Myślałem, myślałem i wymyśliłem.
Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
łatwością i taniością tworzenia papierowych haśle jednorazowych.

I wymyśliłem tabele z hasłami jednorazowymi.

Zasada wygląda następująco:
Klient zamawia sobie taką listę i ustala sobie pięć cyfrowy PIN.
Karta składa się z 50 tabel każda po dwie kolumny i dziesięć wierszy.
W każdej z tych tabel jest w dowolnym miejscu wpisane odpowiednie hasło
jednorazowe zgodne z numerem tabeli ( hasło numer 1 w tabeli nr 1)
W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który wcześniej
klient sobie wymyślił.
Dodatkowo losowo generowane są tzw.fałszywe PIN-y wpisywane w pozostałe
części tabeli, ale w każdym wierszu może być tylko jeden taki fałszywy PIN.
Oczywiście w każdej tabeli są one te same, ale w innej kolejności.
Pozostałe wolne komórki tabel są wypełniane dowolnymi fałszywymi hasłami
jednorazowymi. Ważne jest aby te losowe hasła przypadkiem nie były takie
same jak wymyślony przez na PIN.

Osoba która chce skorzystać z takiej tabeli musi znać PIN. Jeśli system pyta
ją np.,. o hasło numer 04 to szuka tabeli nr 04 znajduje tam swój PIN i
przepisuje hasło z kolumny obok, z tego samego wiersza. Osoba która nie zna
PIN-u mimo, że zobaczy listę haseł nie będzie wstanie znaleźć odpowiedniego
hasła bo będzie miała aż 20 możliwych kombinacji wyboru.

Poniżej zamieściłem przykładowe tabele ja by to miało wyglądać PIN to 54398

01 02 03
98347 89374 66880 79890 54398 73897
83748 89237 57899 00334 38274 53495
54398 47839 04804 98347 82947 57899
79989 57899 12489 08430 98347 38490
79903 12489 90239 54398 47239 90539
98832 66880 89237 87594 12489 38299
84573 08458 99473 83290 58430 66880
57439 90539 84930 08458 45934 90843
53495 89530 90539 79219 87543 32459
83479 99473 53495 77392 84589 83975

hasło nr 01: 4789 nr 02: 90239 nr 03: 73897

Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
rzeczywistością ;-)

do góry

> Myślałem, myślałem i wymyśliłem.
> Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
> łatwością i taniością tworzenia papierowych haśle jednorazowych.
>
> I wymyśliłem tabele z hasłami jednorazowymi.
>
> Zasada wygląda następująco:
> Klient zamawia sobie taką listę i ustala sobie pięć cyfrowy PIN.
> Karta składa się z 50 tabel każda po dwie kolumny i dziesięć wierszy.
> W każdej z tych tabel jest w dowolnym miejscu wpisane odpowiednie hasło
> jednorazowe zgodne z numerem tabeli ( hasło numer 1 w tabeli nr 1)
> W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który wcześniej
> klient sobie wymyślił.
> Dodatkowo losowo generowane są tzw.fałszywe PIN-y wpisywane w pozostałe
> części tabeli, ale w każdym wierszu może być tylko jeden taki fałszywy PIN.
> Oczywiście w każdej tabeli są one te same, ale w innej kolejności.
> Pozostałe wolne komórki tabel są wypełniane dowolnymi fałszywymi hasłami
> jednorazowymi. Ważne jest aby te losowe hasła przypadkiem nie były takie
> same jak wymyślony przez na PIN.
>
> Osoba która chce skorzystać z takiej tabeli musi znać PIN. Jeśli system pyta
> ją np.,. o hasło numer 04 to szuka tabeli nr 04 znajduje tam swój PIN i
> przepisuje hasło z kolumny obok, z tego samego wiersza. Osoba która nie zna
> PIN-u mimo, że zobaczy listę haseł nie będzie wstanie znaleźć odpowiedniego
> hasła bo będzie miała aż 20 możliwych kombinacji wyboru.
>
> Poniżej zamieściłem przykładowe tabele ja by to miało wyglądać PIN to 54398
>
> 01 02 03
> 98347 89374 66880 79890 54398 73897
> 83748 89237 57899 00334 38274 53495
> 54398 47839 04804 98347 82947 57899
> 79989 57899 12489 08430 98347 38490
> 79903 12489 90239 54398 47239 90539
> 98832 66880 89237 87594 12489 38299
> 84573 08458 99473 83290 58430 66880
> 57439 90539 84930 08458 45934 90843
> 53495 89530 90539 79219 87543 32459
> 83479 99473 53495 77392 84589 83975
>
> hasło nr 01: 4789 nr 02: 90239 nr 03: 73897
>
> Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
> rzeczywistością ;-)
>

niepotrzebna komplikacja zycia
haslo nr 01 to 47839
a nie 4789
juz jako autor popelniasz bledy
a co dopiero "zwykly" uzytkownik?

