eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostęp
Ilość wypowiedzi w tym wątku: 122

  • 71. Data: 2020-06-07 19:34:13
    Temat: Re: mBank - zablokowany dostęp
    Od: "J.F." <j...@p...onet.pl>

    Dnia Sun, 07 Jun 2020 16:30:16 +0200, Krzysztof Halasa napisał(a):
    > "J.F." <j...@p...onet.pl> writes:
    >
    >> No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie
    >> jest.
    >
    > Masz na myśli crypt()? Jasne że jest wystarczająco bezpieczny - i zawsze
    > będzie. W typowym zastosowaniu przynajmniej. Po prostu inne metody są
    > znacznie łatwiejsze, łamanie DES to ostateczność.

    W zastosowaniu do hasel.

    Kiedys, lamanie to mogly byc lata na pojedynczym komputerze.

    Dzis to nie wiem czy nie godziny.

    > Przykład: łatwiej podmienić procedurę sprawdzającą hasło na taką, która
    > je sobie także gdzieś zapisuje.

    Ale to musisz byc administratorem. Albo zdolnym hackerem.
    Ale w sumie ... jeden nieuczciwy administrator i wszystkie inne konta
    zagrozone.

    >> Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
    >> A w miedzyczasie sprawdze milion innych uzytkownikow.
    >> I gdzies trafie ..
    >
    > Owszem. Pewnie nawet ileś razy.

    J.


  • 72. Data: 2020-06-07 23:14:36
    Temat: Re: mBank - zablokowany dostęp
    Od: Krzysztof Halasa <k...@p...waw.pl>

    "J.F." <j...@p...onet.pl> writes:

    >> Czyli w gruncie rzeczy ten hash jest hasłem, które wystarcza do
    >> zalogowania. Innymi słowy, znów przechowujesz niezaszyfrowane hasło
    >> w bazie serwera, każdy kto je przejmie itd.
    >
    > Ale - oryginalne haslo jest nieznane.
    > Czyli inne konta pozostaja bezpieczne ...

    Ale to bez znaczenia, bo nie używamy tych samych haseł w różnych
    miejscach :-)
    --
    Krzysztof Hałasa


  • 73. Data: 2020-06-08 07:19:04
    Temat: Re: mBank - zablokowany dostęp
    Od: Dominik Ałaszewski <D...@g...pl.invalid>

    Dnia 07.06.2020 Krzysztof Halasa <k...@p...waw.pl> napisał/a:

    >> https://zaufanatrzeciastrona.pl/post/kryptografia-ha
    sel-maskowanych-czyli-magia-matematyki/
    >
    > Podobne zabawy niczego nie dadzą, ponieważ liczba możliwych kombinacji
    > takich liter jest na tyle mała, że można je złamać brutalną siłą
    > w mgnieniu oka.

    Ale ja nie piszę, że hasła maskowane są najlepsze (ani w ogóle
    dobre). Moim osobistym zdaniem są do dupy :-)

    Podałem jedynie przykład, że nie trzeba w postaci jawnej
    takowego hasła przechowywać.

    > Trzeba pamiętać, że posiadacza takiej bazy danych nie obowiązują
    > ograniczenia w rodzaju "max 3 próby" itp.

    No jak masz dane już "wycieknięte", to oczywiście żadne limity
    prób nie obowiązują- to jasne. A ponieważ nigdy nie wiesz,
    jak przechowywane są hasła "po drugiej stronie" (w sensie podatności
    na złamanie), zawsze trzeba mieć różne hasła do różnych serwisów.
    Oczywiście tych ważnych, bo na stronie forum naprawy pralek,
    do którego oczywiście _trzeba_ się zarejestrować, żeby sobie
    ściągnąć schemat można spokojnie użyć hasła "dupa123" :-)

    --
    Dominik Ałaszewski (via raspbianowy slrn)
    "W życiu piękne są tylko chwile..." (Ryszard Riedel)
    Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
    Pisząc na priv zmień domenę na gmail.


