-
Data: 2020-06-04 19:45:11
Temat: Re: mBank - zablokowany dostęp
Od: Piotr Gałka <p...@c...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2020-06-04 o 18:07, J.F. pisze:
>> Stąd (niby irracjonalny) pomysł, że system banku może znać hasło.
>
> A dlaczego nie ?
Ze względów bezpieczeństwa w systemie banku nie powinny być
przechowywane hasła.
Jakby się zdarzył wyciek danych do logowania z systemu banku to nie
byłoby w nich haseł. Te dane nie pozwoliłyby komuś kto wszedł w ich
posiadanie zalogować się do żadnego konta.
Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
podejście jest realizowane przez każdy system logowania. Dlatego
uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło do
wszystkich np. sklepów internetowych.
A tu przy okazji każdego wycieku danych do logowania (a było ich
ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
zmieniać.
To nie powinno tak być.
Klient powinien móc stosować ten sam login i hasło do wszystkich
systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
szans zalogowania się za pomocą tych danych do innego systemu.
Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika byłaby
jego klawiatura. Atak na jednego użytkownika nie naruszałby
bezpieczeństwa pozostałych.
Jak hasła są w systemie to atak na to jedno miejsce narusza
bezpieczeństwa mnóstwa osób.
A co najgorsze wyciek danych z takiego systemu narusza bezpieczeństwo
użytkownika (jeśli stosował (a powinien móc) to samo hasło) w innych
systemach, nawet jeśli one realizują to prawidłowo i nie przechowują
haseł użytkowników.
>> Ale to była tylko taka sobie hipoteza powstała po zauważeniu, że przy
>> odblokowywaniu dostępu dotychczasowe hasło nie może być użyte.
>
> To by mogli zalatwic pamietajac ostatnie hashe.
>
Tu nie chodziło o powtórzenie tego samego hasła tylko o wymóg, że hasło
ma zawierać co najmniej duże litery, małe litery i cyfry, a stare nie
spełniało go.
W pewnym sensie takie stare hasło można uznać za bezpieczniejsze. Skoro
atakujący wie jakie są wymogi dla haseł to atakując nie będzie sprawdzał
haseł nie spełniających tych wymogów :)
Tak w ogóle każde wymogi na hasło zmniejszają liczbę możliwych haseł -
czyli hasła stają się krótsze.
P.G.
Następne wpisy z tego wątku
- 04.06.20 20:39 J.F.
- 04.06.20 21:26 Krzysztof Halasa
- 04.06.20 21:30 J.F.
- 04.06.20 21:41 Krzysztof Halasa
- 04.06.20 21:49 Krzysztof Halasa
- 04.06.20 22:07 Alf/red/
- 04.06.20 22:21 Krzysztof Halasa
- 04.06.20 22:43 Krzysztof Halasa
- 05.06.20 10:32 Dominik Ałaszewski
- 05.06.20 10:51 J.F.
- 05.06.20 11:07 J.F.
- 05.06.20 12:06 Piotr Gałka
- 05.06.20 12:23 Piotr Gałka
- 05.06.20 12:33 Piotr Gałka
- 05.06.20 12:36 Piotr Gałka
Najnowsze wątki z tej grupy
- cashback
- Zmienny cvv
- Aktualizacja daty ważności kart?
- W jakim banku rachunek oszczędnościowy?
- Karty mBąka.
- Polskie złoto na uchodźstwie
- Citi -- rozwód
- limit 800zł z Euronetu
- Koniec swiata
- Allegro
- Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- silna zlotowka
- oszołomy paranoidalne
- Citi --> Velo
Najnowsze wątki
- 2025-07-21 cashback
- 2025-07-15 Zmienny cvv
- 2025-07-14 Aktualizacja daty ważności kart?
- 2025-07-09 W jakim banku rachunek oszczędnościowy?
- 2025-06-26 Karty mBąka.
- 2025-06-25 Polskie złoto na uchodźstwie
- 2025-06-17 Citi -- rozwód
- 2025-06-13 limit 800zł z Euronetu
- 2025-06-10 Koniec swiata
- 2025-06-10 Allegro
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-03 Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- 2025-06-02 silna zlotowka
- 2025-05-29 oszołomy paranoidalne