kursor

do góry

> Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
> rzeczywistością ;-)

Nie chce mi sie rozpisywać ale do kitu rozwiązanie.
Przecież nie mając absolutnie zadnych informacji juz masz
5% szansy ze wylosujesz poprawne hasło.
Do tego jak intruz (sniffer) przechwycił twoją sesję z bankiem
to wie jakie masz hasło(z logowania) i pin, konto jest jego,
kasa bye bye...
Nie po to wymyslono tokeny i hasla jednorazowe do transakcji
w internecie aby zadowolic sie autoryzacją stałym pinem który
tak naprawde pelniby funkcje drugiego hasła.

pozdr axell

do góry

> > Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> > Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia
z
> > rzeczywistością ;-)
>
> Nie chce mi sie rozpisywać ale do kitu rozwiązanie.

Ups pozno juz i troche zle Cie zrozumiałem ale i tak system
żeby na zdrapkach było 20 wiecej liczb chyba i tak nie miałby
szans przejsc. Dodatkowo ten prawidłowy pin powtarzałby sie dla
kazdego hasła jednorazowego wiec jaki problem by było go znalesc,
więc to żadne zabezpieczenie.

axell

do góry

> Dodatkowo ten prawidłowy pin powtarzałby sie dla
> kazdego hasła jednorazowego wiec jaki problem by było go znalesc,
> więc to żadne zabezpieczenie.

Niekoniecznie, bo powtarzyłyby się też fałszywe PINy.
Ale system mi się nie bardzo podoba - jest sbyt skomplikowany i niewygodny
(rozumiem, że zamiast zdrapki nosiłbym przy sobie książeczkę).

IMHO najbezpieczniejszy jest jednak token z PINem, po nim token bez PINu, a
zaraz po nim (już w kategorii "rozwiązań tanich") karta ze zdrapką - żeby
nie było widać wszystkich kodów naraz.

MaciejK

do góry

O wiele lepszym rozwiązaniem jest przepisanie haseł z małym - prostym szumem
(np. +3 do każdego hasła)
Wg mnie to już wystarczy, aby zabezpieczyć LHJ przed niepożądanym
użytkownikiem

Użytkownik "Szymekg" <s...@g...pl> napisał w wiadomości
news:c8tmvh$n5t$1@inews.gazeta.pl...
> Myślałem, myślałem i wymyśliłem.
> Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł)
z
> łatwością i taniością tworzenia papierowych haśle jednorazowych.
>
> I wymyśliłem tabele z hasłami jednorazowymi.
>
> Zasada wygląda następująco:
> Klient zamawia sobie taką listę i ustala sobie pięć cyfrowy PIN.
> Karta składa się z 50 tabel każda po dwie kolumny i dziesięć wierszy.
> W każdej z tych tabel jest w dowolnym miejscu wpisane odpowiednie hasło
> jednorazowe zgodne z numerem tabeli ( hasło numer 1 w tabeli nr 1)
> W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który wcześniej
> klient sobie wymyślił.
> Dodatkowo losowo generowane są tzw.fałszywe PIN-y wpisywane w pozostałe
> części tabeli, ale w każdym wierszu może być tylko jeden taki fałszywy
PIN.
> Oczywiście w każdej tabeli są one te same, ale w innej kolejności.
> Pozostałe wolne komórki tabel są wypełniane dowolnymi fałszywymi hasłami
> jednorazowymi. Ważne jest aby te losowe hasła przypadkiem nie były takie
> same jak wymyślony przez na PIN.
>
> Osoba która chce skorzystać z takiej tabeli musi znać PIN. Jeśli system
pyta
> ją np.,. o hasło numer 04 to szuka tabeli nr 04 znajduje tam swój PIN i
> przepisuje hasło z kolumny obok, z tego samego wiersza. Osoba która nie
zna
> PIN-u mimo, że zobaczy listę haseł nie będzie wstanie znaleźć
odpowiedniego
> hasła bo będzie miała aż 20 możliwych kombinacji wyboru.
>
> Poniżej zamieściłem przykładowe tabele ja by to miało wyglądać PIN to
54398
>
> 01 02 03
> 98347 89374 66880 79890 54398 73897
> 83748 89237 57899 00334 38274 53495
> 54398 47839 04804 98347 82947 57899
> 79989 57899 12489 08430 98347 38490
> 79903 12489 90239 54398 47239 90539
> 98832 66880 89237 87594 12489 38299
> 84573 08458 99473 83290 58430 66880
> 57439 90539 84930 08458 45934 90843
> 53495 89530 90539 79219 87543 32459
> 83479 99473 53495 77392 84589 83975
>
> hasło nr 01: 4789 nr 02: 90239 nr 03: 73897
>
> Napiszcie co o tym myślicie i czy takie rozwiązanie może się przyjąć.
> Oczywiście wszystkie te hasła są przypadkowe i nie mają żadnego pokrycia z
> rzeczywistością ;-)
>
>

