly dokonane przez Klienta, uprawnionego posiadacza karty
dodatkowej albo za zgoda ktoregokolwiek z nich.

Nic tu nie ma o PINach.

Natomiast oczywiscie "rozszerzona odpowiedzialnosc banku" - ta 48/72
godziny PRZED zastrzezeniem - nie obejmuje transakcji z PINem.

MJ

do góry

Użytkownik j...@p...onet.pl napisał:

>>Nie magia. Głupi traf.
>>
>>PIN wpisany przez Ciebie jest w bankomacie szyfrowany. I może się tak
>>zdarzyć że wartość funkcji szyfrującej na dwóch różnych PINach jest
>>identyczna. Naprawde głupi traf ale się zdarza. I - żeby było śmieszniej
>>- to wcale nie znaczy że w innym bankomacie ten 'drugi' PIN zadziała.
>>
>>Napisać szczegółowiej?
>
>
> Napisz, napisz, bo nie wydaje mi się, żeby w tak poważnych zastosowaniach
> funkcja szyfrująca nie była różnowartościowa.
>
> Jacek

Podpytałem, sprawdziłem, pomyślałem.

1. Wklepujemy do bankomatu PIN.
2. On jest szyfrowany DESem - szyfrowanie symetryczne!
3. Taki pakiet DES(PIN) wędruje do banku.
4. Tam jest odszyfrowywany : DES-1(DES(PIN)) -> PIN.
5. I jest porównywany z tym, co jest zapisane w komputerze w banku.

A to oznacza, że w komputerze jest zapisany __goły__ PIN. Z punktu
widzenia bezpieczeństwa jest to bez sensu.

Stąd mój wniosek że między punktami 1 i 2 dokonywane jest obliczenie
jednokierunkowej funkcji skrótu z PINu i nr karty czyli obliczamy
HASH(PIN,karta) i dopiero to szyfrujemy. I w banku w komputerze nie jet
trzymany goły PIN ale również wartość HASH(PIN,karta) - tak po prostu
jest dużo bezpieczniej.

A skoro tak, to może się zdarzyć, że HASH(PIN1,karta) = HASH(PIN2,karta)
- funkcja skrótu po prostu tak ma i dobrze. Gdyby nie to, to wówczas
nie byłaby jednokierunkowa, czyli dałoby się prosto (w sensie złożoności
obliczeniowej) obliczyć PIN znając HASH(PIN,karta) i nr karty. A tak się
nie da - jakiekolwiek liczenie PINu polega tak naprawdę na zgadywaniu
(tzn jest równoważne obliczeniowo ze zgadywaniem).

Łukasz

do góry

[ciach]

Krótko mówiąc: opisany przez Ciebie głupi traf nie mógł się zdarzyć.

Jacek


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik j...@p...onet.pl napisał:

> [ciach]
>
> Krótko mówiąc: opisany przez Ciebie głupi traf nie mógł się zdarzyć.
>
> Jacek
>
>
Tyle ciachnąłęś że nie wiem czy to do mnie :)

Ale z tego co napisałem dzisiaj wynika, że można wpisać zły PIN a
zostanie on zaakceptowany jako dobry.

Łukasz

do góry

> Tyle ciachnąłęś że nie wiem czy to do mnie :)
>
> Ale z tego co napisałem dzisiaj wynika, że można wpisać zły PIN a
> zostanie on zaakceptowany jako dobry.

Nie wiem skąd czerpiesz swoją wiedzę i na ile jest ona dokładna, a ile z tego
to Twoje domniemania.
Ja powtarzam: nie wierzę żeby taka sytuacja była możliwa. Nie widzę żadnego
racjonalnego powodu, żeby tak miało się dziać. Tu chodzi o pieniądze.

Jacek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik j...@p...onet.pl napisał:

>>Tyle ciachnąłęś że nie wiem czy to do mnie :)
>>
>>Ale z tego co napisałem dzisiaj wynika, że można wpisać zły PIN a
>>zostanie on zaakceptowany jako dobry.
>
>
> Nie wiem skąd czerpiesz swoją wiedzę i na ile jest ona dokładna, a ile z tego
> to Twoje domniemania.
> Ja powtarzam: nie wierzę żeby taka sytuacja była możliwa. Nie widzę żadnego
> racjonalnego powodu, żeby tak miało się dziać. Tu chodzi o pieniądze.
>
> Jacek

Słusznie zauważasz że używanie funkcji skrótu jest moim domysłem, a
właściwie wnioskiem, opartym na wiedzy z kryptografii. Ale obiecuję że
przez weekend sięgnę do źródeł i sprawdzę.

