Re: Odbieranie wiadomości na mikrokontrolerze - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.misc.elektronika › Odbieranie wiadomości na mikrokontrolerze › Re: Odbieranie wiadomości na mikrokontrolerze

Path: news-archive.icm.edu.pl!news.icm.edu.pl!news.chmurka.net!.POSTED.213.192.88.68!
not-for-mail
From: Piotr Gałka <p...@c...pl>
Newsgroups: pl.misc.elektronika
Subject: Re: Odbieranie wiadomości na mikrokontrolerze
Date: Wed, 22 May 2019 11:40:40 +0200
Organization: news.chmurka.net
Message-ID: <qc35em$olp$1$PiotrGalka@news.chmurka.net>
References: <5ce16195$0$522$65785112@news.neostrada.pl>
<f...@g...com>
<5ce4e0be$0$534$65785112@news.neostrada.pl>
<qc31va$mve$1$PiotrGalka@news.chmurka.net>
<5ce5119f$0$543$65785112@news.neostrada.pl>
NNTP-Posting-Host: 213.192.88.68
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 22 May 2019 09:40:38 +0000 (UTC)
Injection-Info: news.chmurka.net; posting-account="PiotrGalka";
posting-host="213.192.88.68"; logging-data="25273";
mail-complaints-to="abuse-news.(at).chmurka.net"
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:60.0) Gecko/20100101
Thunderbird/60.6.1
Content-Language: pl
In-Reply-To: <5ce5119f$0$543$65785112@news.neostrada.pl>
Xref: news-archive.icm.edu.pl pl.misc.elektronika:743274
[ ukryj nagłówki ]

W dniu 2019-05-22 o 11:06, J.F. pisze:
>> Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
>> Jak się loguję do banku po SSL to:
>
> SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
> Wydaje mi sie, ze nie sprawdza.

Certyfikaty muszą być sprawdzone, ale czy to się nazywa, że robi się to
w ramach SSL czy nie to nie mam pojęcia. O SSL wiem tylko tyle że wiem
do czego mniej więcej służy. Nic więcej.

>> między znakami powodują, że jeden znak typowo wnosi (o ile się nie
>> mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile
>> poniżej 128 bitów uważane są za słabe.
>
> Ale czego sie obawiasz - ze ktos wykradnie z banku plik z zaszyfrowanymi
> haslami i zacznie rozkodowywac ?
> Czy, ze ktos zacznie sie logowac na losowe hasla ?

Nie pisałem z myślą o konkretnych obawach tylko tak ogólnie patrząc na
bezpieczeństwo systemów.
Atak słownikowy na hasła może polegać na tym, że ktoś wybiera kolejne
hasło i próbuje się nim zalogować do tysięcy kont klientów. Potem
kolejne itd.

> Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja dostep.

Ograniczenie pasma ataku jest niezbędne gdy dopuszczone są hasła
(klucze) zbyt słabe.

> I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP ktos
> probuje zgadnac haslo.

Wszystko opiera się na zaufaniu, że ktoś tam zrobił wszystko jak trzeba.
Autorzy książki o której pisałem opisywali taki przypadek (oni byli
wynajmowani między innymi do weryfikacji systemów bankowych):
Jakiś programista zrobił z hasłami jak trzeba - solił i wydłużał. Ale
uznał, że czekanie przez użytkownika (to chyba chodziło o logowanie
pracowników banku) 1s na reakcję komputera to za długo więc aby szybko
odpowiedzieć przechowywał CRC32 każdego hasła. Czyli wydłużył je o jakiś
20 bitów po czym skrócił o 32.

>> Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to
wynika z samego SSL, czy zależy od implementacji).

> Ale haslo do banku podajesz juz przez SSL.
> Sama sesja SSL ma jakis klucz szyfrowania, losowy,

Nie wiem jak to dokładnie jest, ale nie chodzi o podsłuchanie tego hasła
w transmisji tylko o ilość wymaganej pracy atakującego przy próbie
odgadnięcia hasła.

> No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna
> identyfikowac konkretna instalacje/telefon.
> Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.

Według mnie aby rozsądnie korzystać z dostępu do banku przez komórkę to
trzeba by mieć drugą do odbierania SMS-ów z kodami jednorazowymi.
P.G.