eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiZablokowanie dostępu przez www do konta w banku
Ilość wypowiedzi w tym wątku: 39

  • 1. Data: 2010-08-09 13:52:12
    Temat: Zablokowanie dostępu przez www do konta w banku
    Od: xbartx <b...@h...net>


    Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
    w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
    pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
    naszła mnie taka oto "koncepcja".

    "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
    że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
    Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
    tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
    własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
    jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
    dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
    powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
    sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też
    pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
    mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
    zanim wszystko wróciłoby do normy.
    Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
    ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
    jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
    bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
    popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
    wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
    że jedno IP może się logować na jeden login i później zostanie
    zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
    botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
    nie będzie stanowić to raczej stanowić problemu.
    Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
    https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTC
    HA
    albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
    zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
    to jeszcze jakieś łamigłówki?
    Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
    na tego typu koncepcje?

    Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
    blokował ;)


    --
    xbartx


  • 2. Data: 2010-08-09 14:03:41
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: Liwiusz <l...@b...tego.poczta.onet.pl>

    xbartx pisze:


    > Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
    > blokował ;)


    Ja też sobie zablokowałem, choć złego hasła nie podałem, więc ktoś
    musiał mi zablokować wcześniej.

    Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka
    tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i
    taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się
    bieżącym monitorowaniem swojego ruchu na stronie.

    Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o
    wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą
    kilkuprocentową.



    --
    Liwiusz


  • 3. Data: 2010-08-09 14:06:29
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: witek <w...@g...pl.invalid>

    xbartx wrote:
    > Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
    > w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
    > pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
    > naszła mnie taka oto "koncepcja".
    >
    > "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
    > że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
    > Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
    > tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
    > własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
    > jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
    > dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
    > powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
    > sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też
    > pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
    > mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
    > zanim wszystko wróciłoby do normy.
    > Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
    > ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
    > jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
    > bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
    > popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
    > wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
    > że jedno IP może się logować na jeden login i później zostanie
    > zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
    > botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
    > nie będzie stanowić to raczej stanowić problemu.
    > Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
    > https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTC
    HA
    > albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
    > zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
    > to jeszcze jakieś łamigłówki?
    > Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
    > na tego typu koncepcje?
    >
    > Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
    > blokował ;)
    >
    >
    jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było
    potrzeby sie zastanawiac.

    U mnie w banku jest tak, że login jest mój własny
    o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu.
    Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi
    jako DOS niz blokowanie kont.


  • 4. Data: 2010-08-09 16:27:12
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: xbartx <b...@h...net>

    Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):

    > U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
    > nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
    > botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
    > niz blokowanie kont.

    No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
    jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
    zobaczymy coś takiego.


    --
    xbartx - Xperimental Biomechanical Android Responsible for Thorough
    Xenocide


  • 5. Data: 2010-08-09 16:35:37
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: xbartx <b...@h...net>

    Dnia Mon, 09 Aug 2010 16:03:41 +0200, Liwiusz napisał(a):

    > Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka
    > tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i
    > taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się
    > bieżącym monitorowaniem swojego ruchu na stronie.
    >
    > Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o
    > wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą
    > kilkuprocentową.

    Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
    komputerów. Do tego większość z nich to komputery z dynamicznie się
    zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
    wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
    infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że
    można by osiągnąć zamierzone cele.



    --
    xbartx - Xperimental Biomechanical Android Responsible for Thorough
    Xenocide


  • 6. Data: 2010-08-09 16:51:45
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: Liwiusz <l...@b...tego.poczta.onet.pl>

    xbartx pisze:

    > Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
    > komputerów. Do tego większość z nich to komputery z dynamicznie się
    > zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
    > wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
    > infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że
    > można by osiągnąć zamierzone cele.


    Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne
    hasło? I co dalej?


    --
    Liwiusz


  • 7. Data: 2010-08-09 17:15:05
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: Rafal M <r...@g...com>

    On 9 Sie, 15:52, xbartx <b...@h...net> wrote:

    [ciach]
    > Zabezpieczeniem wydaje się tutaj coś w rodzaj
    captchahttps://secure.wikimedia.org/wikipedia/pl/wik
    i/CAPTCHA
    > albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
    > zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
    > to jeszcze jakieś łamigłówki?
    > Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
    > na tego typu koncepcje?
    [ciach]


    Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
    haslo, haslo z tokena.


    Pozdrawiam
    Rafal


  • 8. Data: 2010-08-09 17:24:18
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: Rafał <a...@m...invalid>

    W dniu 2010-08-09 19:15, Rafal M pisze:
    > Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
    > haslo, haslo z tokena.

    I jak wpiszesz 3 razy źle bez tokena to blokada.

    --
    Raf


  • 9. Data: 2010-08-09 17:35:41
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: "m4rkiz" <a...@b...cpl>


    "Liwiusz" <l...@b...tego.poczta.onet.pl> wrote in message
    news:i3pbn4$1n2$1@news.onet.pl...
    > xbartx pisze:
    >
    >> Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
    >> komputerów. Do tego większość z nich to komputery z dynamicznie się
    >> zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie
    >> na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku,
    >> ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć
    >> zamierzone cele.
    >
    >
    > Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne hasło? I
    > co dalej?

    no on przeciez pisze o calkowitym sparalizowaniu dostepu przez internet


  • 10. Data: 2010-08-09 18:14:22
    Temat: Re: Zablokowanie dostępu przez www do konta w banku
    Od: witek <w...@g...pl.invalid>

    xbartx wrote:
    > Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
    >
    >> U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
    >> nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
    >> botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
    >> niz blokowanie kont.
    >
    > No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
    > jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
    > zobaczymy coś takiego.
    >
    >

    pekao24.pl



strony : [ 1 ] . 2 ... 4


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1