Skocz do zawartości
megi

Szyfrowanie haseł

Polecane posty

To akurat w czatach da sie latwo rozwiazac. Wprawdzie nie wiem jak to robi home, ale mozna w czata zaimplementowac calkowicie zautomatyzowany system weryfikacji takiego hasla / czesci hasla. Pracownik BOK moze w takim przypadku otrzymywac od systemu jedynie informacje typu "Zweryfikowano jako xxx (login)".

 

No dokładnie. Może to być albo zintegrowane z czatem (uwierzytelniasz się przed rozmową), albo np. wystarczyłby link w panelu po zalogowaniu (uwierzytelniłeś się już wcześniej). Albo jakkolwiek inaczej. Ten biedny bokowiec naprawdę nie musi mieć możliwości poznania niczyjego hasła.

 

Co do reszty wypowiedzi oczywiscie brak zastrzezen :-).

 

:)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

blackfire:

 

ja to widzę tak:

1. logowanie - wpisujesz login/telekod/cokolwiek

2. system znajduje sobie wewnętrznie, wewnątrz siebie hasło, bierze sobie 3 znak.

3. system mówi: podaj 3 znak

(albo najpierw mówi podaj któryś znak, a potem sobie go wewnętrznie sprawdza)

4. system wprowadza plain textowo sobie wewnątrz siebie ten 3. znak

5. system sprawdza wewnętrznie czy ten 3 znak jest OK

6. tak samo inny i jeszcze inny n-ty znak

7. jest OK - wchodzisz do systemu

ale tak naprawdę nie wiem jak to działa, tak to wygląda na zdrowy rozsądek - jak już wcześniej pisałem, nie wiem ja, nie wiesz sam jak to działa, bo to właśnie z powodu swojej natury jest pod ścisłą tajemnicą... i można powiedzieć "nie bój się"...

 

nosz k.. niech mnie piorun trzaśnie, jeśli to jest plain text dla was i jest o czym dyskutować i tak, wiem co to plain text.. może i p.t. to jest gdy go wpisujesz w formularzu / podajesz przez telefon.. potem kryptografia robi swoje.. po to przecież jest, nie?

 

blackfire.. a czujesz, że BOK ma umowy podpisane i odpowiada gardłem za takie rzeczy, to jak praca w mennicy.. poza tym co gościowi z BOKu 3 z np. 8 czy 10 znaków hasła... no dobra.. musiałoby być tak idealnie, że ten sam pracownik BOKu nadzoruje każdą (np. 10 czy 20, by wszystko po kolei skompletować) Twoją telefoniczną operację i przypadkiem by się tak wydarzyło, że skompletuje sobie hasło.. ale jakie jest prawdopodobieństwo? poza tym mają jednak te papiery podpisane, wszystko jest rejestrowane, co, gdzie kiedy, itd.. kto co wykonał, gdzie przelał itd.. więc? można się tak naprawdę do wielu rzeczy doczepić.. nie ma co szukać słabego punktu w gościu z BOKu.. może to być linia telefoniczna (może CBA podsłuchuje? - itd.)..

 

rozmowa bardzo na wyrost - żeby co - żebyś mógł się pochwalić zdolnościami wyszukiwania teorii i nazwisk nt. kryptografii?

 

co wy ustalacie co widzi BOKowiec, jak nie masz pojęcia o tych systemach, google to nie wszystko - już o tym pisałem, także można sobie tylko teoretyzować.. ja tam ufam temu systemowi i przyjmuję, że szansa, że BOK sobie skompletuje wszystko jest baaardzo mała - to też tak mówiąc w uproszczeniu, bo to śmiesznie brzmi w ogóle prowadzenie dysputy na ten temat

"a zna, a nie zna, a może poznać, a plain tekst, a nie plain, a szyfrowane, a nie".. po co to i na co - i tak nie dojdziesz co i jak i w jaki sposób

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
blackfire:

 

ja to widzę tak:

1. logowanie - wpisujesz login/telekod/cokolwiek

2. system znajduje sobie wewnętrznie, wewnątrz siebie hasło, bierze sobie 3 znak.

 

I już tu jest problem. Żeby wybrać ten znak, system musi znać całość hasła (plaintextem!). I to o tym jest ten wątek.

 

3. system mówi: podaj 3 znak

(albo najpierw mówi podaj któryś znak, a potem sobie go wewnętrznie sprawdza)

4. system wprowadza plain textowo sobie wewnątrz siebie ten 3. znak

5. system sprawdza wewnętrznie czy ten 3 znak jest OK

6. tak samo inny i jeszcze inny n-ty znak

7. jest OK - wchodzisz do systemu

 

Czy widzisz możliwość wykonania takich operacji dysponując jedynie skrótem z hasła?