do góry

Szymekg wrote:
> Myślałem, myślałem i wymyśliłem.
> Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do
> haseł) z łatwością i taniością tworzenia papierowych haśle
> jednorazowych.
(...)
> W tym samym wierszu, ale w kolumnie obok jest wpisany PIN który
> wcześniej klient sobie wymyślił.

i to haslo powtarza sie 50 razy :-)))
mam lepszy pomysl - wywal te kolumny z PINem prawdziwym lub fałszywym
system może chcieć hasła nr N, odczytujemy że na zdrapce jest 98347,
dodajemy do tego swoj PIN 54398 ale każdą parę cyfr osobno (mod 10)
i dostajemy 42635 - takiej odpowiedzi spodziewa sie system.
Ponieważ mozesz zdalnie zmienic swoj PIN w systemie to juz nastepnym razem
meldujac sie do systemu bedziesz mogl dodac inny PIN i podsluchanie starego nie
wiele pomoże.
*** blad ***
PS - podobne metody, ale z podawaniem PINu obok odczytanego hasla ze zdrapki sa
prostsze i juz stosowane

do góry

Osoba zwana "Szymekg" <s...@g...pl> napisała:

>Myślałem, myślałem i wymyśliłem.
>Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
>łatwością i taniością tworzenia papierowych haśle jednorazowych.
>
>I wymyśliłem tabele z hasłami jednorazowymi.
[ciach]

To nie prościej wygenerować np. hasła 10 cyfrowe i klient ustawia sobie w
systemie które pięć cyfr będzie jego hasłem (np. 2,3,6,8 i 9 cyfra)


--
Górnik | "Więc kimże w końcu jesteś ?
| - Jam częścią tej siły
g...@g...w.pl | która wiecznie zła pragnąc
www.gumasy.w.pl | wiecznie czyni dobro." (J.W.Goethe "Faust")

do góry

Per aspera ad gornik :
>>Myślałem, myślałem i wymyśliłem.
>>Jak połączyć zalety tokena (brak dostępu przez niepowołane osoby do haseł) z
>>łatwością i taniością tworzenia papierowych haśle jednorazowych.
>>I wymyśliłem tabele z hasłami jednorazowymi.
> [ciach]
> To nie prościej wygenerować np. hasła 10 cyfrowe i klient ustawia sobie w
> systemie które pięć cyfr będzie jego hasłem (np. 2,3,6,8 i 9 cyfra)
>
A nie prościej zastosować mechanizm OTP/SKey ?

Sławek
--
________
_/ __/ __/ The truth is out there.
\__ \__ \___________________________________________________
____________
/___/___/ Sławomir Szczyrba steev(AT)hot(dot)pl

do góry

Ok jesli nie tutaj nie znalazłem ani jednej osoby której mój pomysł by się
podobał, to chyba bankowi i jego kientom tez się nie będzie pdobal. Chciałem
zastapić token ktorego raczej zawsze przy sobie mieć nie można jedną kartką.
Token jak się zgubi to czasem nawet 200zł w plecy a dobry haker pewnie i tak
go rozpracuje, ale jak ktoś ma ochote się pobawić to może we własnym
zakresie sobie taka tabelke zrobić ze swoimi hasłami, lub w inny sposób je
zaszyfrować.

do góry