Re: Zablokowanie dostępu przez www do konta w banku - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Zablokowanie dostępu przez www do konta w banku › Re: Zablokowanie dostępu przez www do konta w banku

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: witek <w...@g...pl.invalid>
Newsgroups: pl.biznes.banki
Subject: Re: Zablokowanie dostępu przez www do konta w banku
Date: Mon, 09 Aug 2010 09:06:29 -0500
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 48
Message-ID: <i3p21j$i9g$9@inews.gazeta.pl>
References: <i3p16c$al5$1@inews.gazeta.pl>
NNTP-Posting-Host: adsl-70-253-161-48.dsl.stlsmo.swbell.net
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1281362804 18736 70.253.161.48 (9 Aug 2010 14:06:44 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Mon, 9 Aug 2010 14:06:44 +0000 (UTC)
X-User: witek7205
In-Reply-To: <i3p16c$al5$1@inews.gazeta.pl>
User-Agent: Thunderbird 2.0.0.24 (Windows/20100228)
Xref: news-archive.icm.edu.pl pl.biznes.banki:533670
[ ukryj nagłówki ]
xbartx wrote:
> Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
> w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
> pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
> naszła mnie taka oto "koncepcja".
>
> "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
> że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
> Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
> tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
> własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
> jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
> dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
> powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
> sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też
> pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
> mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
> zanim wszystko wróciłoby do normy.
> Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
> ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
> jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
> bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
> popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
> wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
> że jedno IP może się logować na jeden login i później zostanie
> zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
> botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
> nie będzie stanowić to raczej stanowić problemu.
> Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
> https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTC
HA
> albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
> zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
> to jeszcze jakieś łamigłówki?
> Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
> na tego typu koncepcje?
>
> Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
> blokował ;)
>
>
jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było
potrzeby sie zastanawiac.

U mnie w banku jest tak, że login jest mój własny
o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu.
Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi
jako DOS niz blokowanie kont.