-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.chmurka.net!.POSTED.213.192.88.68!
not-for-mail
From: Piotr Gałka <p...@c...pl>
Newsgroups: pl.misc.elektronika
Subject: Re: Odbieranie wiadomości na mikrokontrolerze
Date: Wed, 22 May 2019 11:40:40 +0200
Organization: news.chmurka.net
Message-ID: <qc35em$olp$1$PiotrGalka@news.chmurka.net>
References: <5ce16195$0$522$65785112@news.neostrada.pl>
<f...@g...com>
<5ce4e0be$0$534$65785112@news.neostrada.pl>
<qc31va$mve$1$PiotrGalka@news.chmurka.net>
<5ce5119f$0$543$65785112@news.neostrada.pl>
NNTP-Posting-Host: 213.192.88.68
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 22 May 2019 09:40:38 +0000 (UTC)
Injection-Info: news.chmurka.net; posting-account="PiotrGalka";
posting-host="213.192.88.68"; logging-data="25273";
mail-complaints-to="abuse-news.(at).chmurka.net"
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:60.0) Gecko/20100101
Thunderbird/60.6.1
Content-Language: pl
In-Reply-To: <5ce5119f$0$543$65785112@news.neostrada.pl>
Xref: news-archive.icm.edu.pl pl.misc.elektronika:743274
[ ukryj nagłówki ]W dniu 2019-05-22 o 11:06, J.F. pisze:
>> Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
>> Jak się loguję do banku po SSL to:
>
> SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
> Wydaje mi sie, ze nie sprawdza.
Certyfikaty muszą być sprawdzone, ale czy to się nazywa, że robi się to
w ramach SSL czy nie to nie mam pojęcia. O SSL wiem tylko tyle że wiem
do czego mniej więcej służy. Nic więcej.
>> między znakami powodują, że jeden znak typowo wnosi (o ile się nie
>> mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile
>> poniżej 128 bitów uważane są za słabe.
>
> Ale czego sie obawiasz - ze ktos wykradnie z banku plik z zaszyfrowanymi
> haslami i zacznie rozkodowywac ?
> Czy, ze ktos zacznie sie logowac na losowe hasla ?
Nie pisałem z myślą o konkretnych obawach tylko tak ogólnie patrząc na
bezpieczeństwo systemów.
Atak słownikowy na hasła może polegać na tym, że ktoś wybiera kolejne
hasło i próbuje się nim zalogować do tysięcy kont klientów. Potem
kolejne itd.
> Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja dostep.
Ograniczenie pasma ataku jest niezbędne gdy dopuszczone są hasła
(klucze) zbyt słabe.
> I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP ktos
> probuje zgadnac haslo.
Wszystko opiera się na zaufaniu, że ktoś tam zrobił wszystko jak trzeba.
Autorzy książki o której pisałem opisywali taki przypadek (oni byli
wynajmowani między innymi do weryfikacji systemów bankowych):
Jakiś programista zrobił z hasłami jak trzeba - solił i wydłużał. Ale
uznał, że czekanie przez użytkownika (to chyba chodziło o logowanie
pracowników banku) 1s na reakcję komputera to za długo więc aby szybko
odpowiedzieć przechowywał CRC32 każdego hasła. Czyli wydłużył je o jakiś
20 bitów po czym skrócił o 32.
>> Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to
wynika z samego SSL, czy zależy od implementacji).
> Ale haslo do banku podajesz juz przez SSL.
> Sama sesja SSL ma jakis klucz szyfrowania, losowy,
Nie wiem jak to dokładnie jest, ale nie chodzi o podsłuchanie tego hasła
w transmisji tylko o ilość wymaganej pracy atakującego przy próbie
odgadnięcia hasła.
> No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna
> identyfikowac konkretna instalacje/telefon.
> Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.
Według mnie aby rozsądnie korzystać z dostępu do banku przez komórkę to
trzeba by mieć drugą do odbierania SMS-ów z kodami jednorazowymi.
P.G.
Następne wpisy z tego wątku
- 22.05.19 12:54 Piotr Gałka
- 22.05.19 15:32 s...@g...com
- 23.05.19 13:32 SW3
- 23.05.19 14:18 Piotr Gałka
- 23.05.19 14:43 Zbych
- 23.05.19 14:53 Dariusz Dorochowicz
- 23.05.19 15:16 Piotr Gałka
- 23.05.19 15:29 Piotr Gałka
- 23.05.19 15:34 Mateusz Viste
- 23.05.19 15:42 Grzegorz Niemirowski
- 23.05.19 17:22 SW3
- 23.05.19 18:11 Piotr Gałka
- 23.05.19 18:24 Piotr Gałka
- 23.05.19 18:28 Grzegorz Niemirowski
- 24.05.19 12:52 J.F.
Najnowsze wątki z tej grupy
- supercap
- Procesor NMOS i karta CF
- Jak sprawdzic uC
- radyjko znalazłem
- Telewizor przestał widzieć sygnał z anteny
- LED
- System operacyjny dla 6800?
- Przyłączenie działki do sieci elektrycznej
- Działalność nierejestrowana/definicja sprzętu elektronicznego/misie i kolejki
- Smukły, długi ściągacz izolacji do kynaru
- rezystor 3 omy 400W
- [newbie] Jaki multimetr za 2-4 stówy?
- szafka sieciowa
- Raspberry Pi 5 + dyski SATA
- lutownica na węgiel
Najnowsze wątki
- 2024-05-26 O co chodzi?
- 2024-05-26 PJ autobus-tramwaj
- 2024-05-26 Renault Trafic i lampka z czerwonym STOP
- 2024-05-26 cena pięciocyfrowa
- 2024-05-26 Re: Jak dobra KE "okrada" złą Rosję "dla Ukrainy"
- 2024-05-25 supercap
- 2024-05-25 Sulzbach => Technischer Rollouter (d/m/w) <=
- 2024-05-25 Warszawa => Senior Account Manager <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Interactive/Experience Designer <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Re: znów ten wrocław