-
1. Data: 2012-11-14 21:02:49
Temat: PIN do karty - przechowywany przez bank?
Od: DooMiniK <bachus@bachus>
Witam.
Czy to normalne, że bank potrafi wysłać stary pin w przypadku,
gdy został zapomniany? Tj. czemu bank przechowuje pin a nie
np. generuje nowy?
--
Dominik Siedlak (bachus)
bachus(at)post(dot)peel
-
2. Data: 2012-11-14 21:05:50
Temat: Re: PIN do karty - przechowywany przez bank?
Od: MarcinF <m...@i...pl>
W dniu 2012-11-14 21:02, DooMiniK pisze:
> Czy to normalne, że bank potrafi wysłać stary pin w przypadku,
> gdy został zapomniany? Tj. czemu bank przechowuje pin a nie
> np. generuje nowy?
A czy ten stary pin został wygenerowany przez bank ?
-
3. Data: 2012-11-14 21:43:53
Temat: Re: PIN do karty - przechowywany przez bank?
Od: DooMiniK <bachus@bachus>
On 14/11/2012 20:05, MarcinF wrote:
> W dniu 2012-11-14 21:02, DooMiniK pisze:
>
>> Czy to normalne, że bank potrafi wysłać stary pin w przypadku,
>> gdy został zapomniany? Tj. czemu bank przechowuje pin a nie
>> np. generuje nowy?
>
> A czy ten stary pin został wygenerowany przez bank ?
Tak. Chodzi mi o to, czemu bank przechowuje PIN.
--
Dominik Siedlak (bachus)
bachus(at)post(dot)peel
-
4. Data: 2012-11-14 21:57:18
Temat: Re: PIN do karty - przechowywany przez bank?
Od: Tomasz Chmielewski <t...@n...wpkg.org>
On 11/14/2012 10:43 PM, DooMiniK wrote:
> On 14/11/2012 20:05, MarcinF wrote:
>> W dniu 2012-11-14 21:02, DooMiniK pisze:
>>
>>> Czy to normalne, że bank potrafi wysłać stary pin w przypadku,
>>> gdy został zapomniany? Tj. czemu bank przechowuje pin a nie
>>> np. generuje nowy?
>>
>> A czy ten stary pin został wygenerowany przez bank ?
>
> Tak. Chodzi mi o to, czemu bank przechowuje PIN.
W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
ciebie w bankomacie czy sklepie sie zgadza?
Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
"zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
A czemu twoj bank nie zmienia PINu w przypadku jego utraty - to juz
raczej kwestia jego procedur (nienajlepszych zreszta, moim zdaniem).
--
Tomasz Chmielewski
http://blog.wpkg.org
--- news://freenews.netfront.net/ - complaints: n...@n...net ---
-
5. Data: 2012-11-14 22:19:35
Temat: Re: PIN do karty - przechowywany przez bank?
Od: DooMiniK <bachus@bachus>
On 14/11/2012 20:57, Tomasz Chmielewski wrote:
> On 11/14/2012 10:43 PM, DooMiniK wrote:
>> On 14/11/2012 20:05, MarcinF wrote:
>>> W dniu 2012-11-14 21:02, DooMiniK pisze:
>>>
>>>> Czy to normalne, że bank potrafi wysłać stary pin w przypadku,
>>>> gdy został zapomniany? Tj. czemu bank przechowuje pin a nie
>>>> np. generuje nowy?
>>>
>>> A czy ten stary pin został wygenerowany przez bank ?
>>
>> Tak. Chodzi mi o to, czemu bank przechowuje PIN.
>
> W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
> ciebie w bankomacie czy sklepie sie zgadza?
Czyli uważasz, że przechowywanie haseł to dobra praktyka?
> Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
> 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
> "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
> wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
... bierzesz pod uwagę wyciek takiej bazy? W przypadku 'zewnętrznego'
użytkownika kilka nieudanych prób (blokujących kartę) skutecznie
obala teorię o współczesnych komputerach.
