Robert Tomasik wrote:

> Użytkownik "mvoicem" <m...@g...com> napisał w wiadomości
> news:fk9nk3$34h$1@atlantis.news.tpi.pl...
>
>> Ale co z tego jeżeli pokaże się strona użytkownikowi, każe podać hasło, i
>> jakiś odsetek użytkowników to hasło poda.
>
> W wypadku BPH nic się wielkiego nie stanie. Po pierwsze będzie to co
> najwyżej kilka znaków, a nie całe hasło.

Ja mówię o tym, że jeżeli ktoś trafi na stronę trochę podobną do strony
banku, gdzie będzie pole "hasło", to jakiś odsetek wpisze po prostu hasło.
Bez wnikania że dotąd mieli jakieś kratki i tak dalej.


> Po drugie jak nawet wpisze
> wszystkie znaki w sumie po kilku razach, to i tak możesz tylko podejrzeć
> rachunek, bo przelewu nie wykonasz.

Na to jest złota metoda. Pole "podaj swój plik klucza" :).

> Poza tym BPH nie ma ustalonej długości
> hasła, więc nie wiesz, ile kratek wyświetlić. Jak wyświetlisz za dużo, to
> średnio inteligentna małpa powinna się zorientować, ze coś jest nie tak.

Zapominasz o jednym - serwer phisingowca może się po prostu zapytać serwera
BPH ile ma kratek wyświetlić.

p. m.

do góry

Krzysztof Halasa wrote:

> BTW: kombinacja login/haslo jest jedna z najbezpieczniejszych

pod warunkiem ze to haslo jest jednorazowe

do góry

On 19 Gru, 10:54, "blad" <blad201@_W_Y_T_N_I_J_sezam.pl> wrote:

> 2. takie hasla maskowane maja jedną podstawową wadę - muszą być po
> stronie banku trzymane w całości

Ooooo - how sweet :-)

> Nie dają obrony przed informatykami z wnetrza banku,

Niektórzy bardzo wierzą w wysokie morale informatyków, zwłaszcza
bankowych.
Ja kiedyś wierzyłem, że policjant, strażak, lekarz i nauczyciel są
nieskończenie dobrzy i uczciwi :-)

summ

do góry

On 19 Gru, 16:28, mvoicem <m...@g...com> wrote:

> > Po drugie jak nawet wpisze
> > wszystkie znaki w sumie po kilku razach, to i tak możesz tylko podejrzeć
> > rachunek, bo przelewu nie wykonasz.
>
> Na to jest złota metoda. Pole "podaj swój plik klucza" :).

Tak miałem w ING i uważam to za bardzo naiwne zabezpieczenie. Przecież
jak się poda ścieżkę dostępu do pliku choćby na pendrivie to np.
podstawiona strona może przechwycić zawartość tego pliku razem ze
stałym hasłem do klucza.

summ

do góry

"blad" <blad201@_W_Y_T_N_I_J_sezam.pl> writes:

> 1. takie ekranowe klawiatury tez pozwalają zbierac wprowadzane hasla,
> szczegolnie łątwo wtedy, gdy nacisnięcie myszą jakiegoś wirtualnego
> klawisza daje efekt wizualny wciskanego klawisza
> 2. takie hasla maskowane maja jedną podstawową wadę - muszą być po
> stronie banku trzymane w całości, a więc mozliwe do odkodowania w
> całości. Nie dają obrony przed informatykami z wnetrza banku,
> natomiast hasla pelne przechowuje sie w postaci skrótu
> jednokierunkowego, atk jak to robil od zawsze unix/linux

Niestety te ostatnie tez nie zabezpieczaja przed "informatykami
z wnetrza banku" - jesli taki ktos ma dostep do bazy z haslami,
to moze takze np. zmodyfikowac procedure logowania tak, by hasla
byly zapisywane. Oczywiscie, trzeba miec dostep R/W (a nie tylko
np. do backupu) i jest to wieksze ryzyko, ale specjalisci nie takie
rzeczy robia.

Dodatkowo problemem jest jakosc hasla - takie 8-znakowe uzywajace
tylko malych liter i cyfr sa za slabe. Hasla skladajace sie
z imienia i cyfr sa zdecydowanie za slabe. PINy (skladajace sie
tylko z cyfr) da sie tak "zlamac" kalkulatorem w cwierc sekundy.
--
Krzysztof Halasa

do góry

MarcinF <m...@i...pl> writes:

>> BTW: kombinacja login/haslo jest jedna z najbezpieczniejszych
>
> pod warunkiem ze to haslo jest jednorazowe

Nie ma takiego warunku.
Natomiast jest inny - haslo moze byc znane tylko obu stronom,
a wiec musi byc przesylane bezpiecznym kanalem tylko do drugiej
strony, i nie moze byc zadnych znajacych je "trzecich stron".
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:

> Natomiast jest inny - haslo moze byc znane tylko obu stronom,
> a wiec musi byc przesylane bezpiecznym kanalem tylko do drugiej
> strony, i nie moze byc zadnych znajacych je "trzecich stron".

tyle ze ten warunek w przypadku powszechnie uzywanych uslug
nie jest realny, czego najlepszym dowodem jest to ze
banki uzywaja lepszych zebzpieczen

do góry

MarcinF <m...@i...pl> writes:

> tyle ze ten warunek w przypadku powszechnie uzywanych uslug
> nie jest realny, czego najlepszym dowodem jest to ze
> banki uzywaja lepszych zebzpieczen

Niestety one sa lepsze tylko jesli sie patrzy pod odpowiednim katem.
Zwykle dzialaja wylacznie dlatego, ze po prostu nikt nie bedzie sie
wysilal dla marnych kilku tysiecy.

Firmowe konta czesto dzialaja nieco inaczej, bo tam sie operuje
wiekszymi (sumarycznie) kwotami.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:

> Niestety one sa lepsze tylko jesli sie patrzy pod odpowiednim katem.
> Zwykle dzialaja wylacznie dlatego, ze po prostu nikt nie bedzie sie
> wysilal dla marnych kilku tysiecy.

to pod jakim katem nalezy spojrzec by stale haslo bylo lepszym
zabezpieczeniem od jednorazowego ?

do góry

MarcinF <m...@i...pl> writes:

> to pod jakim katem nalezy spojrzec by stale haslo bylo lepszym
> zabezpieczeniem od jednorazowego ?

One w ogole sa podobnie dobre, to ta sama klasa.

Tyle ze "stale" haslo moze miec wiele znakow, zas "hasla jednorazowe"
typowo maja tylko kilka cyfr - kilkanascie bitow entropii. Wystarczy
ze jakis system nie bedzie blokowal hasla po nieudanej probie
(zdaje sie ze jakis bank internetowy w Polsce ma, lub przynajmniej
mial, cos takiego?) i moze da sie to nawet brutalnym atakiem
zalatwic :-)
--
Krzysztof Halasa

do góry