Krzysztof Halasa <k@defiant.pm.waw.plwrites:
Maciek Pasternacki <ja@hell.org.plwrites:

| Znajomość otwartych systemów haseł jednorazowych (OPIE, S/KEY, OTPW),
| podstawowa znajomość zagadnień bezpieczeństwa informatycznego i
| odrobina zdrowego rozsądku.  Chyba, że przeceniam nasze banki...

Nie, to nawet nie o to chodzi. Tego nie da sie tak zrobic "dla mas".


Dlaczego?

| 2. Taki mechanizm, by sensownie dzialac, potrzebuje argumentu o znacznej
|    dlugosci. Przy kilku cyfrach takiego hasla jednorazowego, nie ma
|    najmniejszego znaczenia czy bank przechowuje skrot, czy cale haslo
|    - i tak zlamanie tego trwa mikrosekunde.

| ...tak, chyba przeceniam.  Byłem święcie przekonany, że jak hasło jest
| jednorazowe i czytane z karteczki, to można wymagać od ludzi
| przepisania co najmniej siedmiu znaków, liter (małych i dużych) i
| cyfr.  Co byłoby i tak niezbyt złożonym hasłem...

Wlasnie. Dla osoby, ktora wlamala sie do domu z wlaczonym komputerem
i strona z np. mBanku roznica miedzy takimi haslami i 5-znakowymi
bedzie niezauwazalna (bo albo wlamywacz znajdzie kartke z haslami,
albo jej nie znajdzie i najwyzej zasili zaklad energetyczny).
Dla komputera, ktory mialby to polamac, roznica bedzie oczywiscie
wielokrotna - ale i tak zajmie to tylko chwile.


Mówiąc o łamaniu haseł chyba nie mamy na myśli włamywacza znajdującego
kartkę z hasłami, bo to jest oczywiste, że wtedy długość hasła nie ma
znaczenia.  Dlatego do jednorazów powinien być jakiś stały pin czy
prefix password jak w OTPW.  Dla programu łamiącego... hm... weźmy
pięciocyfrową liczbę.  Mamy ln 10/ln 2 = 3,322 bita na cyfrę, razy
pięć to będzie 16,6 bitów na hasło.  Przy siedmiu znakach
litery/cyfry, mamy ln (26*2+10 = 62)/ln 2=5,954 bitów na znak, razy
siedem to jest 41,68 bitów na hasło.  Rzeczywiście, wciąż mało jak na
dzisiejszą moc obliczeniową.  Chociaż, jak na jednorazy w systemie
OTPW, gdzie szansę trafienia możesz mieć jak jeden do kilkuset tysięcy
(wspomniany wyżej system z wybieraniem iluś cyfr z długiej tabeli może
być jakimś słabszym wariantem OTPW, co zresztą wcześniej opisałem).

| Chyba, że wymyślili coś sprytnego.  W co nie wierzę.  (hm... token
| oparty w jakiś sposób na algorytmie w duchu S/KEY?)

Teoretycznie moglaby byc taka mozliwosc, ale:


To nie była jakakolwiek sugestia z mojej strony, raczej taka dość
losowa myśl.

| Ja po prostu chyba jakiś naiwny jestem i zakładam, że klucze mają
| jakiś ludzki rozmiar.

Tzn. ile? Ludzie maja sklonnosc do uzywania slabych kluczy (entropia
w wymyslanych przez nich haslach to cos w stylu np. 2 bitow / znak).
Hasla generowane losowo przez komputer sa oczywiscie lepsze, ale
trudniejsze do zapamietania/zapisania, i naprawde nie moga byc
specjalnie dlugie, jesli maja dzialac (postaw sie w sytuacji helpdesku).


Jak są jednorazowe (ze zdrapką), to nawet nie trzeba
,,wygwiazdkowywać'' pola do wpisywania hasła.  W hasłach
jednorazowych, paradoksalnie można osiągnąć większą entropię
pojedynczego hasła niż w hasłach ,,zwykłych''.

| Możesz rozwinąć?  Chodzi Ci o to, że to, co mi wypluwa np. md5sum
| ,,wygląda inaczej''?  Przecież hasz czegokolwiek jest liczbą, a to, co
| wypluwa md5sum albo jest zapisane w /etc/shadow jest jakąś
| reprezentacją alfanumeryczną tej liczby.  Co komu szkodzi hashować tym
| samym algorytmem, używając innej reprezentacji liczb?  Chyba, że źle
| zrozumiałem...

Tak przypuszczam. Taki hash MD5 zapisany w postaci dziesietnej mialby
tylko ok. 128/10*3 = czterdziesci cyfr. Przy SHA1 tylko drobne 50 cyferek.