 

ale tak naprawdę nie wiem jak to działa, tak to wygląda na zdrowy rozsądek - jak już wcześniej pisałem, nie wiem ja, nie wiesz sam jak to działa, bo to właśnie z powodu swojej natury jest pod ścisłą tajemnicą... i można powiedzieć "nie bój się"...

 

Jasne że nie znam szczegółów (np. adresu IP serwera, gdzie leży Twój telekod). Ale przechowywanie hasła w postaci skrótu czy też plain textem to nie jest szczegół tylko podstawa, która wpływa później na cały proces uwierzytelniania. A mechanizmu takiego jak w Home nie da się wprowadzić, nie dysponując plaintextem hasła. BTW, zejdź z aury tajemniczości dookoła mechanizmów bezpieczeństwa. Prawdziwie bezpieczny system to taki, którego budowę znasz co do ostatniej śrubki/linii kodu/najdrobniejszej procedury, a i tak bez znajomości klucza się nie dostaniesz. Jeżeli ktoś chce Ci sprzedać np. system szyfrowania, który jest bezpieczny bo tajny, olej go, bo właśnie bepieczny byłby, gdyby był w 100% jawny i przebadany przez środowisko kryptograficzne.

 

nosz k.. niech mnie piorun trzaśnie, jeśli to jest plain text dla was i jest o czym dyskutować i tak, wiem co to plain text.. może i p.t. to jest gdy go wpisujesz w formularzu / podajesz przez telefon.. potem kryptografia robi swoje.. po to przecież jest, nie?

 

A co podajesz w formularzu/przez telefon? SHA1 z tego hasła może? Oczywiście że jest to plaintext (a dokładnie jego fragment). Drugą kopią tego plaintextu dysponuje system, który porównuje obie wersje znak po znaku. W którym punkcie Twojego przykładu masz jakąkolwiek kryptografię?

 

O kryptografii to mógłbyś mówić w przypadku, kiedy:

  • na serwerze trzymany jest hash hasła a Ty podajesz plaintext, albo
  • na serwerze trzymany jest plaintext, a Ty podajesz np. client_random + sha1(haslo[1,3,5], server_random, client_random)

(szybki quiz: po co jest server_random i client_random?)

 

blackfire.. a czujesz, że BOK ma umowy podpisane i odpowiada gardłem za takie rzeczy, to jak praca w mennicy.. poza tym co gościowi z BOKu 3 z np. 8 czy 10 znaków hasła... no dobra.. musiałoby być tak idealnie, że ten sam pracownik BOKu nadzoruje każdą (np. 10 czy 20, by wszystko po kolei skompletować) Twoją telefoniczną operację i przypadkiem by się tak wydarzyło, że skompletuje sobie hasło.. ale jakie jest prawdopodobieństwo? poza tym mają jednak te papiery podpisane, wszystko jest rejestrowane, co, gdzie kiedy, itd.. kto co wykonał, gdzie przelał itd.. więc? można się tak naprawdę do wielu rzeczy doczepić.. nie ma co szukać słabego punktu w gościu z BOKu.. może to być linia telefoniczna (może CBA podsłuchuje? - itd.)..

 

Po co zakładać, że prawdopodobieństwo jest niższe niż jakieś tam, jak możesz _zagwarantować_ że jest zerowe? Na CBA na linii niewiele poradzisz, chyba że np. tokenem. A tak BTW, to naprawdę wydaje Ci się, że taka operacja kradzieży hasła byłaby do wyśledzenia (mówię o Home, nie o banku)?

 

rozmowa bardzo na wyrost - żeby co - żebyś mógł się pochwalić zdolnościami wyszukiwania teorii i nazwisk nt. kryptografii?

 

Nooo... a tego Schneiera to aż godzinę guglałem zanim znalazłem. Sorry, to są podstawy. Podstawowe podstawy. Jak Ci ktoś napisze o Gatesie, Torvaldsie albo innym Kubicy to też się chwali wyszukiwaniem nazwisk?

