Re: mBank - zablokowany dostęp - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › mBank - zablokowany dostęp › Re: mBank - zablokowany dostęp

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!3.eu.feeder.erj
e.net!feeder.erje.net!usenet.goja.nl.eu.org!aioe.org!peer03.ams4!peer.am4.highw
inds-media.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-02.news.n
eostrada.pl!unt-spo-a-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mai
l
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: mBank - zablokowany dostęp
References: <rb2jmu$gsi$1$PiotrGalka@news.chmurka.net>
<a...@g...com>
<rb2s3g$lqr$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbb2n0$8os$1$PiotrGalka@news.chmurka.net>
<5ed91c37$0$17363$65785112@news.neostrada.pl>
<rbbbv3$dpp$1$PiotrGalka@news.chmurka.net>
Date: Thu, 04 Jun 2020 21:41:02 +0200
Message-ID: <m...@p...waw.pl>
Cancel-Lock: sha1:8KjgssPVOkFSJ1RQeWcKLxoL6pg=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 63
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 195.187.100.13
X-Trace: 1591299663 unt-rea-a-02.news.neostrada.pl 549 195.187.100.13:27966
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 3753
X-Received-Body-CRC: 2934384030
Xref: news-archive.icm.edu.pl pl.biznes.banki:651714
[ ukryj nagłówki ]
Piotr Gałka <p...@c...pl> writes:

> Ze względów bezpieczeństwa w systemie banku nie powinny być
> przechowywane hasła.

Tak teoretycznie powinno być. Aczkolwiek wyobrażam sobie, że taki wyciek
jest już wystarczającą klęską, nawet jeśli nie da się tych haseł (łatwo)
użyć.

> Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
> podejście jest realizowane przez każdy system logowania.

To, że nie przez każdy, to było raczej jasne od zawsze. Nawet jeśli nie
było to hasło w jawnej postaci - ale w takiej, która umożliwiała
zalogowanie się. Łatwo podać przykłady, i to nie takie wcale niszowe -
choćby (na pewnym etapie) Microsoft, Novell.

> Dlatego
> uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło
> do wszystkich np. sklepów internetowych.

Oj oj oj. To już wniosek zbyt daleko idący. Każdy właściciel sklepu
mógłby się zalogować do banku - raczej nierozsądne.

> A tu przy okazji każdego wycieku danych do logowania (a było ich
> ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
> pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
> zmieniać.
> To nie powinno tak być.

Owszem. Powinno się zmieniać tylko tam, gdzie wykradli. Przecież nie
używamy takich samych haseł w różnych miejscach, nie?

> Klient powinien móc stosować ten sam login i hasło do wszystkich
> systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
> szans zalogowania się za pomocą tych danych do innego systemu.

Nic z tych rzeczy.

> Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika
> byłaby jego klawiatura.

Nie. Hasło tak czy owak musi być przesłane do zdalnego systemu, by ten
mógł je zweryfikować. Np. policzyć hash i porównać z przechowywanym
w bazie. Ale to oznacza, że w pewnym momencie musi znać hasło.
Oczywiście istnieją systemy, gdzie hasło jest np. używane do uzyskania
(lokalnego) dostępu do klucza asymetrycznego, albo jest (znów lokalnie)
używane w jakimś challenge-response, ale to jakby inna bajka.

> Atak na jednego użytkownika nie naruszałby
> bezpieczeństwa pozostałych.

Nie narusza. "Atak" (kradzież) bazy to inna bajka.

> Jak hasła są w systemie to atak na to jedno miejsce narusza
> bezpieczeństwa mnóstwa osób.

To kwestia tego, czy atakujący ma dostęp "tylko do odczytu" (np. może
skopiować bazę, albo nawet ją zmodyfikować), czy też może wprowadzić
zmiany w oprogramowaniu systemu (lub np. śledzić jego wykonywanie).
W tym drugim przypadku może łatwo poznać hasła, hash czy nie hash.
--
Krzysztof Hałasa