-
Data: 2020-06-14 00:06:11
Temat: Re: mBank - zablokowany dostęp
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Piotr Gałka <p...@c...pl> writes:
> Ale ta kwestia straconej sekundy w czasie logowania dotyczy każdego
> usera indywidualnie i czasu obliczeniowego na jego komputerze a nie
> czasu serwera.
No ale pisałeś że w każdej sytuacji - a więc też na serwerze.
Rozumiem że masz na myśli sytuację tylko teoretyczną?
Jeśli tak, to naprawdę ta rada z notatnikiem jest dla Ciebie.
> Im więcej userów tym większa szansa, że się ktoś zainteresuje atakiem
> na taki system.
Nie wątpię nawet przez chwilę.
> To jest logiczne.
> Wychodziło by, że wydłużanie haseł cokolwiek da tylko wtedy, gdy
> rozważamy, sytuację, że baza danych wyciekła i o tym nie wiemy, a
> celem atakującego jest uzyskanie dostępu do kont klientów.
> Nie może robić wielu prób logowania bo system zareaguje blokadą kont,
> ale jakby poznał hasła....
A po co mu dostęp do kont klientów?
No bo w banku to rozumiem. Ale w sklepie? Zakładając, że już wszystko
o nich wie oczywiście. Chodzi o to, by łatwiej było go namierzyć po IP?
Nie mówię że na pewno nie może być żadnego powodu - ale w tej chwili nie
widzę żadnego praktycznego.
> Ale zazwyczaj klient ma dostęp do swoich danych. Więc jak ktoś pozna
> hasło to też ma dostęp do tych danych.
Ale jak dostanie bazę, to hasło jest mu zbędne.
> Ale czy takie wycieki nie zdarzają się przez to, że ktoś uzyskał
> dostęp jako jeden z ważnych userów - w sensie poznał jego hasło
> (zakładając, że login jest jawny).
Co za różnica czy ktoś zgubił laptopa czy może ktoś inny znalazł dziurę
w jakimś serwisie?
> Jeżeli system umożliwiał wykonanie tylko kilku prób (dziennie)
> domniemanych haseł to faktycznie wydłużanie nic nie daje.
Rozumiem jeszcze zagrożenie wynikające z używania jednego hasła do
różnych (niezwiązanych ze sobą) systemów, ale naprawdę myślisz, że ktoś
mógł łamać hasło w ten sposób? No bez przesady.
Tzn. oczywiście takie ataki są przeprowadzane cały czas, mimo że systemy
umożliwiają wykonanie dość ograniczonej w czasie liczby prób (raczej nie
tylko kilku dziennie).
> Domyślam się co to są notatniki haseł - miałem zamiar sobie samemu coś
> takiego napisać.
Tego akurat nie sugerowałem - chociaż oczywiście można to zrobić bez
żadnej kryptografii. Ale lepiej dokładnie wiedzieć co się robi,
i w szczególności ustalić założenia.
> Można by wypisywać nie numer karty a jakieś dane zapisane na karcie
> krypto, ale na razie nie było takich pytań. Chyba słusznie, bo to
> raczej nie ma sensu, aby tajne dane dobrze ukryte na karcie wyrzucać
> jawnie jak klawiatura :)
Klawiatura nie "wyrzuca jawnie danych" - w przeciwnym przypadku hasła
byłyby bezużyteczne. Problemem jest to, że takie urządzenie nie wie, czy
to jest akurat dobry moment na wysłanie danych.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 14.06.20 16:44 ąćęłńóśźż
- 15.06.20 12:10 Piotr Gałka
- 15.06.20 17:03 Krzysztof Halasa
- 15.06.20 18:11 Piotr Gałka
- 16.06.20 16:37 Krzysztof Halasa
- 17.06.20 11:09 Piotr Gałka
- 20.06.20 15:10 Krzysztof Halasa
- 22.06.20 14:06 Piotr Gałka
- 22.06.20 14:36 J.F.
- 22.06.20 16:18 Piotr Gałka
- 22.06.20 16:43 J.F.
- 22.06.20 17:08 Piotr Gałka
- 22.06.20 17:32 Krzysztof Halasa
- 22.06.20 17:37 Krzysztof Halasa
- 22.06.20 17:38 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Co nalezy do Cinkciarza, a co do Conotoxia ?
- jak tacy debile
- Konto wspólne w N26.
- Bank z archaicznym uwierzytelnianiem.
- Re: Akumulatorki...
- Usiłuję zapłacić za energetyzację...
- w Polsce jest kryzys
- mBank mKsiegowosc
- gotówkowe zjeby
- Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- Jutro to dziś...
- leć gołombeczku
- PUE ZUS -- administracyjna nuda...
- Prawdziwy/fałszywy bank
- Velo dał mi bezpłatny debet...
Najnowsze wątki
- 2024-12-23 Co nalezy do Cinkciarza, a co do Conotoxia ?
- 2024-12-21 jak tacy debile
- 2024-12-13 Konto wspólne w N26.
- 2024-12-09 Bank z archaicznym uwierzytelnianiem.
- 2024-12-04 Re: Akumulatorki...
- 2024-12-03 Usiłuję zapłacić za energetyzację...
- 2024-11-13 w Polsce jest kryzys
- 2024-11-12 mBank mKsiegowosc
- 2024-11-06 gotówkowe zjeby
- 2024-11-01 Mamy WZROST! O 50% wzrosła ilość kredytów gotówkowych
- 2024-11-01 Jutro to dziś...
- 2024-10-22 leć gołombeczku
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-15 Prawdziwy/fałszywy bank
- 2024-10-13 Velo dał mi bezpłatny debet...