"Vizvary II Istvan" <v...@p...onet.pl> writes:

> "Maciek Pasternacki" <j...@h...org.pl> wrote in message
> news:87k7o58f27.fsf@lizard.localdomain...
>
>> Nieprawda. To znaczy, bank (o ile nie są skrajnymi kretynami ani
>> niczym w tym duchu) nie posiada odszyfrowanej listy moich haseł
>> jednorazowych, tylko (w prostszym przypadku) jednokierunkowe funkcje
>> skrótu każdego z tych haseł.
>
> Hmmmm. Ja bym ostrozniej operowal takimi pojeciami jak "nieprawda". Wezmy
> dla przykładu BSK Online czy jak sie teraz nazywa. Ja podaje czesc hasla (5
> wytypowanych przez system znakow). Znasz taka funkcje hashujaca, ktora
> potrafi z czesci tekstu robic jednakowy skrot? Czy raczej jest to dowod, ze
> haslo jest w postaci czystej przechowane ?
>

A taki system: generując karteczkę z hasłami, system losuje dajmy na
to 2000 kombinacji znaków z karteczki, zapisuje w pliku kombinację
(numery znaków) i hash kombinacji, po czym zapomina pierwotną kartkę?
Przy każdym logowaniu losuje jedną z ustalonych wcześniej kombinacji,
sprawdza ją i skreśla z listy. Jak zostanie mniej niż połowa, każe
wygenerować nową karteczkę.

>>W ciekawszej implementacji haseł [...]
>
> Niezaleznie od tego w jaki sposob jest, czy jest czy nie jest implementowane
> i co jest implementowane ....
> Poki klient nie autoryzuje kazdej tranzakcji dokumentem niepodrabialnym ale
> tez niezaprzeczalnym a bank sie nie zobowiazuje kazdej transakcji klienta
> takim czyms dokumentowac, tak dlugo w pewnym sensie mamy do czynienia
> bankowoscia "na slowo honoru". Co wcale nie wyklucza pozytecznosci (i
> stosowania z pewnymi ograniczeniami co do dopuszczalnych operacji.) bo w ten
> sposob konstruowane systemy zapewniają dużą mobilność uzytkownika. Wiekszą ,
> niż systemy oparte o podpis cyfrowy. Jakie operacje dopuszczac i z jakimi
> ograniczeniami, to zalezy od kalkulacji ryzyka.

Tu się zgodzę. Niezależnie od implementacji, hasła jednorazowe (czy
dowolne inne hasła tudzież cokolwiek nie opartego na kluczach
asymetrycznych) nie będzie stuprocentowo niezaprzeczalne. Tym
bardziej, że nigdy nie mam pewności, że bank nie skopiował sobie
gdzieś czystej wersji haseł.

--japh

--
__ Maciek Pasternacki <m...@j...fnord.org> [ http://japhy.fnord.org/ ]
`| _ |_\ / { ...więc chwytam kraty rozgrzane do białości, twarz moją widzę,
,|{-}|}| }\/ twarz przekleństwa, a obok sąsiad patrzy z ciekawością,
\/ |____/ jak płonie na nim kaftan bezpieczeństwa... } ( J. Kaczmarski ) -><-