eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostępRe: mBank - zablokowany dostęp
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!fu-berlin.de!border1.nntp.ams1.giganews
    .com!nntp.giganews.com!newsfeed.neostrada.pl!unt-exc-01.news.neostrada.pl!unt-s
    po-b-01.news.neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: mBank - zablokowany dostęp
    References: <rb2jmu$gsi$1$PiotrGalka@news.chmurka.net>
    <5ed91c37$0$17363$65785112@news.neostrada.pl>
    <rbbbv3$dpp$1$PiotrGalka@news.chmurka.net> <rbbkam$ha5$1@gioia.aioe.org>
    <rbd72j$jke$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <1wgzmwc2p2rb2.1w4yqapb3eqlv$.dlg@40tude.net> <m...@p...waw.pl>
    <rbleqn$r2f$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rblkij$ug5$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rbnlha$6o1$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rbocsu$kra$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rbvi1k$vn6$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rc2pum$189$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
    <rc7hf1$cb$1$PiotrGalka@news.chmurka.net>
    Date: Mon, 15 Jun 2020 17:03:24 +0200
    Message-ID: <m...@p...waw.pl>
    Cancel-Lock: sha1:bb5jxZiWguC8bKrUqOQGeOU2EQQ=
    MIME-Version: 1.0
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit
    Lines: 78
    Organization: Telekomunikacja Polska
    NNTP-Posting-Host: 195.187.100.13
    X-Trace: 1592233405 unt-rea-a-02.news.neostrada.pl 560 195.187.100.13:9978
    X-Complaints-To: a...@n...neostrada.pl
    Xref: news-archive.icm.edu.pl pl.biznes.banki:651888
    [ ukryj nagłówki ]

    Piotr Gałka <p...@c...pl> writes:

    > Ale z punktu widzenia sklepu to już wygląda inaczej. Wyobraźmy sobie
    > tysiące fikcyjnych zamówień (opłacanych przy odbiorze). Po co hacker
    > miałby to robić - może jest wynajęty przez konkurencyjny sklep.

    No, czyli to co napisałem - żeby go było łatwiej namierzyć.
    Przecież do złożenia fikcyjnych zamówień nie trzeba się nigdzie
    włamywać, wystarczy je po prostu złożyć.

    > Sądzę, że jak oni w tej książce pisali o stosowaniu tego we wszystkich
    > systemach haseł to mieli na myśli:
    > - systemy bankowe,
    > - systemy firmowe.

    A to błąd. Bo to jest potrzebne głównie w:
    - systemach domowych :-)

    W systemach firmowych (w tym bankowych) można to zrobić lepiej.

    >> Ale jak dostanie bazę, to hasło jest mu zbędne.
    >
    > Chyba, że baza jest lepiej zaszyfrowana niż hasła. Albo dostanie bazę
    > tylko haseł, a nie całą. Nie mam zielonego pojęcia jak to jest w
    > serwerach. Czasem pojawiają się informacje, że coś wyciekło, ale
    > wyciekło tylko to i to a do tamtego to się atakującym nie udało
    > uzyskać dostępu.

    No ale można w ciemno założyć, że jeśli wycieknie baza userów, to
    wycieknie wszystko poza ew. numerami kart (bo tych tam zwykle nie ma).
    A jeśli wyciekną też karty, to może przynajmniej bez CVC2 (bo tych nie
    wolno tam trzymać). Zresztą teraz często 3DS, a karty można zastrzec.

    > Nie pamiętam kontekstu tego fragmentu dyskusji.
    > Jak ktoś chce zaatakować system to:
    > - może ukraść laptopa - ale tam nie powinno być hasła do systemu więc
    > nic mu to nie da.

    Kontekst jest taki, że cenne informacje to nie są hasła. I tyle.

    > Ale pamiętam informacje, że wyciekły hasła (kojarzy mi się morele.net
    > i cyfrowe.pl) i użytkownicy, którzy używali tego samego hasła w innych
    > systemach powinni je jak najszybciej zmienić.

    Nie. Nie powinni mieć tego samego hasła. Natomiast zmienić powinni
    wszyscy, którzy używali danych serwisów.

    > Ale nie rozumiem, jak można by zrobić notatnik haseł bez kryptografii.
    > Przecież to nie miałoby sensu. Hasła byłyby w pliku zapisane jawnie.

    Dlaczego nie miałoby to sensu? To zależy od założeń - być może taki
    notatnik miałby być używany tylko w bezpiecznym miejscu.

    > Chyba, że źle się domyślam co to jest notatnik haseł. Ja myslałem o
    > programie, który zapisuje wiele haseł w jednym (dobrze zabezpieczonym)
    > pliku do którego dostęp uzyskuje się poprzez podanie hasła.

    Taki notatnik to raczej urządzenie, które przechowuje hasła w swojej
    pamięci. Jest na tyle proste, że nie odpala się tam "dowolnego" softu,
    i na tyle bezpieczne, że bez zgody usera nie wystawi na zewnątrz żadnych
    niejawnych informacji.

    > Nie rozumiem co chcesz powiedzieć.
    > Klawiatura wyrzuca jawnie właśnie naciśnięty klawisz. No chyba, że
    > masz na myśli jakieś inne rodzaje klawiatur a nie zwykłe podłączone do
    > USB komputera.

    No to moja klawiatura nie "wyrzuca jawnie" naciśniętego klawisza -
    przesyła go tylko względnie tajnym kanałem do (również niezbyt jawnego)
    komputera. Ale gdyby tak można było jej wyjście skierować np. do paska
    przeglądarki, albo np. do treści emaila, w taki sposób, bym tego nie
    widział, to może byłoby to problemem.

    W przypadku klawiatury zwykłego peceta jest to dość oczywiste, ale
    zupełnie inaczej wygląda to wtedy, gdy mamy "klawiaturę" komputera
    (np. czytnik kart), którego ekranu nie widzimy.
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1