Re: mBank - zablokowany dostęp - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › mBank - zablokowany dostęp › Re: mBank - zablokowany dostęp

Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.chmurka.net!.POSTED.213.192.88.68!
not-for-mail
From: Piotr Gałka <p...@c...pl>
Newsgroups: pl.biznes.banki
Subject: Re: mBank - zablokowany dostęp
Date: Thu, 4 Jun 2020 19:45:11 +0200
Organization: news.chmurka.net
Message-ID: <rbbbv3$dpp$1$PiotrGalka@news.chmurka.net>
References: <rb2jmu$gsi$1$PiotrGalka@news.chmurka.net>
<a...@g...com>
<rb2s3g$lqr$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbb2n0$8os$1$PiotrGalka@news.chmurka.net>
<5ed91c37$0$17363$65785112@news.neostrada.pl>
NNTP-Posting-Host: 213.192.88.68
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 4 Jun 2020 17:45:07 +0000 (UTC)
Injection-Info: news.chmurka.net; posting-account="PiotrGalka";
posting-host="213.192.88.68"; logging-data="14137";
mail-complaints-to="abuse-news.(at).chmurka.net"
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0) Gecko/20100101
Thunderbird/68.8.1
In-Reply-To: <5ed91c37$0$17363$65785112@news.neostrada.pl>
Content-Language: pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:651710
[ ukryj nagłówki ]
W dniu 2020-06-04 o 18:07, J.F. pisze:

>> Stąd (niby irracjonalny) pomysł, że system banku może znać hasło.
>
> A dlaczego nie ?

Ze względów bezpieczeństwa w systemie banku nie powinny być
przechowywane hasła.
Jakby się zdarzył wyciek danych do logowania z systemu banku to nie
byłoby w nich haseł. Te dane nie pozwoliłyby komuś kto wszedł w ich
posiadanie zalogować się do żadnego konta.

Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
podejście jest realizowane przez każdy system logowania. Dlatego
uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło do
wszystkich np. sklepów internetowych.
A tu przy okazji każdego wycieku danych do logowania (a było ich
ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
zmieniać.
To nie powinno tak być.

Klient powinien móc stosować ten sam login i hasło do wszystkich
systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
szans zalogowania się za pomocą tych danych do innego systemu.

Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika byłaby
jego klawiatura. Atak na jednego użytkownika nie naruszałby
bezpieczeństwa pozostałych.
Jak hasła są w systemie to atak na to jedno miejsce narusza
bezpieczeństwa mnóstwa osób.
A co najgorsze wyciek danych z takiego systemu narusza bezpieczeństwo
użytkownika (jeśli stosował (a powinien móc) to samo hasło) w innych
systemach, nawet jeśli one realizują to prawidłowo i nie przechowują
haseł użytkowników.

>> Ale to była tylko taka sobie hipoteza powstała po zauważeniu, że przy
>> odblokowywaniu dostępu dotychczasowe hasło nie może być użyte.
>
> To by mogli zalatwic pamietajac ostatnie hashe.
>

Tu nie chodziło o powtórzenie tego samego hasła tylko o wymóg, że hasło
ma zawierać co najmniej duże litery, małe litery i cyfry, a stare nie
spełniało go.

W pewnym sensie takie stare hasło można uznać za bezpieczniejsze. Skoro
atakujący wie jakie są wymogi dla haseł to atakując nie będzie sprawdzał
haseł nie spełniających tych wymogów :)
Tak w ogóle każde wymogi na hasło zmniejszają liczbę możliwych haseł -
czyli hasła stają się krótsze.
P.G.