  • 74. Data: 2020-06-08 15:08:29
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-07 o 16:32, Krzysztof Halasa pisze:
    > Piotr Gałka <p...@c...pl> writes:
    >
    >> Z lektury "Kryptografii w praktyce" Ferguson, Schneier utkwiła mi
    >> informacja, że asymetryczna jest potrzebna tylko wtedy, gdy strony nie
    >> mogą się wcześniej spotkać no i odbywa się to kosztem konieczności
    >> zaufania trzeciej stronie.
    >
    > Są różne scenariusze, ale generalnie nie ma takiego ograniczenia - to by
    > było bez sensu.
    >

    Nie rozumiem o jakim ograniczeniu piszesz.
    Ja pisałem 'jest potrzebna' w sensie, 'jest niezbędna' a nie w sensie,
    że w innych wypadkach nie wolno jej stosować.
    P.G.


  • 75. Data: 2020-06-08 15:20:02
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-07 o 17:02, Krzysztof Halasa pisze:

    > Nie zadbał. SSL (obecnie TLS)

    Dla mnie TLS od zawsze oznaczało "Trzy Literowe Skróty". Głównie w
    kontekście zauważenia, jakie one się zrobiły popularne.

    >> Hash powinien być liczony w komputerze użytkownika.
    >
    > I co dalej? Wystarczyłoby uzyskać ten hash (np. z jakiegoś serwera),
    > i następnie używać go zamiast hasła.
    > Przecież nie trzeba liczyć hasha,
    > można użyć znanego - to się dzieje pod kontrolą atakującego, na jego
    > własnym komputerze.

    Ale ten hash jest dobry tylko dla tego jednego serwera. Skoro ten serwer
    został tak zaatakowany, że ktoś wydobył te hashe to ten serwer już i tak
    jest stracony.
    Mi chodzi o to, żeby zaatakowanie jednego serwera nie dawało nic w
    stosunku do innych.
    Przy takiej organizacji według mnie nie powinno być żadnych
    przeciwwskazań aby użytkownik posługiwał się jednym hasłem do wielu
    serwerów.
    Znaczy jakieś by się znalazły, ale potencjalny wyciek danych z serwera
    nie byłby takim przeciwwskazaniem.

    >> Hash powinien być liczony w komputerze użytkownika. Hasło nigdy nie
    >> powinno być przesyłane do serwera.
    >
    > Niestety tak się nie da dobrze zrobić. Jeśli idziemy w tym kierunku, to
    > racjonalne jest użycie kryptografii asymetrycznej,

    Żałuję, że za słabo 'czuję' asymetryczna, aby wdawać się w dyskusje.
    P.G.


  • 76. Data: 2020-06-08 15:22:55
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-07 o 17:07, Krzysztof Halasa pisze:
    > Piotr Gałka <p...@c...pl> writes:
    >
    >> System wysyła do komputera użytkownika swoją sól. Komputer użytkownika
    >> hashuje jego login+hasło+sól i to odsyła do systemu I tylko to system
    >> zna (czy zna login, czy nie - nie wnikam - ważne, że hasła nigdy nie
    >> widzi).
    >
    > Czyli w gruncie rzeczy ten hash jest hasłem, które wystarcza do
    > zalogowania. Innymi słowy, znów przechowujesz niezaszyfrowane hasło
    > w bazie serwera, każdy kto je przejmie itd.

    Jednak są pewne, kluczowe różnice:
    - hash jest znacznie dłuższy od hasła użytkownika (nie da się zaatakować
    ani siłowo, ani słownikowo),
    - jest inny w każdym serwisie nawet jak użytkownik używa tego samego hasła.
    P.G.