> A czemu twoj bank nie zmienia PINu w przypadku jego utraty - to juz
> raczej kwestia jego procedur (nienajlepszych zreszta, moim zdaniem).
Moim zdaniem nie powinien przechowywać kodu PIN i tego się będę
trzymał - albo czegoś tu nie rozumiem...
--
Dominik Siedlak (bachus)
bachus(at)post(dot)peel
-
6. Data: 2012-11-14 22:27:23
Temat: Re: PIN do karty - przechowywany przez bank?
Od: DooMiniK <bachus@bachus>
On 14/11/2012 21:19, DooMiniK wrote:
> On 14/11/2012 20:57, Tomasz Chmielewski wrote:
>> On 11/14/2012 10:43 PM, DooMiniK wrote:
>>> On 14/11/2012 20:05, MarcinF wrote:
>>>> W dniu 2012-11-14 21:02, DooMiniK pisze:
>>>>
>>>>> Czy to normalne, że bank potrafi wysłać stary pin w przypadku,
>>>>> gdy został zapomniany? Tj. czemu bank przechowuje pin a nie
>>>>> np. generuje nowy?
>>>>
>>>> A czy ten stary pin został wygenerowany przez bank ?
>>>
>>> Tak. Chodzi mi o to, czemu bank przechowuje PIN.
>>
>> W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
>> ciebie w bankomacie czy sklepie sie zgadza?
>
> Czyli uważasz, że przechowywanie haseł to dobra praktyka?
>
>> Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
>> 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
>> "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
>> wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
>
> ... bierzesz pod uwagę wyciek takiej bazy? W przypadku 'zewnętrznego'
> użytkownika kilka nieudanych prób (blokujących kartę) skutecznie
> obala teorię o współczesnych komputerach.
>
>> A czemu twoj bank nie zmienia PINu w przypadku jego utraty - to juz
>> raczej kwestia jego procedur (nienajlepszych zreszta, moim zdaniem).
>
> Moim zdaniem nie powinien przechowywać kodu PIN i tego się będę
> trzymał - albo czegoś tu nie rozumiem...
Czytam dokumentację do kart płatnicznych i zanim za głęboko w to wejdę:
- PIN jest także przechowywany na karcie płatnicznej,
- po np. zmianie PIN do karty przez internet przy pierwszym użyciu
karty płatniczej w terminalu (PIN się nie zgadza), system sprawdza
flagę, czy oby PIN po stronie banku się nie zmienił - jeżeli tak,
to po udanym uwierzytelnianiu PIN na chipie karty zostaje uaktualniony.
--
Dominik Siedlak (bachus)
bachus(at)post(dot)peel
-
7. Data: 2012-11-15 00:41:56
Temat: Re: PIN do karty - przechowywany przez bank?
Od: witek <w...@g...pl.invalid>
Tomasz Chmielewski wrote:
>>
>> Tak. Chodzi mi o to, czemu bank przechowuje PIN.
>
> W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
> ciebie w bankomacie czy sklepie sie zgadza?
do tego pin mu nie jest potrzebny.
>
> Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
> 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
> "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
> wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
jeszcze musisz wiedziec jak zaszyfrowanej.
zapisz sie na jakis kurs kryptografii.
-
8. Data: 2012-11-15 23:48:56
Temat: Re: PIN do karty - przechowywany przez bank?
Od: Krzysztof Halasa <k...@p...waw.pl>
witek <w...@g...pl.invalid> writes:
>> W jakis sposob musi miec mozliwosc porownac, ze PIN wprowadzony przez
>> ciebie w bankomacie czy sklepie sie zgadza?
>
> do tego pin mu nie jest potrzebny.
Potrzebne jest coś, co pozwoli na jego sprawdzenie. Nawet 6 cyfr to dla
zwykłego komputerka czas grubo poniżej sekundy.
