Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
naszła mnie taka oto "koncepcja".

"Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też
pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
zanim wszystko wróciłoby do normy.
Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
że jedno IP może się logować na jeden login i później zostanie
zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
nie będzie stanowić to raczej stanowić problemu.
Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTC
HA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
na tego typu koncepcje?

Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
blokował ;)


--
xbartx

do góry

xbartx pisze:


> Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
> blokował ;)


Ja też sobie zablokowałem, choć złego hasła nie podałem, więc ktoś
musiał mi zablokować wcześniej.

Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka
tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i
taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się
bieżącym monitorowaniem swojego ruchu na stronie.

Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o
wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą
kilkuprocentową.



--
Liwiusz

do góry

xbartx wrote:
> Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
> w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
> pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
> naszła mnie taka oto "koncepcja".
>
> "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
> że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
> Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
> tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
> własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
> jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
> dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
> powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
> sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też
> pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
> mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
> zanim wszystko wróciłoby do normy.
> Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
> ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
> jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
> bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
> popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
> wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
> że jedno IP może się logować na jeden login i później zostanie
> zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
> botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
> nie będzie stanowić to raczej stanowić problemu.
> Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
> https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTC
HA
> albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
> zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
> to jeszcze jakieś łamigłówki?
> Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
> na tego typu koncepcje?
>
> Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
> blokował ;)
>
>
jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było
potrzeby sie zastanawiac.

U mnie w banku jest tak, że login jest mój własny
o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu.
Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi
jako DOS niz blokowanie kont.

do góry

Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):

> U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
> nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
> botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
> niz blokowanie kont.

No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
zobaczymy coś takiego.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

Dnia Mon, 09 Aug 2010 16:03:41 +0200, Liwiusz napisał(a):

> Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka
> tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i
> taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się
> bieżącym monitorowaniem swojego ruchu na stronie.
>
> Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o
> wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą
> kilkuprocentową.

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
komputerów. Do tego większość z nich to komputery z dynamicznie się
zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że
można by osiągnąć zamierzone cele.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

xbartx pisze:

> Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
> komputerów. Do tego większość z nich to komputery z dynamicznie się
> zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
> wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
> infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że
> można by osiągnąć zamierzone cele.


Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne
hasło? I co dalej?


--
Liwiusz

do góry

On 9 Sie, 15:52, xbartx <b...@h...net> wrote:

[ciach]
> Zabezpieczeniem wydaje się tutaj coś w rodzaj
captchahttps://secure.wikimedia.org/wikipedia/pl/wik
i/CAPTCHA
> albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
> zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
> to jeszcze jakieś łamigłówki?
> Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
> na tego typu koncepcje?
[ciach]


Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
haslo, haslo z tokena.


Pozdrawiam
Rafal

do góry

W dniu 2010-08-09 19:15, Rafal M pisze:
> Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
> haslo, haslo z tokena.

I jak wpiszesz 3 razy źle bez tokena to blokada.

--
Raf

do góry

"Liwiusz" <l...@b...tego.poczta.onet.pl> wrote in message
news:i3pbn4$1n2$1@news.onet.pl...
> xbartx pisze:
>
>> Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
>> komputerów. Do tego większość z nich to komputery z dynamicznie się
>> zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie
>> na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku,
>> ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć
>> zamierzone cele.
>
>
> Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne hasło? I
> co dalej?

no on przeciez pisze o calkowitym sparalizowaniu dostepu przez internet

do góry

xbartx wrote:
> Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
>
>> U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
>> nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
>> botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
>> niz blokowanie kont.
>
> No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
> jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
> zobaczymy coś takiego.
>
>

pekao24.pl

do góry