A kto mi (a właściwie bankowi) zabroni wygenerować 64-, 48-, a nawet
32-bitowy skrót SHA1 albo MD5?  Że zamiast 128 bitów entropii będą 64?
Do jednorazów wystarczy.  Powtarzam, nie widziałem rozwiązań haseł
jednorazowych stosowanych przez banki, byłem przekonany, że nie
stosują rozwiązań, które bym obśmiał, jakby ktoś mi sugerował
zabezpieczenie tym konta pocztowego, a co dopiero dorobku całego
życia... ;)

Pozdrawiam,
                --Washington Irving

Mon, 7 Jan 2002 22:32:14 +0100  "Psofometr" <psofom@pnet.pl
nadmienił(a):

| Yhy. Pokaż wszystkim, że masz walkmana, komórkę, złote kolczyki i duży
| dekolt...
A masz? Ten duży dekolt zwłaszcza... 8-)


Mam komórkę i kolczyki, walkmana nie noszę. A dekolt... ee... zależnie
od pogody ;) Ale w miarę możliwości nie w komunikacji publicznej. Od
krótkich spódniczek też się odzwyczajam...

A w Białymstoku dalej jest remont na dworcu? Dawno jakoś nie
byłem...


Jest, pewnie że jest, co ma nie być :) To już piąty czy szósty rok...
Ale zaobserwowałam postępy: wstawili kilka nowych okien i kawałek
fasady odmalowali. Jeszcze z pięć lat i skończą, więc jak chcesz
zobaczyć rusztowania, to lepiej się pospiesz ;)

Bilet, bilety, bilety... Do Olecka... Druga klasa,
pospieszny... Komu, komu bo ide do domu... Bilety, bilety,
bilety...


Ja Cię uduszę... :

| No, tydzień wcześniej też możesz bilet kupić. 8-)
| Pół godziny przed odjazdem też ;)
Podczas podrózy też. Trochę drożej będzie, ale stać pod kasą
nie musisz.


Ale muszę ganiać za konduktorem. Co ma swoje plusy... ;) siada taki
pan na ławce obok, można sobie z nim przyjacielsko porozmawiać,
rzęsami potrzepotać... zawsze to jakieś urozmaicenie ;) Jak miło, że
jednak więcej jest panów niż pań konduktorów ;))

| Niektórzy potrafią czytać mapy, nawet poprawnie :)
Niektórzy potrafią czytać również rozkład jazdy.


Rozkładu jazdy nie da się kupić w każdym kiosku. Ale konduktorzy chyba
noszą swoje pod pachą i można u nich informację uzyskać?
Hm, to ja na wszelki wypadek potrenuję trzepotanie rzęsami, nigdy nie
wiadomo, kiedy się przyda... ;)

Ciach o koledze. Kupiłam sobie mapę Zakopanego i okolic i tam
faktycznie północ jest na dole...

Hm... A wyobraźmy sobie sytuację, w której samochód (jak ja
nienawidzę słowa "autko"...) z niewyjaśnionych bliżej przyczyn
odmawia dalszej jazdy w szczerym polu, wzlędnie wśród
wiejskich krajobrazów... dobra, dalej mi się nie chce
przepisywać. Pociągi się czasem psują. Samochody też.


Oczywiście. Ale łatwiej wziąć na hol samochód niż pociąg ;))

| Nie. Ja chcę mieszkać w Wyszkowie! 8-)
| Jaki uparty. No to mieszkaj :) Do Małkini mógłbyś Bugiem dopłynąć,
| tyle że pod prąd... ;)
To nie lepiej pociagiem, via Tłuszcz?


Może lepiej, ale to strasznie dookoła.

| Trzeba kolejarzom i decydentom wysłać Transport Tycoon. Jak zobaczą,
| ile można zarobić na pociągach, to może ich to zainspiruje do
| działania :)
Lepiej Railroad Tycoon II. Bardziej zaawansowany ekonomicznie.
8-)


Mam gdzieś, ale mi nie chciał działać. Jeszcze spróbuję ;)

Pozdrawiam, Carrie

To wytłumacz mi może dlaczego polacy są tak głupi, że biorą pożyczki w systemie
argentyńskim i to w takich ilościach że trzeba było je zdelegalizować, lecą na
różne "wygrane po wpłacie 1000zł", cała branża "wypełniaczy pitów" tak dobrze
się rozwija, itp. O takim czymś jak czytanie umów nie wspomnę. Co chwilę ktoś mi
się żali i płacze co on to nie podpisał i jak go zrobili w huhu :P

Co widzisz złego w nauczaniu czegoś co się przydaje. Z resztą można nawet tego
nie uczyć i zlikwidować 70% niepotrzebnych zajęć tak żeby młodzież mogła
rozwijać swoje zainteresowania a nie gnić bez sensu 8h dziennie w szkolnych
murach przepisując książki. Może wtedy to co zostanie można będzie przeprowadzić
choć z odrobiną profesjonalizmu.

