Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3qt7i$6cs$2@inews.gazeta.pl...
>
> Co do banków, które na pierwszej stronie mają login i jak podamy go
> poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest
> chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że
> uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo
> zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.

Logując się do banku po długiej przerwie (loginu nie pamiętam) musiałem coś
pomylić przepisując go bo zażądał ode mnie kodu z tokena, a takiego nie
posiadam. Stąd wniosek, że trafiłem za pierwszym razem w jakiś prawidłowy
login (login to 8 cyfr - czyli zaledwie nieco ponad 26 bitów, w czasach, gdy
kryptografia 64 bitowa przechodzi do przeszłości).

Według mnie system nie powinien ujawniać żadnych pośrednich informacji.
Strona logowania powinna pozwolić jedynie sprawdzić, czy podany zestaw
login/hasło jest prawidłowe, ale żadnej innej informacji nie powinno dać się
uzyskać - czyli nawet czas reakcji systemu nie powinien ujawniać, czy błąd
wykryto w loginie, czy haśle.

Wolę nie sprawdzać, czy po 3 próbach zablokuje mi się dostęp, ale w
przypadku, gdy login/hasło ma zbyt mało entropii elementem skutecznie
broniącym system przed włamaniami jest ograniczenie pasma (sądząc po
szybkości działania systemów niektórych banków wzięły one to poważnie pod
uwagę).

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po
3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet
prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna
próba przedłuża ten czas o kolejną minutę, a prawidłowa działa.
Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby
loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak
sprawdzić, które prawidłowe.
P.G.