 

co wy ustalacie co widzi BOKowiec, jak nie masz pojęcia o tych systemach, google to nie wszystko - już o tym pisałem, także można sobie tylko teoretyzować.. ja tam ufam temu systemowi i przyjmuję, że szansa, że BOK sobie skompletuje wszystko jest baaardzo mała - to też tak mówiąc w uproszczeniu, bo to śmiesznie brzmi w ogóle prowadzenie dysputy na ten temat

 

Te wszystkie systemy, o których piszesz z takim nabożeństwem, zaprojektowali, wykonali, wdrożyli i obsługują ludzie. Masz rację, że nie będę miał problemów z zaśnięciem bo musiałem podać w Home trzecią cyferkę jakiegoś kodu. Tyle tylko, że ten projekt pozostawia wiele do życzenia pod kątem bezpieczeństwa. A skoro tak, to skąd mam wiedzieć, jak zabezpieczona jest reszta systemu?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
blackfire.. a czujesz, że BOK ma umowy podpisane i odpowiada gardłem za takie rzeczy, to jak praca w mennicy.. poza tym co gościowi z BOKu 3 z np. 8 czy 10 znaków hasła... no dobra.. musiałoby być tak idealnie, że ten sam pracownik BOKu nadzoruje każdą (np. 10 czy 20, by wszystko po kolei skompletować) Twoją telefoniczną operację i przypadkiem by się tak wydarzyło, że skompletuje sobie hasło.. ale jakie jest prawdopodobieństwo? poza tym mają jednak te papiery podpisane, wszystko jest rejestrowane, co, gdzie kiedy, itd.. kto co wykonał, gdzie przelał itd.. więc? można się tak naprawdę do wielu rzeczy doczepić.. nie ma co szukać słabego punktu w gościu z BOKu.. może to być linia telefoniczna (może CBA podsłuchuje? - itd.)..

 

To jak praca w mennicy? Sponsi, o czym Ty mówisz? Ty myślisz, że w BOKu firmy hostingowej dla mas pracują jacyś szczególni ludzie? Nikogo nie obrażając to są ludzie prawie że z łapanki. Oni nie muszą mieć szczególnych umiejętności, wystarczy, że umieją się posługiwać przeglądarką i programem pocztowym. Reszty się uczą. Myślisz, że są jakoś specjalnie weryfikowani (testy psychologiczne i takie tam)? Tam pracują naprawdę różni ludzie. I to za nienajwyższą kasę. Przeciętny bokowiec zarabiający z 1300 netto miesięcznie (EDIT znajomy stwierdził, że 1300 to po podwyżce ;)"odpowiada gardłem za takie rzeczy"?! Jakie papiery według Ciebie mają podpisane? Ja pracowałam w 3 dużych firmach hostingowych i na wyższych niż bokowiec stanowiskach i jedyne co miałam to w jednej umowę o zakazie konkurencji. Kontrola nad pracownikami jest mniejsza niż Ci się wydaje. Mógłbyś być nieco zaskoczony jak wygląda duża profesjonalna firma od środka. Na kilkadziesiąt osób w boku może się trafić czarna owca, która niecnie wykorzysta zbyt duże uprawnienia dlatego szanująca się firma dba by te uprawnienia były jak najmniejsze.

 

ja tam ufam temu systemowi i przyjmuję, że szansa, że BOK sobie skompletuje wszystko jest baaardzo mała

 

Widocznie zbyt mało wiesz, jeszcze się nie sparzyłeś i za bardzo wierzysz w ludzi :)

 

"a zna, a nie zna, a może poznać, a plain tekst, a nie plain, a szyfrowane, a nie".. po co to i na co - i tak nie dojdziesz co i jak i w jaki sposób

 

No tak, ciekawość to pierwszy stopień do piekła :P Ale to forum właśnie służy do tego, żeby dyskutować, wymieniać poglądy i dowiadywać się nowych rzeczy, czyż nie? :P I bynajmniej jego poziom się przez tę dyskusję nie obniżył, bo wypowiadali się tutaj ludzie, którzy mają coś do powiedzenia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do bezpieczeństwa mBanku: nie jestem ekspertem, ale chyba jest tam jedna luka lub niepotrzebna rzecz.

 

Chciałem przez mLinię zamówić kartę oraz aktywować hasła sms'owe. Zacząłem od karty. Operatorka przeczytała mi mój adres i poprosiła o potwierdzenie. Potwierdziłem i powiedziałem, że chciałbym jeszcze aktywować te hasła sms'owe. Nie ma sprawy, ale muszę potwierdzić swoją tożsamość poprzez podanie ... adresu zamieszkania - tego, który parę sekund temu ta pani mi przeczytała. Takie zabezpieczenie (podanie adresu) to żadne zabezpieczenie, więc po co fatygować użytkownika? Co o tym myślicie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tej pani sie losuje o co ma Cie zapytac. Wypadlo na adres zameldowania ;-). Ale ogolnie weryfikacja na mLinii po paru dosc standardowych danych to raczej utrudnienie niz zabezpieczenie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×