Uważasz że bezpieczniej jest trzymać na komputerze bankowym gołe PINy i
nry kart klientów? Bo ja osobiście jako klient banku wolę, żeby mojego
PINU nigdzie nie było gołym tekstem. Tu w końcu - jak słusznie
zauważyłeś - chodzi o pieniądze.

A prawdopodobieństwo że zły PIN będzie pasował jest niezmiernie małe -
coś tak jakby trafienie w totolotka.

Oczywiście możliwa jest jeszcze inna sytuacja - 'raz na 100 lat'
obliczenia mogą pójść błędnie i zły PIN 'raz na 100 lat' będzie uznany
za dobry. NIe wykluczm tej możliwośći.


Pozdrawiam

Łukasz

do góry

Użytkownik j...@p...onet.pl napisał:
>>
>>Ale z tego co napisałem dzisiaj wynika, że można wpisać zły PIN a
>>zostanie on zaakceptowany jako dobry.
>
> Nie wiem skąd czerpiesz swoją wiedzę i na ile jest ona dokładna, a ile z tego
> to Twoje domniemania.
> Ja powtarzam: nie wierzę żeby taka sytuacja była możliwa. Nie widzę żadnego
> racjonalnego powodu, żeby tak miało się dziać. Tu chodzi o pieniądze.

Wez pod uwage, ze prawdopodobienstwo wystapienia takiej sytuacji moze
byc tak male, ze mozna je uznac na pomijalne. A wtedy nie warto wydawac
kasy by je zmniejszyc lub wyeliminowac.

Bartol

do góry

> Wez pod uwage, ze prawdopodobienstwo wystapienia takiej sytuacji moze
> byc tak male, ze mozna je uznac na pomijalne. A wtedy nie warto wydawac
> kasy by je zmniejszyc lub wyeliminowac.

Kilkakrotne zwiększenie prawdopodobieństwa kradzieży Twojej kasy to mało?
Nie trzeba wydawać na to ani złotówki, bo podejrzewam, że nikt takiego
badziewnego algorytmu nie wymyślił. W żadnym sądzie bank by nie wygrał sprawy
gdyby okazało się, że transakcja błędnym PIN'em może być zaakceptowana. Ja
zwyczajnie w to nie wierzę.

Jacek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> Uważasz że bezpieczniej jest trzymać na komputerze bankowym gołe PINy i
> nry kart klientów? Bo ja osobiście jako klient banku wolę, żeby mojego
> PINU nigdzie nie było gołym tekstem. Tu w końcu - jak słusznie
> zauważyłeś - chodzi o pieniądze.

Nic takiego nie twierdzę. To Ty twierdzisz, że PIN jest przechowywany w postaci
otwartej. Ja takiej wiedzy nie posiadam.


> A prawdopodobieństwo że zły PIN będzie pasował jest niezmiernie małe -
> coś tak jakby trafienie w totolotka.

O wiele, wiele większe. x/10000 - gdzie x ilość PIN'ów generujących ten sam
ciąg.

> Oczywiście możliwa jest jeszcze inna sytuacja - 'raz na 100 lat'
> obliczenia mogą pójść błędnie i zły PIN 'raz na 100 lat' będzie uznany
> za dobry. NIe wykluczm tej możliwośći.

I tu zgoda, ale nie jest to sytuacja pierwotnie opisywana przez Ciebie.

Jacek

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik j...@p...onet.pl napisał:
>>Uważasz że bezpieczniej jest trzymać na komputerze bankowym gołe PINy i
>>nry kart klientów? Bo ja osobiście jako klient banku wolę, żeby mojego
>>PINU nigdzie nie było gołym tekstem. Tu w końcu - jak słusznie
>>zauważyłeś - chodzi o pieniądze.
>
>
> Nic takiego nie twierdzę. To Ty twierdzisz, że PIN jest przechowywany w postaci
> otwartej. Ja takiej wiedzy nie posiadam.

Mea culpa :)
Rozmawiałem właśnie z człowiekiem który w temacie siedzi. PIN jest
każdorazowo wyliczany (i tu jest właśnie ta funkcja jednokierunkowa) z
innych danych i kluczy, które mogą być przechowywane gołym tekstem, i
nigdzie goło w banku zapisany nie jest. I inny PIN nigdy nie będzie
pasował. Miałeś rację. A ja bezzasadnie uogólniałem technikę szyfrowania
haseł na Unixach na PINy bankowe.

Pozdrawiam

Łukasz

do góry