  • 77. Data: 2020-06-08 15:23:56
    Temat: Re: mBank - zablokowany dostęp
    Od: ąćęłńóśźż <...@...pl>

    Próbowałem, każe dać dużą literę, znak polski i znak diakrytyczny, a do tego musi być
    co najmniej 8 znaków.
    Oczywiście musisz się domyśleć, bo dla wstępnej weryfikacji klientów Pan Informatyk
    nie pisze, dlaczego dupę123 odrzuca ;-)))


    -----
    > na stronie forum naprawy pralek, do którego oczywiście _trzeba_ się zarejestrować,
    żeby sobie ściągnąć schemat można spokojnie
    > użyć hasła "dupa123"


  • 78. Data: 2020-06-08 15:35:19
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-07 o 23:14, Krzysztof Halasa pisze:
    >
    > Ale to bez znaczenia, bo nie używamy tych samych haseł w różnych
    > miejscach :-)
    >

    Kto nie używa ten nie używa :)

    W tej gałęzi wątku twierdzę, że powinniśmy móc używać tych samych haseł.
    Jeśli komputery mogą nam to załatwić to powinno to (dla ogólnego
    bezpieczeństwa) być tak zrobione. Najlepiej 'od zawsze'.
    Nie widzę uzasadnienia dlaczego nie jest.

    Chyba, że jest jakiś problem powodujący, że tak tego nie można
    zorganizować, ale na razie nie spotkałem takiej informacji (przekonującej).

    Moje założenie, że hasło jest hashowane w komputerze użytkownika, chyba
    wzięło się z lektury tej jednej książki. Z niej chyba wynikało, że tak
    to musi być i ja to przyjąłem jako pewnik.

    Pamiętam opisywany tam przykład błędu w oprogramowaniu. Ktoś prawidłowo
    wydłużył i posolił hasło, ale aby użytkownik nie musiał czekać około 1s
    aby się dowiedzieć, że się pomylił w haśle to programista zrobił sobie
    tabelkę CRC32 haseł użytkowników i najpierw sprawdzał to CRC.
    W ciągu sekundy (na zwykłym PC) daje się wydłużyć hasło o około 20
    bitów, a tym zabiegiem skrócił je o 32 bity.
    P.G.


  • 79. Data: 2020-06-08 16:13:25
    Temat: Re: mBank - zablokowany dostęp
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Dominik Ałaszewski <D...@g...pl.invalid> writes:

    [hasła maskowane]
    > Podałem jedynie przykład, że nie trzeba w postaci jawnej
    > takowego hasła przechowywać.

    Formalnie nie, natomiast to jest takie hasło quasi-jawne.
    Równie dobrze hasło zakodowane w hex nie jest jawne.

    > No jak masz dane już "wycieknięte", to oczywiście żadne limity
    > prób nie obowiązują- to jasne. A ponieważ nigdy nie wiesz,
    > jak przechowywane są hasła "po drugiej stronie" (w sensie podatności
    > na złamanie), zawsze trzeba mieć różne hasła do różnych serwisów.
    > Oczywiście tych ważnych, bo na stronie forum naprawy pralek,
    > do którego oczywiście _trzeba_ się zarejestrować, żeby sobie
    > ściągnąć schemat można spokojnie użyć hasła "dupa123" :-)

    No tak, myślę że na taki kompromis mogę pójść :-)
    --
    Krzysztof Hałasa


  • 80. Data: 2020-06-08 16:16:57
    Temat: Re: mBank - zablokowany dostęp
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Piotr Gałka <p...@c...pl> writes:

    > Nie rozumiem o jakim ograniczeniu piszesz.
    > Ja pisałem 'jest potrzebna' w sensie, 'jest niezbędna' a nie w sensie,
    > że w innych wypadkach nie wolno jej stosować.

    Nie ma konieczności zaufania trzeciej stronie.
    W najprostszej wersji można zaufać zbiorowi (dowolnie dużemu) trzecich
    stron, co jest jednak zupełnie inną sprawą niż ufanie pojedynczej
    osobie.
    Zasadniczo, w życiu musimy komuś ufać - w sensie nie możemy zakładać, że
    wszyscy nas chcą zgodnie oszukać.
    --
    Krzysztof Hałasa

strony : 1 ... 7 . [ 8 ] . 9 ... 13


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1