tag:blogger.com,1999:blog-6306509703738480474.post1150090145634766805..comments2023-09-30T16:03:16.552-03:00Comments on Brain Dump: Paranóia x MatemáticaRicardo Bittencourthttp://www.blogger.com/profile/17393980440854756685noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-6306509703738480474.post-32113381896154693322008-06-03T09:25:00.000-03:002008-06-03T09:25:00.000-03:00Outra dica boa é trocar a senha regularmente. Quas...Outra dica boa é trocar a senha regularmente. Quase ninguém troca senha de banco.Tiago Albineli Mottahttps://www.blogger.com/profile/04371749360526831167noreply@blogger.comtag:blogger.com,1999:blog-6306509703738480474.post-62821442778018010462008-05-04T22:40:00.000-03:002008-05-04T22:40:00.000-03:00Na verdade o buraco é mais embaixo. A criptografia...Na verdade o buraco é mais embaixo. A criptografia pode ser segura o quanto for, mas e o resto do sistema? Criptografia aplicada de forma errada (e geralmente é) não resolve absolutamente nada e só causa transtorno pro usuário.<BR/><BR/>Quem já trabalhou na área de sistemas dos bancos sabe: essas "firulas" nos caixas automáticos são simplesmente estéticas. a intenção é fazer o cliente (ou o gerente do banco, dependendo do caso) se sentir mais seguro, e não aumentar a segurança real.girinohttps://www.blogger.com/profile/04259180725899646587noreply@blogger.comtag:blogger.com,1999:blog-6306509703738480474.post-46559502540380315532008-05-03T19:54:00.000-03:002008-05-03T19:54:00.000-03:00Ah sim, ladrões podem ser tão criativos quanto se ...Ah sim, ladrões podem ser tão criativos quanto se queira :)<BR/><BR/>O único método 100% seguro de criptografia é o <A HREF="http://en.wikipedia.org/wiki/One-time_pad" REL="nofollow">one-time pad</A>, todo o resto pode ser quebrado, com recursos suficientes.Ricardo Bittencourthttps://www.blogger.com/profile/17393980440854756685noreply@blogger.comtag:blogger.com,1999:blog-6306509703738480474.post-69452430867863676302008-05-03T19:44:00.000-03:002008-05-03T19:44:00.000-03:00Só pra fazer um pouco de FUD, você considera uma p...Só pra fazer um pouco de FUD, você considera uma premissa no seu artigo que não é necessáriamente verdade: <BR/><BR/>Que o terminal NÃO terá acesso a sua senha verdadeira e que a comparação será feita no "servidor".<BR/><BR/>Outras coisas que você precisa também levar em conta: O interesse do ladrão não é necessariamente "roubar senhas". Ele pode roubar "apenas" um "token" de seção e usá-lo pra fazer transferências AO INVÉS DE executar sua transação, ele pode roubar apenas os seus dados bancários/de cartão para fazer outros tipos de fraude (clonar seu cartão, por exemplo), pode sacar alguns reais a mais em cada saque que ele ao invés de entregar ao cliente joga em algum compartimento secreto. Enfim, as possibilidades são infinitas!<BR/><BR/>E pra voltar pra área da criptanálise: se o gerador de números aleatórios for "fraco", um número suficiente de observações de clientes diferentes pode ser suficiente pra deduzir a seqüência de dígitos que aparece na tela a cada vez, eliminando a necessidade de mais de uma observação ;)<BR/><BR/>Como diria o Schneier: 20 anos atrás eu achava que a criptografia ia salvar o mundo, hoje eu sei que só as pessoas podem fazê-lo.girinohttps://www.blogger.com/profile/04259180725899646587noreply@blogger.com