https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:09 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18795 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Paweł Goleń) Akurat w przypadku losowo generowanych haseł wykluczanie "łatwych" ciągów trochę nie ma sensu. Taki ciąg jest dokładnie tak samo prawdopodobny, jak każdy inny. Inaczej jest wtedy, gdy to użytkownik ma możliwość jego wyboru. Wówczas te proste ciągi rzeczywiście są bardziej prawdopodobne i czasami są blokowane. Sat, 17 May 2014 10:24:53 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18795 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18794 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (laik) No tak, dzięki za odpowiedź, chociaż w sekwencjach wyłącznie numerycznych pewne ciągi znaków tez są "wykluczone" np "33333333" czy też "12345678" lub inne proste. Z drugiej zaś strony nie spotkałem się jeszcze z silnym wymaganiem użycia kodu dłuższego niż 6 znaków. Była opcja na 8 znaków, ale 6 wystarczało. Wszak to jest tylko 1M, więc wartość porównywalna z 34^4. Tudzież dla 5 znaków alfanumerycznych wartość tylko o połowę mniejszą od 100M bo 45M. Moje pytanie było raczej w kontekście otrzymanego kodu jednorazowego SMS. W zasadzie nie słyszałem żeby ktoś robił przelew wymagający dodatkowej autoryzacji w serwisie telefonicznym i tą autoryzację wpisywał z klawiatury numerycznej telefonu na podstawie SMS. Bardzo niepraktyczne. A gdzie tu UX? Wed, 14 May 2014 20:05:12 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18794 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18793 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (rozie) Czyli to samo. 907 100 200 - zapamiętam trójkami 697 45 97 97 - dwójkami Czyli pewnie szukanie podobieństw/powtórzeń. A na to chyba nie ma miejsca przy przepisywaniu z komórki. Wed, 14 May 2014 07:49:41 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18793 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18790 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Paweł Goleń) Właściwie powinienem dodać, że pamiętam w zasadzie dwa numery. W obu przypadkach tak się składa, że w numerze występują powtórzenia dwóch cyfr, czyli coś na zasadzie: 678 12 32 32 Dlatego łatwiej mi to zapamiętać tak "dwójkowo", niż "trójkowo": 678 123 232 :) Tue, 13 May 2014 19:43:42 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18790 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18789 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (rozie) No w sumie fakt. Inna sprawa, że słaby generator nie powinien być tu tak drastyczny (w praktyce). Atakujący nie jest jedynym użytkownikiem systemu, więc w praktyce trudno mu będzie przeprowadzać taką analizę. Tym bardziej, że wierzę, że takie podstawy jak ilość generowanych kodów, ilość wpisywanych kodów oraz stosunek poprawne/niepoprawne dla wpisanych są monitorowane. W końcu to prosta ilościówka, a sporo mówi o poprawności funkcjonowania systemu, nie tylko jeśli chodzi o bezpieczeństwo. Tue, 13 May 2014 08:18:21 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18789 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18788 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (rozie) O widzisz, z numerem mnie zaskoczyłeś. Siebie pewnie też, bo zapamiętujesz właśnie dwucyfrówki, nie "wygodne" trzycyfrówki. Ja z kolei preferuję xxx-xxx-xxx w numerze, czyli nie dwu- a trzycyfrówki. Co też nie do końca jest prawdą, bo część numerów pamiętam tak, a część tak. Z tym, że numer telefonu to jednak trochę inny typ danych - nie zapamiętujesz na czas przepisania, tylko na dłużej. Skłaniałbym się bardziej do kont bankowych, jako analogii. Podział na grupy czterocyfrowe właśnie ze względu na ułatwienie przepisywania powstał... Tue, 13 May 2014 08:12:09 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18788 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18787 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Paweł Goleń) Spację można zastąpić innym separatorem, na przykład - . Tylko trzeba pamiętać o limicie 160 znaków. Mon, 12 May 2014 22:03:16 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18787 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18786 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Paweł Goleń) A tutaj to odpowiedzi chyba powinieneś szukać u psychologów i pokrewnych. Tak, były prowadzone tego typu badania. Akurat tutaj, moim zdaniem, łączą się dwie kwestie - jaki jest optymalny (i najbardziej powszechny) "chunk" informacji, który jesteśmy w stanie zapamiętać ORAZ jak długi zlepek cyfr jest najwygodniejszy do przeczytania. Pytanie - w jaki sposób zapamiętujecie numery telefonów? Dla mnie najwygodniejszy schemat to XXX XX XX XX, jeśli ktoś poda mi mój własny numer telefonu w schemacie XXX XXX XXX to go nie poznam :) Mon, 12 May 2014 22:01:33 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18786 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18785 