Jakąś możliwością jest taka, w której sprawdzenie każdej kombinacji
byłoby bardzo kosztowne obliczeniowo. Wtedy oczywiście atak na
pojedynczą kartę wciąż byłby możliwy (i łatwy - komputery w banku nie
mogą być nieograniczone), ale już atak na np. wszystkie karty byłby
nieopłacalny. Tyle że to nie rozwiązuje żadnego praktycznego problemu.
>> Rowniez, w wiekszosci przypadkow dla kart mozliwa liczba kombinacji to
>> 10000 (dla 4-cyfrowego pinu); nawet, gdy bank przechowuje pin w postaci
>> "zaszyfrowanej", znalezienie odpowiedniej kombinacji to kilka sekund dla
>> wspolczesnego komputera. Dla 6 cyfrowego PINu - niewiele dluzej.
>
> jeszcze musisz wiedziec jak zaszyfrowanej.
>
> zapisz sie na jakis kurs kryptografii.
Przecież ma rację, no może poza tym, że to aż tak długo nie trwa.
Nie myślisz też chyba że łatwiej ukryć algorytm niż bazę PINów?
BTW zawartość bazy wygeneruje (z dużym prawdopodobieństwem) w sposób
sensowny bezduszny prosty program typu cat /dev/random. Zrób to samo
z algorytmem, i nie zdziw się później, gdy okaże się trywialnie łamalny.
BTW znakomita większość "autorskich" algorytmów szyfrujących jest
trywialnie łamalna, nawet jeśli teoretyczne założenia umożliwiają
napisanie dobrego algorytmu (tu tego nie mamy).
W tej chwili praktycznie dowolne algorytmy tego typu operujące na
powiedzmy 48-bitowych kluczach są łatwe do złamania nawet amatorskimi
sposobami. 4-cyfrowy PIN to jest tylko (prawie) 14 bitów, w kontekście
kryptografii to nawet nie jest śmieszne.
--
Krzysztof Halasa
-
9. Data: 2012-11-16 04:31:38
Temat: Re: PIN do karty - przechowywany przez bank?
Od: TrzyLinie <t...@o...pl>
W dniu 2012-11-15 23:48, Krzysztof Halasa napisał(a):
> W tej chwili praktycznie dowolne algorytmy tego typu operujące na
> powiedzmy 48-bitowych kluczach są łatwe do złamania nawet amatorskimi
> sposobami. 4-cyfrowy PIN to jest tylko (prawie) 14 bitów, w kontekście
> kryptografii to nawet nie jest śmieszne.
Czy PIN się szyfruje sam? Chyba można go uzupełnić numerem karty, nazwiskiem,
PESELem, numerem dowodu, kolorem włosów, długością w zwisie...
--
TrzyLinie
-
10. Data: 2012-11-17 17:09:35
Temat: Re: PIN do karty - przechowywany przez bank?
Od: Krzysztof Halasa <k...@p...waw.pl>
TrzyLinie <t...@o...pl> writes:
> Czy PIN się szyfruje sam? Chyba można go uzupełnić numerem karty, nazwiskiem,
> PESELem, numerem dowodu, kolorem włosów, długością w zwisie...
Nie ma to żadnego znaczenia - to nie są tajne dane.
--
Krzysztof Halasa
Strona główna- Wiadomości
- Firma
- Podatki
- Finanse
- Nieruchomości
- Przetargi
- Praca
- Prawo
- Zakupy
- Porady
- Kantor
Narzędzia
- Wyszukiwarki
- Znajdź pracę
- Znajdź przetarg
- Baza adresowa firm
- Kantor walut online
- Ważne adresy
- Urzędy skarbowe
- Adresy ZUS
- Urzędy Pracy
- Adresy banków
- Firmy zlikwidowane
- Centrum Webmastera
- Centrum Webmastera
- Newsy na Twoją stronę
- Artykuły
- Waluty
- Kantor walut
- Banki
- Pożyczki i chwilówki - ranking
- Kalkulatory finansowe
- Ile trwa przelew
- Baza wiedzy
do góry
Dom Development rusza z inwestycją Mokotów Sportowy
