-
Data: 2020-06-04 19:45:11
Temat: Re: mBank - zablokowany dostęp
Od: Piotr Gałka <p...@c...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2020-06-04 o 18:07, J.F. pisze:
>> Stąd (niby irracjonalny) pomysł, że system banku może znać hasło.
>
> A dlaczego nie ?
Ze względów bezpieczeństwa w systemie banku nie powinny być
przechowywane hasła.
Jakby się zdarzył wyciek danych do logowania z systemu banku to nie
byłoby w nich haseł. Te dane nie pozwoliłyby komuś kto wszedł w ich
posiadanie zalogować się do żadnego konta.
Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
podejście jest realizowane przez każdy system logowania. Dlatego
uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło do
wszystkich np. sklepów internetowych.
A tu przy okazji każdego wycieku danych do logowania (a było ich
ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
zmieniać.
To nie powinno tak być.
Klient powinien móc stosować ten sam login i hasło do wszystkich
systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
szans zalogowania się za pomocą tych danych do innego systemu.
Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika byłaby
jego klawiatura. Atak na jednego użytkownika nie naruszałby
bezpieczeństwa pozostałych.
Jak hasła są w systemie to atak na to jedno miejsce narusza
bezpieczeństwa mnóstwa osób.
A co najgorsze wyciek danych z takiego systemu narusza bezpieczeństwo
użytkownika (jeśli stosował (a powinien móc) to samo hasło) w innych
systemach, nawet jeśli one realizują to prawidłowo i nie przechowują
haseł użytkowników.
>> Ale to była tylko taka sobie hipoteza powstała po zauważeniu, że przy
>> odblokowywaniu dostępu dotychczasowe hasło nie może być użyte.
>
> To by mogli zalatwic pamietajac ostatnie hashe.
>
Tu nie chodziło o powtórzenie tego samego hasła tylko o wymóg, że hasło
ma zawierać co najmniej duże litery, małe litery i cyfry, a stare nie
spełniało go.
W pewnym sensie takie stare hasło można uznać za bezpieczniejsze. Skoro
atakujący wie jakie są wymogi dla haseł to atakując nie będzie sprawdzał
haseł nie spełniających tych wymogów :)
Tak w ogóle każde wymogi na hasło zmniejszają liczbę możliwych haseł -
czyli hasła stają się krótsze.
P.G.
Następne wpisy z tego wątku
- 04.06.20 20:39 J.F.
- 04.06.20 21:26 Krzysztof Halasa
- 04.06.20 21:30 J.F.
- 04.06.20 21:41 Krzysztof Halasa
- 04.06.20 21:49 Krzysztof Halasa
- 04.06.20 22:07 Alf/red/
- 04.06.20 22:21 Krzysztof Halasa
- 04.06.20 22:43 Krzysztof Halasa
- 05.06.20 10:32 Dominik Ałaszewski
- 05.06.20 10:51 J.F.
- 05.06.20 11:07 J.F.
- 05.06.20 12:06 Piotr Gałka
- 05.06.20 12:23 Piotr Gałka
- 05.06.20 12:33 Piotr Gałka
- 05.06.20 12:36 Piotr Gałka
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem