eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostępRe: mBank - zablokowany dostęp
  • Data: 2020-06-14 00:06:11
    Temat: Re: mBank - zablokowany dostęp
    Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Piotr Gałka <p...@c...pl> writes:

    > Ale ta kwestia straconej sekundy w czasie logowania dotyczy każdego
    > usera indywidualnie i czasu obliczeniowego na jego komputerze a nie
    > czasu serwera.

    No ale pisałeś że w każdej sytuacji - a więc też na serwerze.
    Rozumiem że masz na myśli sytuację tylko teoretyczną?
    Jeśli tak, to naprawdę ta rada z notatnikiem jest dla Ciebie.

    > Im więcej userów tym większa szansa, że się ktoś zainteresuje atakiem
    > na taki system.

    Nie wątpię nawet przez chwilę.

    > To jest logiczne.
    > Wychodziło by, że wydłużanie haseł cokolwiek da tylko wtedy, gdy
    > rozważamy, sytuację, że baza danych wyciekła i o tym nie wiemy, a
    > celem atakującego jest uzyskanie dostępu do kont klientów.
    > Nie może robić wielu prób logowania bo system zareaguje blokadą kont,
    > ale jakby poznał hasła....

    A po co mu dostęp do kont klientów?
    No bo w banku to rozumiem. Ale w sklepie? Zakładając, że już wszystko
    o nich wie oczywiście. Chodzi o to, by łatwiej było go namierzyć po IP?
    Nie mówię że na pewno nie może być żadnego powodu - ale w tej chwili nie
    widzę żadnego praktycznego.

    > Ale zazwyczaj klient ma dostęp do swoich danych. Więc jak ktoś pozna
    > hasło to też ma dostęp do tych danych.

    Ale jak dostanie bazę, to hasło jest mu zbędne.

    > Ale czy takie wycieki nie zdarzają się przez to, że ktoś uzyskał
    > dostęp jako jeden z ważnych userów - w sensie poznał jego hasło
    > (zakładając, że login jest jawny).

    Co za różnica czy ktoś zgubił laptopa czy może ktoś inny znalazł dziurę
    w jakimś serwisie?

    > Jeżeli system umożliwiał wykonanie tylko kilku prób (dziennie)
    > domniemanych haseł to faktycznie wydłużanie nic nie daje.

    Rozumiem jeszcze zagrożenie wynikające z używania jednego hasła do
    różnych (niezwiązanych ze sobą) systemów, ale naprawdę myślisz, że ktoś
    mógł łamać hasło w ten sposób? No bez przesady.
    Tzn. oczywiście takie ataki są przeprowadzane cały czas, mimo że systemy
    umożliwiają wykonanie dość ograniczonej w czasie liczby prób (raczej nie
    tylko kilku dziennie).

    > Domyślam się co to są notatniki haseł - miałem zamiar sobie samemu coś
    > takiego napisać.

    Tego akurat nie sugerowałem - chociaż oczywiście można to zrobić bez
    żadnej kryptografii. Ale lepiej dokładnie wiedzieć co się robi,
    i w szczególności ustalić założenia.

    > Można by wypisywać nie numer karty a jakieś dane zapisane na karcie
    > krypto, ale na razie nie było takich pytań. Chyba słusznie, bo to
    > raczej nie ma sensu, aby tajne dane dobrze ukryte na karcie wyrzucać
    > jawnie jak klawiatura :)

    Klawiatura nie "wyrzuca jawnie danych" - w przeciwnym przypadku hasła
    byłyby bezużyteczne. Problemem jest to, że takie urządzenie nie wie, czy
    to jest akurat dobry moment na wysłanie danych.
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1