Varovanje gesel.

Mene pa zanima kakšna se vam zdi nivo varovanja gesel v sledečem primeru:

Poklical sem na banko, ker sem rabil dodatne informacije. Uslužbenka na drugi strani je od mene zahtevala šifro certifikata in pa 1. in 3. črko gesla za izvedbo avtentikacije.

Moti me to kako lahko vedo mojo 1 in 3 črko gesla?

Vprašal sem na banko in dobil odgovor:
zahvaljujemo se vam za poslano e-sporočilo. Gesla so v bazi podatkov ustrezno zaščitena in v neberljivi obliki. Uporablja se ustrezne enosmerne zgoščevalne funkcije in naključne vrednosti. Na kakšen način sistem preverja pravilnost podatkov je določeno v postopku samega programa.

Sedaj če uporabljajo enosmerno zgoščevalno funkcijo ali lahko potem preverijo če 1. in 3. črka gesla drži?

Prosim za mnenje.

V nobenem od teh primerov ni varno. Če je operater vpisal 1. in 3. črko, potem je geslo berljivo. Običajno je, da se gesel sploh ne hrani, ampak da se hrani le salted hash vrednosti. Tukaj je očitno, da nekje hranijo geslo ali del gesla, ali pa uporabljajo funkcije, kjer ima ustrezna oseba dostop do oslabljenega gesla, torej hrani se celo geslo, operater vpiše le 1. in 3. znak, ostalo izpolni sistem sam. Torej ni varno, zato tudi samo geslo nič ne pomaga, rabiš še certifikat, s katerim se izkazuješ, na ta nčain skušajo doseči varnost.

Mislim da je NLB imela tak sistem. Ampak to "geslo" se je uporabljalo le, za preverjanje uporabnika pri telefonskem klicu, skupaj z drugimi osebnimi podatki (davčna št, TRR,...). Kljub preverjanju uporabnikov, je nabor storitev močno okrnjen. Ne vem točno kaj, ampak domnevam da pridobitev informacij o tipu računa, zneskih dnevnih limitov, morda stanje na računu,... Ampak če je hacknil v bazo NLB in jim pobral ta gesla, potem je te podatke itak že pridobil.
V glavnem, če je za tak namen, potem povečuje varnost tvojih podatkov, saj zmanjšuje možnost tveganja, da kak znanec pridobi zaupne informacije. Če se tako geslo uporablja za dostop do spletne banke, je pa to hudo varnostno tveganje.