Paweł Goleń, blog

Kontynuując temat bezpieczeństwa bankowości elektronicznej, tym razem trochę o autoryzacji transakcji...

...bo jutro na mojej ulicy jakiś film będą kręcić. A co mnie to obchodzi?

Kilka moich przemyśleń o bezpieczeństwie bankowości elektronicznej, głównie jeśli chodzi o uwierzytelnienie użytkownika oraz autoryzację transakcji. W tej części będzie trochę o uwierzytelnieniu...

Jako osoba związana dość mocno z bezpieczeństwem, wszystkie moje komputery mają włączoną politykę haseł, która wymaga sporej jego złożoności, długości i regularnej zmiany. Czasami jednak (komputer w domu, z którego korzystają również nieco mniej techniczne osoby), polityka ta może być uciążliwa. Mówiąc wprost - znudziło mi się regularne odblokowywanie i zmiana zapomnianego hasła na jednym z kont :) Ponieważ komputer jest właściwie zabezpieczony fizycznie, postanowiłem konto to pozbawić hasła. Ale jak to zrobić, jeśli polityka takiego hasła wymaga? Sprawa jest banalna, choć często się o takiej możliwości zapomina. Wymaganie hasła można wyłączyć na poziomie konta, choć opcja ta nie jest widoczna w GUI. Zamiast tego należy skorzystać z polecenia net user, a konkretnie: net user nazwa_konta /passwordreq:no. Mona też bezpośrednio manipulować wartością atrybutu userAccountControl i to nawet bez Active Directory.

Ponieważ wiele osób, z którymi rozmawiam, ma pewne problemy ze zrozumieniem czym właściwie jest SSL, postanowiłem to trochę opisać. W sposób prosty i możliwie nietechniczny... W szczególności postaram się choć trochę wytłumaczyć jaka jest różnica między kluczami i certyfikatami.