eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiZablokowanie dostępu przez www do konta w bankuZablokowanie dostępu przez www do konta w banku
następny post »
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
    From: xbartx <b...@h...net>
    Newsgroups: pl.biznes.banki
    Subject: Zablokowanie dostępu przez www do konta w banku
    Date: Mon, 9 Aug 2010 13:52:12 +0000 (UTC)
    Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
    Lines: 42
    Message-ID: <i3p16c$al5$1@inews.gazeta.pl>
    NNTP-Posting-Host: stallman.rootnode.net
    Mime-Version: 1.0
    Content-Type: text/plain; charset=UTF-8
    Content-Transfer-Encoding: 8bit
    X-Trace: inews.gazeta.pl 1281361932 10917 89.248.165.10 (9 Aug 2010 13:52:12 GMT)
    X-Complaints-To: u...@a...pl
    NNTP-Posting-Date: Mon, 9 Aug 2010 13:52:12 +0000 (UTC)
    X-User: rebahas
    User-Agent: Pan/0.133 (House of Butterflies)
    Xref: news-archive.icm.edu.pl pl.biznes.banki:533668
    [ ukryj nagłówki ]


    Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
    w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
    pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
    naszła mnie taka oto "koncepcja".

    "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
    że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
    Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
    tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
    własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
    jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
    dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
    powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
    sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też
    pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
    mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
    zanim wszystko wróciłoby do normy.
    Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
    ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
    jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
    bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
    popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
    wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
    że jedno IP może się logować na jeden login i później zostanie
    zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
    botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
    nie będzie stanowić to raczej stanowić problemu.
    Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
    https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTC
    HA
    albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
    zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
    to jeszcze jakieś łamigłówki?
    Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
    na tego typu koncepcje?

    Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
    blokował ;)


    --
    xbartx

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy