Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:rbbbv3$dpp$1$P...@n...chmurka.ne
t...
W dniu 2020-06-04 o 18:07, J.F. pisze:
>>> Stąd (niby irracjonalny) pomysł, że system banku może znać hasło.
>> A dlaczego nie ?

>Ze względów bezpieczeństwa w systemie banku nie powinny być
>przechowywane hasła.
>Jakby się zdarzył wyciek danych do logowania z systemu banku to nie
>byłoby w nich haseł. Te dane nie pozwoliłyby komuś kto wszedł w ich
>posiadanie zalogować się do żadnego konta.

bank musi jakos hasla sprawdzac, wiec jest ryzyko, ze ktos te hasla
wyliczy.

>Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
>podejście jest realizowane przez każdy system logowania. Dlatego
>uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło
>do wszystkich np. sklepów internetowych.
>A tu przy okazji każdego wycieku danych do logowania (a było ich
>ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
>pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
>zmieniać.
>To nie powinno tak być.

>Klient powinien móc stosować ten sam login i hasło do wszystkich
>systemów i wyciek danych z dowolnego z nich nie powinien dawać
>żadnych szans zalogowania się za pomocą tych danych do innego
>systemu.

>Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika
>byłaby jego klawiatura.

a jakis falszywy sklep ? A nawet prawdziwy, ale zalozony przez mafie ?
Czy zgrabna socjotechnika "dzien dobry, dzwonimy z portalu Sudoku na
Codzien, mial pan problem z logowaniem ? Czy moge prosic o uzytkownika
i haslo" ?
Albo zlosliwie - "widzę, ze jest zglaszany bład na piatym znaku
hasła - czy moze pan podać jaki to znak?"

To klient ma dbac, zeby hasla sie nie powtarzaly :-)

>Atak na jednego użytkownika nie naruszałby bezpieczeństwa
>pozostałych.

W zasadzie nie narusza. To tylko we wczesnym unixie kazdy uzytkownik
mogl odczytac hasla wszystkich innych ... ale zaszyfrowane.

>>> Ale to była tylko taka sobie hipoteza powstała po zauważeniu, że
>>> przy odblokowywaniu dostępu dotychczasowe hasło nie może być
>>> użyte.
>
>> To by mogli zalatwic pamietajac ostatnie hashe.
>
>Tu nie chodziło o powtórzenie tego samego hasła tylko o wymóg, że
>hasło ma zawierać co najmniej duże litery, małe litery i cyfry, a
>stare nie spełniało go.

Ale to moga sprawdzac przy wprowadzaniu hasla.
No chyba, ze zablokowali dostep, bo haslo bylo zbyt proste ... czyli
mieli mozliwosc sprawdzenia :-)

Choc pozostaja metody slownikowe - haslo pamietane w postaci
haszowanej jak w unixie,
a oni sprawdzaja milion najpopularniejszych hasel, i blokuja
trafionych uzytkownikow.

>W pewnym sensie takie stare hasło można uznać za bezpieczniejsze.
>Skoro atakujący wie jakie są wymogi dla haseł to atakując nie będzie
>sprawdzał haseł nie spełniających tych wymogów :)
>Tak w ogóle każde wymogi na hasło zmniejszają liczbę możliwych
>haseł - czyli hasła stają się krótsze.

niby tak, ale widac pozostaja wystarczajaco dlugie, a za to zmniejsza
sie mozliwosc trywialnych hasel :-)

swoja droga - Alior. Haslo dlugie, maskowane, ale loguje sie trzema
znakami.

To juz IMO stosunkowo latwo trafic.

Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...


J.