Re: zabezpieczenia w bankowosci elektronicznej - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › zabezpieczenia w bankowosci elektronicznej › Re: zabezpieczenia w bankowosci elektronicznej

Path: news-archive.icm.edu.pl!pingwin.icm.edu.pl!mat.uni.torun.pl!news.man.torun.pl!n
ews.man.poznan.pl!news.internetia.pl!mimuw.edu.pl!news.mimuw.edu.pl!uw.edu.pl!p
m.waw.pl!defiant.pm.waw.pl!not-for-mail
From: Krzysztof Halasa <k...@d...pm.waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: zabezpieczenia w bankowosci elektronicznej
Date: 23 Jul 2002 18:09:16 +0200
Organization: The Palace of Youth in Warsaw
Lines: 54
Message-ID: <m...@d...pm.waw.pl>
References: <agb629$c96$1@news.tpi.pl> <agcmgm$2ls$1@news2.tpi.pl>
<8...@l...localdomain> <m...@d...pm.waw.pl>
<8...@l...localdomain> <m...@d...pm.waw.pl>
<8...@l...localdomain>
NNTP-Posting-Host: defiant.pm.waw.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: defiant.pm.waw.pl 1027440556 3742 195.116.170.34 (23 Jul 2002 16:09:16 GMT)
X-Complaints-To: n...@d...pm.waw.pl
NNTP-Posting-Date: Tue, 23 Jul 2002 16:09:16 +0000 (UTC)
Xref: news-archive.icm.edu.pl pl.biznes.banki:195395
[ ukryj nagłówki ]

Maciek Pasternacki <j...@h...org.pl> writes:

> >> Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
> >> podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
> >> odrobina zdrowego rozsądku. Chyba, że przeceniam nasze banki...
> >
> > Nie, to nawet nie o to chodzi. Tego nie da sie tak zrobic "dla mas".
>
> Dlaczego?

Poniewaz masy wola 5-cyfrowe hasla jednorazowe itp. Poniewaz masy
nie sa w stanie wklepac np. do telefonu 128-bitowego hasha MD5.
Poniewaz tak naprawde w tej chwili to nie wystarczy, by zabezpieczyc
sie przed dzialaniem banku na szkode klienta. Poniewaz to i tak byloby
rozwiazanie przejsciowe - wszyscy czekaja na podpis elektroniczny,
i sie z pewnoscia doczekaja.

> Mówiąc o łamaniu haseł chyba nie mamy na myśli włamywacza znajdującego
> kartkę z hasłami, bo to jest oczywiste, że wtedy długość hasła nie ma
> znaczenia. Dlatego do jednorazów powinien być jakiś stały pin czy
> prefix password jak w OTPW. Dla programu łamiącego... hm... weźmy
> pięciocyfrową liczbę. Mamy ln 10/ln 2 = 3,322 bita na cyfrę, razy
> pięć to będzie 16,6 bitów na hasło. Przy siedmiu znakach
> litery/cyfry, mamy ln (26*2+10 = 62)/ln 2=5,954 bitów na znak, razy
> siedem to jest 41,68 bitów na hasło. Rzeczywiście, wciąż mało jak na
> dzisiejszą moc obliczeniową. Chociaż, jak na jednorazy w systemie
> OTPW, gdzie szansę trafienia możesz mieć jak jeden do kilkuset tysięcy
> (wspomniany wyżej system z wybieraniem iluś cyfr z długiej tabeli może
> być jakimś słabszym wariantem OTPW, co zresztą wcześniej opisałem).

Ale co przez to zyskujesz? Nic. Zabezpieczyc sie przed bankiem nie jestes
w stanie, bo to bank generuje Ci hasla i przesyla poczta. Nic nie stoi
na przeszkodzie, by zaradny specjalista robil druga kopie "na wszelki
wypadek".

> > Tak przypuszczam. Taki hash MD5 zapisany w postaci dziesietnej mialby
> > tylko ok. 128/10*3 = czterdziesci cyfr. Przy SHA1 tylko drobne 50 cyferek.
>
> A kto mi (a właściwie bankowi) zabroni wygenerować 64-, 48-, a nawet
> 32-bitowy skrót SHA1 albo MD5? Że zamiast 128 bitów entropii będą 64?
> Do jednorazów wystarczy. Powtarzam, nie widziałem rozwiązań haseł
> jednorazowych stosowanych przez banki, byłem przekonany, że nie
> stosują rozwiązań, które bym obśmiał, jakby ktoś mi sugerował
> zabezpieczenie tym konta pocztowego, a co dopiero dorobku całego
> życia... ;)

Wbrew pozorom, roznica pomiedzy stosowanymi przez banki np. 5-cyfrowymi
haslami jednorazowymi a np. 32 czy 64-bitowymi skrotami nie jest wcale
taka duza - ani jedno, ani drugie nie zabezpiecza uzytkownika przed
dzialaniem banku na jego szkode, oraz jedno i drugie dosc dobrze
zabezpiecza uzytkownika przed dzialaniem osob trzecich.
--
Krzysztof Halasa
Network Administrator