-
Data: 2002-07-09 07:09:56
Temat: Re: zabezpieczenia w bankowosci elektronicznej
Od: "Pawel Kierski" <p...@m...com.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Użytkownik Piotr W <t...@p...onet.pl> w wiadomości do grup dyskusyjnych
napisał:agc33b$n5$...@n...tpi.pl...
>
> Użytkownik Pawel Kierski <p...@m...com.pl> w wiadomości do grup
[...]
> > Przechwycenie nie stanowi zbytnich problemów w Internecie. No,
> > Znalezienie hasła na podstawie jednorazowej transakcji - pewnie
> > też. Im dłuższe i mniej "słownikowe" hasło, tym trudniej. Trudności
> > rosną wykładniczo, przy pewnym poziomie skomplikowania inne metody
> > (gazrurka, bejsbol itp. jako argument przekonujący właściciela,
> > żeby jednak powiedział 8-), podstawienie komuś trojana logującego
> > naciśnięcia klawisza) są tańsze i szybsze.
> > Paweł Kierski
>
> No dobrze, dobrze . . .
> To jak wygląda tak głośny ostatnio podpis elektroniczny ?
> Jeżeli dobrze trybie to przecież to to samo ?
Doczytałem - wygląda to na asymetryczne klucze. Czyli coś takiego,
na czym będzie funkcjonować podpis elektroniczny.
> Jeszcze jedno :
> mamy tu do czynienia z zahasłowanym kluczem elektronicznym
> trojan przechwyci hasło do klucza a co z samym kluczem ?
Jak jest w praktyce przechowywany? Jeśli gdzieś w pliku, i to
jeszcze o w miarę dobrze ustalonych parametrach, to do "wyłuskania"
żaden problem...
Ideałem jest zewnętrzne urządzenie, które od strony komputera
można jedynie poprosić o podpisanie/zaszyfrowanie ciągu danych.
Dodatkowo takie urządzenie w momencie przyjęcia żądania powinno
prosić o PIN, albo jakoś inaczej weryfikować osobę "podpisującą".
> Znajduje się on tylko na "moim" nośniku , który był wysyłany do mnie
> tylko 1 raz.
> Przecież w trakcie podpisywania elektronicznego nie jest wysyłany cały
> klucz a jedynie jego sciśle określony ciąg przez niego generowany
> na dany moment , połączenie . . . etc.
W przypadku kluczy asymetrycznych - faktycznie na podstawie jednej
transakcji nie da się nic sensownego uzyskać. Poprzednio pisałem
o sytuacji, gdy hasło służy do autoryzacji (nawet, jeśli przesyłane
jest nie hasło, ale np. losowany przez serwer ciąg szyfrowany
przy użyciu hasła). Ale jak widać system InvestBanku ma dużo słabszy
punkt w innym miejscu: klucz prywatny i hasło można stosunkowo łatwo
przechwycić.
Paweł Kierski
p...@m...com.pl
Następne wpisy z tego wątku
- 09.07.02 07:42 Piotr W
- 09.07.02 07:51 Robert Wicik
- 09.07.02 07:59 Wojtek Frabinski
- 09.07.02 08:04 Pawel Kierski
- 09.07.02 08:32 Piotr W
- 09.07.02 08:53 Wojtek Frabinski
- 09.07.02 08:55 blad
- 09.07.02 09:14 blad
- 09.07.02 09:47 Piotr W
- 09.07.02 09:43 Piotr W
- 09.07.02 17:02 Marcin F
- 09.07.02 18:15 Vizvary II Istvan
- 09.07.02 18:23 Vizvary II Istvan
- 09.07.02 18:32 Vizvary II Istvan
- 09.07.02 21:33 Ardi
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem