eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostępRe: mBank - zablokowany dostęp
« poprzedni post
następny post »
  • Data: 2020-06-04 19:45:11
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    W dniu 2020-06-04 o 18:07, J.F. pisze:

    >> Stąd (niby irracjonalny) pomysł, że system banku może znać hasło.
    >
    > A dlaczego nie ?

    Ze względów bezpieczeństwa w systemie banku nie powinny być
    przechowywane hasła.
    Jakby się zdarzył wyciek danych do logowania z systemu banku to nie
    byłoby w nich haseł. Te dane nie pozwoliłyby komuś kto wszedł w ich
    posiadanie zalogować się do żadnego konta.

    Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
    podejście jest realizowane przez każdy system logowania. Dlatego
    uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło do
    wszystkich np. sklepów internetowych.
    A tu przy okazji każdego wycieku danych do logowania (a było ich
    ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
    pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
    zmieniać.
    To nie powinno tak być.

    Klient powinien móc stosować ten sam login i hasło do wszystkich
    systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
    szans zalogowania się za pomocą tych danych do innego systemu.

    Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika byłaby
    jego klawiatura. Atak na jednego użytkownika nie naruszałby
    bezpieczeństwa pozostałych.
    Jak hasła są w systemie to atak na to jedno miejsce narusza
    bezpieczeństwa mnóstwa osób.
    A co najgorsze wyciek danych z takiego systemu narusza bezpieczeństwo
    użytkownika (jeśli stosował (a powinien móc) to samo hasło) w innych
    systemach, nawet jeśli one realizują to prawidłowo i nie przechowują
    haseł użytkowników.

    >> Ale to była tylko taka sobie hipoteza powstała po zauważeniu, że przy
    >> odblokowywaniu dostępu dotychczasowe hasło nie może być użyte.
    >
    > To by mogli zalatwic pamietajac ostatnie hashe.
    >

    Tu nie chodziło o powtórzenie tego samego hasła tylko o wymóg, że hasło
    ma zawierać co najmniej duże litery, małe litery i cyfry, a stare nie
    spełniało go.

    W pewnym sensie takie stare hasło można uznać za bezpieczniejsze. Skoro
    atakujący wie jakie są wymogi dla haseł to atakując nie będzie sprawdzał
    haseł nie spełniających tych wymogów :)
    Tak w ogóle każde wymogi na hasło zmniejszają liczbę możliwych haseł -
    czyli hasła stają się krótsze.
    P.G.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy