Witam!
Nie jest to pytanie czysto bankowe, może bardziej "informatyczne" - ale jak
najbardziej ma związek z bankami z internetowym dostępem
Liczył to ktoś?
Albo podpowie jak to policzyć?
(Ja do szkoły chodziłem bardzo dawno temu... ;) )

Jeśli mam hasło złożone z N=10 znaków (litery i cyfry - czyli spośród N1=36
znaków), system bankowy przy każdym logowaniu pyta o wybrane losowo L=4
znaki - to:

- ile logowań trzeba podsłuchać trojanem-keylogerem, aby z zadanym
prawdopodobieństwem (np. P, P=0.95) poznać całe hasło?
(albo -łatwiej) - jakie jest prawd. (P1) . poznania K (K=9) znaków hasła po
wykonaniu L2=20 losowych podsłuchów?
- (najtrudniej) - jeśli już znam (z podsłuchu) np. L1=6 znaków hasła, to ile
logowań muszę wykonać, aby z P2=0.99 zalogować się poprawnie?

- albo inny wskaźnik, łatwy do wyliczenia, który da pojęcie o skuteczności
tego rodzaju zabezpieczenia...


--

--

Dziekuje. Pozdrawiam. BZ.

do góry

Jeżeli hasło wprowadzasz od lewej do prawej do koń trojański przechwyci je
za pierwszym razem. Jeśli korzystasz z niepewnego komputera to wprowadzaj
hasło przez jego permutację Wtedy szansa odkrycia hasła jest 1/n! gdzie n
jest liczbą znaków w haśle (długością). Całkowitą losowość wpisywania
można uzyskać tak:
Napisz hasło na kartce papieru a następnie w losowej kolejności przypisz
każdemu znakowi hasła kolejną liczbę np:
o t o m o j e h a s l o
12 11 2 4 9 1 5 7 3 8 6 10

Wpisujesz znak nad cyfrą jeden (j)i wykreślasz go. Następnie określasz
miejsce wpisania znaku nad pozycją dwa (o)licząc ile jest wykreśleń na
prawo od niego. Jest jedno więc znak wpisujesz na drugiej pozycji od
prawej i wykreślasz. Dalej w ten sam sposób znak z pozycji trzy wpisujesz
na pierwszej pozycji od prawej, znak cztery na trzeciej pozycji od prawej
itd aż do ostatniego znaku. Pamiętaj o tym żeby przesuwać pozycję karetki
przy pomocy myszy a nie klawiatury bo inaczej ta metoda nic nie pomoże!

do góry

Użytkownik "mm" <m...@m...com> napisał w wiadomości
news:dqgrk1$or8$1@news.onet.pl...
> Jeżeli hasło wprowadzasz od lewej do prawej do koń trojański przechwyci je
> za pierwszym razem.

Nie, bo system pyta o losowo wybrane 4 znaki z hasła.
Np 3., 4., 6., 7. Przy kolejnym logowaniu o inne losowe cztery.

> Jeśli korzystasz z niepewnego komputera to wprowadzaj hasło przez jego
> permutację Wtedy szansa odkrycia hasła jest 1/n! gdzie n jest liczbą
> znaków w haśle (długością). Całkowitą losowość wpisywania można uzyskać
> tak:
> Napisz hasło na kartce papieru a następnie w losowej kolejności przypisz
> każdemu znakowi hasła kolejną liczbę np:
> o t o m o j e h a s l o
> 12 11 2 4 9 1 5 7 3 8 6 10
>
> Wpisujesz znak nad cyfrą jeden (j)i wykreślasz go. Następnie określasz
> miejsce wpisania znaku nad pozycją dwa (o)licząc ile jest wykreśleń na
> prawo od niego. Jest jedno więc znak wpisujesz na drugiej pozycji od
> prawej i wykreślasz. Dalej w ten sam sposób znak z pozycji trzy wpisujesz
> na pierwszej pozycji od prawej, znak cztery na trzeciej pozycji od prawej
> itd aż do ostatniego znaku. Pamiętaj o tym żeby przesuwać pozycję karetki
> przy pomocy myszy a nie klawiatury bo inaczej ta metoda nic nie pomoże!
>

Tak, tę metodę (dużo lepszą) realizują niektóre serwisy oferując "wirtualną
klawiaturę" na której myszką naciska się literki.

Niestety - poważną przeszkodą w stosowaniu długich haseł jest trudność w
policzeniu w pamięci jaki znak jest na której pozycji. Dopóki starcza
palców, to jakoś idzie... ;)


--

--

Dziekuje. Pozdrawiam. BZ.

do góry

Bo nie zrozumiałem dobrze. Systemowi wystarcza do zalogowania cztery znaki
z hasła w dowolnej kolejności ? No to koń trojański wchodzi na konto za
pierwszym odczytaniem hasła bez żadnego wyliczania.