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Paweł Goleń) Szczerze? Bardziej prawdopodobne wydaje mi się, że ktoś skorzystał ze złego generatora liczb (pseudo)losowych, który po zebraniu odpowiedniej próbki pozwala na przewidzenie kolejnych wartości. Uzasadnienie? Bo generowanie wartości według określonego rozkładu jest trudniejsze :) Mon, 12 May 2014 21:57:35 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18785 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18784 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (rozie) Tak się zastanawiam, czy komuś kiedyś w którejś specyfikacji się nie omskło... A jeśli by tak się stało, to ile czasu zajęłoby zorientowanie się użytkownikom, że kody są generowane rozkładem normalnym, nie równomiernym (i tu w sumie są 2 opcje - albo każda cyfra osobno, albo rozkład normalny w całym zakresie 1-99999999. Dla cyfr 0-9 odchylenie standardowe to ~3. Czyli ~70% wartości byłoby z przedziału 4,5+-3, czyli 2,3,4,5,6,7. Ew. jeszcze o 1 i 8 zahaczamy, zależnie od metody zaokrąglania, ale pomijam. A 4 i 5 występują tylko dwa razy częściej, niż 2 i 7. Uważam, że nawet wtedy nie ma dramatu przy ośmiu znakach. Spadniemy raptem jakoś w okolice miliona kombinacji dla rozkładu równomiernego. Mon, 12 May 2014 18:23:39 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18784 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18783 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (rozie) Pytanie, czy ktoś badał ten podział i czy faktycznie większość ludzi przepisuje po 3 cyfry, czy po prostu tak wydedukowali. Ja chyba bardziej po dwie przepisuję. I taki token ze spacją rozwala mi koncepcję, bo nie wezmę "dwie pierwsze, dwie środkowe, dwie ostatnie". Co do uciążliwości - jakoś nie mam tego problemu. Ba, mogę nawet tak trzymać telefon, że widzę jednocześnie okno wpisywania i kod... Ostatnio - również bez problemu, choć sam się zdziwiłem - przepisywałem z SMSa... numer konta (notacja ze spacjami na szczęście). Znowu: IMO problem jest sztuczny. Większym problemem z którym się spotkałem (nie tylko ja) jest krótki czas życia kodu SMS. Jeśli masz osobno telefon i komputer na dobrym łączu, to problemu nie ma, ale czasem klika się z jakiejś granicy zasięgu, z lossem, albo - jak kumpel - przekłada karty w telefonie, bo na jednej ma numer autoryzowany w banku, a na drugiej net. I z wprowadzenia kodu robi się wyzwanie. ;-) Być może przy kodach ośmioznakowych faktycznie przydałaby się spacja (po 4 cyfrach, jak w numerze konta). Mon, 12 May 2014 18:07:25 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18783 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18779 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Marcin Gryszkalis) Problem ze spacją w środku kodu w przypadku SMS-ów jest taki, że istnieje spore ryzyko, że istotna grupa użytkowników wpisywałaby tylko pierwszą część (choćby dlatego, że w SMS-ach nie ma   i linijka łamałaby się tym właśnie miejscu). Mon, 12 May 2014 13:30:53 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18779 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18778 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Marcin Gryszkalis) A co do tego - dlaczego nie używa się kodów składających się z liter i cyfr? Choćby dlatego, że takie kody trudno byłoby wprowadzać np. w automatycznych serwisach telefonicznych, w tokenach z klawiaturą itp. Mon, 12 May 2014 13:27:34 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18778 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18777 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (Marcin Gryszkalis) 8 cyfr - 10^8 = 100 mln 4 litery+cyfry - 34^4 = 1.3 mln Przy czym w praktyce wyklucza się w takiej sytuacji część zbioru znaków (usuwa się znaki mogące powodować niejednoznaczność odczytu, czyli pary "0" i "O", "1" i "I" itp.) Mon, 12 May 2014 13:20:38 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18777 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#c18776 https://archive.mroczna-zaloga.org/archives/1236-czy-dluzsze-jest-lepsze.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1236 nospam@example.com (laik) Jako laik zapytam, a czemu hasła jednorazowe zawsze muszą byc tylko ciągiem cyfr? Tak, mi jest trudno zapamiętać ciąg 8 cyfr (zwłaszcza jak jest podawany bez grupowania), więc w moim banku robię to zawsze na raty. Pierwsze 4 cyfry, powrót i kolejne 4 cyfry. Co mi trochę doskwiera, ale winię za to moją pamięć krótkotrwałą. Pytanie moje bierze się stąd, że widziałem pewien program w NG, gdzie na dużym lotnisku (niestety nie pamietam jakim), zmieniono numerację bramek. Z modelu liczbowego XX YY na model alfanumeryczny: litera + 2 cyfry (czyli skróciła sie notyfikacja). I od razu odnotowali poprawę percepcji pasażerów, którzy przestali sie gubić na lotnisku. Więc pytanie laika: czy kod A9B5 jest łatwiejszy do złamania niż 8 cyfrowy? Mon, 12 May 2014 11:21:35 +0200 https://archive.mroczna-zaloga.org/archives/1236-guid.html#c18776