Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:qc31va$mve$1$P...@n...chmurka.ne
t...
W dniu 2019-05-22 o 07:40, Luke pisze:
>> Apropos prywatności, czy tam jest jakiś SSL?
>> Czy musi to lecieć po czystym http, a user musi sobie
>> zaimplementować
>> jakieś szyfrowanie?
>
>Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
>Jak się loguję do banku po SSL to:

SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
Wydaje mi sie, ze nie sprawdza.

>- ja ufam, że to jest właściwa strona dzięki mojemu zaufaniu do
>'strony trzeciej' potwierdzającej certyfikat banku. Daje to duży
>poziom zaufania, że po drugiej stronie jest faktycznie mój bank pod
>warunkiem, że ktoś mi nie podrzucił wcześniej na komputer certyfikatu
>jakiejś innej trzeciej strony tak, że mój komputer uznał go za
>zaufany (nie jest łatwe, ale czy wykluczone).

A tych stron jest chyba wiecej niz trzy - tzn przegladarka, a moze juz
system ma zaszyte certyfikaty kilku organizacji, ktore moga sprawdzic
nastepne organizacje, ktore dopiero certyfikuja bank, albo kolejna
organizacje.

>- dużo gorzej jest w drugą stronę. Jedynym potwierdzeniem dla banku,
>że ja to ja jest hasło.
>Hasło 10 znakowe ma podobno siłę rzędu 55 bitów (występujące
>korelacje

Ba - w takim Millenium sa 4 znaki plus pesel.
Przy maskowanym hasle mozesz podajesz 4-5 znakow.

>między znakami powodują, że jeden znak typowo wnosi (o ile się nie
>mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile
>poniżej 128 bitów uważane są za słabe.

Ale czego sie obawiasz - ze ktos wykradnie z banku plik z
zaszyfrowanymi haslami i zacznie rozkodowywac ?
Czy, ze ktos zacznie sie logowac na losowe hasla ?

Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja
dostep.
I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP
ktos probuje zgadnac haslo.

Tym niemniej ... majac opanowane tysiace komputerow w terenie (jakis
wirus), mozna by probowac losowych hasel.
Tylko - jesli szansa trafienia jest np 1:100 mln, to tysiace
komputerow nie pomoga, trzeba by miliony, zeby bank sie nie
zorientowal ...
no chyba, ze haslo krotsze i mamy szanse np 1:100 tys ... w pare dni
mozna cos trafic, bez wzbudzania podejrzen.

>Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to
>wynika z samego SSL, czy zależy od implementacji).

Ale haslo do banku podajesz juz przez SSL.
Sama sesja SSL ma jakis klucz szyfrowania, losowy,

>W książce "Kryptografia w Praktyce" (polskie wydanie 2004)
>wyczytałem, że kryptografia asymetryczna ma sens wtedy, gdy
>komunikujący się ze sobą nie mogą się wcześniej ze sobą spotkać w
>celu wymiany wspólnej tajemnicy a mają wspólnego kogoś komu ufają.

>Jeśli user implementujący komunikację między sobą a mikrokontrolerem
>jest w stanie spotkać się w tajemnicy z tym mikrokontrolerem i
>wymienić się kluczami to nie ma powodu opierać komunikacji z nim na
>zaufaniu do trzeciej strony. Tak przynajmniej mi się wydaje.

No i gdzies tam sa przewidziane pliki certyfikatow, rozsylane inna
droga.
Ale w wielu przypadkach dzialalnosci bankowej bedzie to nadmierne
utrudnienie.
A jak klient cos zgubi daleko od domu ?

No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna
identyfikowac konkretna instalacje/telefon.
Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.

J.