> to moze przyszywania guzikow trzeba sie
> uczyc przez dwa lata w armi?
Wojsko to nie zakład dla szwaczek i krawcowych. Gdyby armia była takim zakładem
to wypadałoby nauczyć ludzi fachowego przyszywania guzików. Równie dobrze możesz
stwierdzić, że nie powinno się uczyć strzelać - bo pokażemy na schemacie a
"proces dostosowania na polu bitwy" zrobi resztę, a broń przecież i tak się
zmienia więc po co to komu.

> System byl reformowany przez ostatnie 12 lat,
> ubiegly rocznik byl pierwszym , ktory zaczynal
> w zreformowanej szkole.
I dalej jest najbardziej zacofanym i głupim systemem w UE. Z największą ilością
niepotrzebnej wiedzy teoretycznej. Dzięki naszemu ministrowi edukacji jesteśmy
chyba jedynym krajem na świecie, który nie ma określonych kryteriów zdania
egzaminu państwowego i promocji do następnej klasy. Instytut wychowania, religia
katolicka na maturze, godzina bezsensownej historii w kontekście polskim i
indoktrynacja. Dla mnie to żadne osiągnięcie.

> A to wymaga stalych inwestycji w kadre,dostosowywania
> programow nauczania na studiach do nowych potrzeb i podnoszenia wymagan wobec
> przyszlych kadr szkolnictwa. A wiekszosc proponuje droge w przeciwnym
> kierunku.
Inwestycji w kadrę? Nie bądź śmieszny. Jeśli odpowiednio zapłacić to ludzie z
odpowiednim wykształceniem i kwalifikacjami sami się znajdą. Myślisz, że jeśli
podniesiesz komuś kwalifikację a potem zaproponujesz 1000 / miesiąc to on zostanie?

Mówię o programach na niższych szczeblach, z resztą ten na studiach też jest
idiotyczny. Specjalizacja na moim kierunku dopiero od studiów magisterskich -
przecież to śmieszne, żeby po parunastu latach dalej uczyć ludzi "wszystkiego"
jeszcze kilka a potem w 2 lata się "specjalizować". Wiesz jak studiuje znajomy w
US? Przez kilka lat wałkuje jedno i to samo zagadnienie: tworzenie i rozwój
aplikacji użytkowych. U nas poświęciliśmy na to 6h i tak sobie radośnie "lecimy"
ze wszystkim. Grafika komputerowa, systemy ekspertowe, kompilatory, systemy
zarządzania i składowania danych, bazy, sztuczna inteligencja, systemy sieciowe,
usługi rozproszone... Tylko jakbyś chciał, żeby ktoś na roku coś konkretnego
zrobił - to 90% osób nie ma dzięki takiemu systemowi kształcenia pojęcia o
niczym. Chociaż ze wszystkiego pozdawała egzaminy.

Ta droga w przeciwnym kierunku jak nazywasz specjalizację to ogólnoświatowy
trend. Jeśli jeszcze nie zauważyłeś to już dawno skończyła się era "panów
wieśków złotych rączek" którzy konia podkują, powóz naprawią, połatają buty i
uszyją czapkę. Jak chcesz się zatrudnić w porządnej firmie z jako-takimi
zarobkami - to jeśli będziesz umiał "wszystko po trochu" lepiej sobie nawet
głowy nie zawracaj.

> Tu nie ma powodu wymagac od
> politykow tylko zaczac od siebie a wtedy i politycy
> i ich programy beda lepsze.
Problem w tym, że niektórzy członkowie społeczeństwa zagoniliby ludzi do szkół i
uczyli by ich o pantofelkach i plechach do usranej śmierci - gdyby tylko mogli.
Bo tak ich uczono i myślą że to wiedza niezbędna do życia. "A uczeń ma kuć
bzdurne regułki i definicje bo to głupi smarkacz i to jego zasrany obowiązek,
poza tym co by robił z wolnym czasem? Przecież każdy dzieciak to pijak i ćpun,
jakby nie miał co robić pewnie wylądowałby w monarze"

emes-nju napisał:
> Twoja odpowiedz potwierdza moja opinie o ludziach z firm windykacyjnych.

domyslam sie ze ty jestes dluznikiem bo zachowujesz sie tak jak zachowuja sie
dluznicy gdy przychodzi do nich komornik tzn wyzywasz, obrazasz, stosujesz
chamskie odzywki choc nie powieddzialem o tobie zlego slowa. nie wiem skad taka
nienawisc w tobie