> Niestety - poważną przeszkodą w stosowaniu długich haseł jest trudność w
> policzeniu w pamięci jaki znak jest na której pozycji. Dopóki starcza
> palców, to jakoś idzie... ;)
>
>

Przecież pisałem że to się zapisuje na kartce przed logowaniem i liczy
pozycję z kartki. Po zalogowaniu kartkę można zniszczyć.

do góry

A jeżeli system sam wybiera pozycje z których należy podać znaki i za
każdym logowaniem są inne pozycje to szansa dla ciągu 10-znakowego jest
mniejsza niż (1/10)*(1/9)*(1/8)*(1/7), bo system naprzód musi zrobić z
kilkkadziesiąt podglądnięć aż dostanie wszystkie litery hasła a potem
odgadnąć ich kolejność z szansą którą podałem.

do góry

Uzytkownik bzdreg napisal dnia 2006-01-16 19:53:
> Witam!
> Nie jest to pytanie czysto bankowe, może bardziej "informatyczne" - ale jak
> najbardziej ma związek z bankami z internetowym dostępem

Faktycznie, pytanie nadaje się do grupy matematycznej raczej. Tutaj mogłoby być
błędnie zrozumiane :)


--
/|_ /||__/ ______________________________
/ |_/ ||_/ Marcin Kamiński m...@g...art.pl
/ || \\

"Technologia śledzenia i rejestrowania tłumów z wszczepionymi implantami już
jest. Na razie stosuje się ją do ewidencjonowania świń idących do masarni."
http://wiadomosci.onet.pl/1242189,242,2,kioskart.htm
l

do góry

Użytkownik "bzdreg"
> Jeśli mam hasło złożone z N=10 znaków (litery i cyfry - czyli
> spośród N1=36 znaków), system bankowy przy każdym logowaniu pyta o
> wybrane losowo L=4 znaki - to:

to ze masz 36 mozliwosci jest tak samo istotne jak gdybys mial 100
mozliwosci
czyli uzywal znaczkow specjalnych (jesli mowimy o podsluchu hasla)

> - ile logowań trzeba podsłuchać trojanem-keylogerem, aby z zadanym
> prawdopodobieństwem (np. P, P=0.95) poznać całe hasło?

trudno powiedziec, poniewaz mozesz wypelniac takie haslo w roznej
kolejnosci
np znak 4, potem 2, 1 i 3 na koncu
i nawet jak system spyta sie nastepnym razem oi te same znaki
to mozesz je wypelnic w innej kolejnosci

> - albo inny wskaźnik, łatwy do wyliczenia, który da pojęcie o
> skuteczności tego rodzaju zabezpieczenia...

Niestety to zabezpieczenie ma inną wadę - takie hasło musi być w
całości znane
systemowi bankowemu czyli przechowywane tak,
zeby mozna je w jawny sposob odczytac, natomiast hasło podawane w
całości
może być zaszyfrowane jednokierunkowo i żaden informatyk bankowy
go nie pozna
*** blad ***

do góry

"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

> Niestety to zabezpieczenie ma inną wadę - takie hasło musi być w
> całości znane
> systemowi bankowemu czyli przechowywane tak,
> zeby mozna je w jawny sposob odczytac, natomiast hasło podawane w
> całości
> może być zaszyfrowane jednokierunkowo i żaden informatyk bankowy
> go nie pozna

Sugeruje wiekszą ostroznosc w takich stwierdzeniach: hasla o ilosci
bitow rzedu 40 (np. praktycznie wszystkie PINy, kilkuznakowe hasla
"duze i male litery + cyfry" itp.) sa lamalne naprawde domowymi
metodami.
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa"
>> Niestety to zabezpieczenie ma inną wadę - takie hasło musi być w
>> całości znane
>> systemowi bankowemu czyli przechowywane tak,
>> zeby mozna je w jawny sposob odczytac, natomiast hasło podawane w
>> całości
>> może być zaszyfrowane jednokierunkowo i żaden informatyk bankowy
>> go nie pozna
>
> Sugeruje wiekszą ostroznosc w takich stwierdzeniach: hasla o ilosci
> bitow rzedu 40 (np. praktycznie wszystkie PINy, kilkuznakowe hasla
> "duze i male litery + cyfry" itp.) sa lamalne naprawde domowymi
> metodami.

chodzi o porownanie trzymania w banku hasla zaszyfrowanego
jednokierunkowo lub w sposob odwracalny a nie o dlugosc hasla

takie banaly o 5 zniakowych haslach mozesz do kazdego posta
o haslach dokladac - nic nie wnoszą
*** blad ***

do góry

"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

> chodzi o porownanie trzymania w banku hasla zaszyfrowanego
> jednokierunkowo lub w sposob odwracalny a nie o dlugosc hasla

A jak stwierdzasz ze haslo jest zaszyfrowane w sposob nieodwracalny?
Dla uproszczenia przyjmijmy ze sam jestes "informatykiem bankowym",
zeby nie bylo zbyt wielu niewiadomych.

> takie banaly o 5 zniakowych haslach mozesz do kazdego posta
> o haslach dokladac - nic nie wnoszą

Jasne, twierdzenia typu "hasło podawane w całości może być zaszyfrowane
jednokierunkowo i żaden informatyk bankowy go nie pozna" wnosza.

Wiesz co wnosza? To, ze ktos moze w nie uwierzyc, i potem moze sie
mocno zawiesc.


Mysle ze w uproszczeniu mozna przyjac ze wszystkie hasla przechowywane
w banku sa przez ten bank odwracalne - i raczej nie bedzie to zbyt
duze uproszczenie.
--
Krzysztof Halasa

do góry