> Moje doswiadczenia z tymi firmami odbieram kilka telefonow dziennie z propozyc
> jami ich uslug) sa zalosne. Tak na prawde poszkodowany jest ZAWSZE wierzyciel
> nie masz szans na zmienienie mojej opinii Firmy windykacyjne oplate sciagaja

zgadzam sie ze zawsze pokrzywdzony jest wierzyciel i my dzialamy w ich imieniu
chcac ratowac ich mienie przed ludzmi ktrozy nie chca go zwrocic. uwazam swoja
prace za bardzo chwalebna. bo czy odbieranie tym co ukradli i oddawanie
prawowoitym wlascicielom nie jest chwalebne? Co do zmiany zdania prawde mowiac
nie interesuje mnie twoj poglad. poniewaz zapewne jestes zadluzony jak
wnioskuje z twych wypowiedzi (czemu oczywiscie zaprzeczysz) nie mozesz byc
obiektywny w tej sprawie. inaczej bys to ocenial jako wierzycel


> z gory z wierzyciela (takie prawo wiec wisi im to czy wierzyciel dostanie kase
> czy nie Jak wierzyciel (cudem) dostanie kase to jeszcze inkasuja SLONA prowiz
> je (od wierzyciela - takie prawo) Skutkiem tego male wierzytelnosci sa niescia
> galne bo oplata przewyzsza wierzytelnosc, a duze tez robia sie niesciagane bo
> irmy windykacyjne "eksportuja" sprawy do sadow na zadupiu, szybko wygrywaja sp
> awe a potem komornik blokuje konto dluznika najczesciej zalatwiajac go w ten s
> posob na amen. Jezeli dluznik byl na tyle glupi zeby cos miec to jakas czesc k
> asy sie odzyska (mizerna) Jezeli jest to biznesmen cala geba, to mieszka u zon
> y i jezdzi samochodem w leasingu. I mozna mu skoczyc.

nie masz pelnej wiedzy o tym rynku. po pierwsze nie da sie "eksporotwac" spraw
jak ty mowisz do dowolnego sady gdyz procedura cywilna okresla jaki sad jest
wlasciwy i pole manewru jest tu male czasem zadne. Po drugie prowizje pobieraja
firmy windykacyjne nie zwiazane z czlonkami korporacji prawniczych. Tam gdzie
jest radca lub adwokat takie prowizje sa zbaronione przez korporacje (choc jest
to czasem lamane). Po trzecie na biznesmena ktory przepisal na zone tez sa
sposoby (np. actio pauliana) ale to nie czas i miejsce teraz.



> Nie spotkalem jeszcze firmy ktora wyrwalaby sie poza powyzsze schematy! Jestes
> cie skuteczni wobec gowniarzy ktorzy trzesa portkami na widok pisma z firmy wi
> ndykacyjnej - reszta ma was w d... tak jak muchy brzeczace kolo uszu :-P

twoja opinia masz do niej prawo



> A teraz o wykrecaniu sprezynki To ze tego nie rozumiesz swiadczy o tobie... Mi
> siaczku puszysty! To ze cieszysz sie ze coraz wiecej ludzi popada w tarapaty j
> est wylacznie sprawa twojego sumienia ale to, ze nie widzisz w tym zwijania si
> e gospodarki to juz glupota Jak tak dalej pojdzie to po zlicytowaniu (komu, ja
> k na rynku jest coraz mniej kasy? wszystkiego staniesz sie ZBEDNY. Wez pod uwa
> ge, ze NIGDY nie zapewniasz wierzycielowi odzyskania 100% jego pieniedzy Prowi
> zje firm windykacyjnych zabieraja wielu firmom wielokrotnosc ich zysku Im wiec
> bedziesz mial wiecej pracy, tym szybciej znajdziesz sie na zielonej trawce Bo
> padna i dluznicy i wierzyciele!

sluchaj po pierwsze pienaidze nie znikaja tylko przechodza z rak do rak
okresowo jest ich mniej na rynku bo sa gdzies akumulowane lecz to nie jesttak
jak twierdzisz ze wszystkie znikna. Po drugie na jakiej podstawie twierdzisz ze
nie oddaje sie wierzycielowi 100 % dlugu? Jesli dluznik jets winien np. 7000 zł
to ide do sadu sad przyznaje 7000 zl dla wierzyciela i 600 zl dla
pelnonmocnika, ide do komornika z wyrokiem i komornik sciaga wierzycielowi 7500
zl (7000 dlug 500 odsetki) a dla mnie 900 zl (600 zl za sad i 300 za
egzekucje). Tak wiec wierzyciel dosatej ponad 100 % dlugu. Mowiac o firmach
ktore biora prowizje przeciez nikt nie kaze im zlecac windykacji dochodzenia
nalezosci niech sobie zaloza dzial prawny.



> Co za bezmozgi, nieempatyczny gostek!

to tylko pokazuje twoj poziom. Nie potrafisz rozmawiac merytorycznie wiec
obrazasz. Zastanow sie czy taka postawa jest wlasciwa. jest cos takiego jak
kultura szkoda ze ci jej zabraklo