-
Data: 2020-06-04 21:41:02
Temat: Re: mBank - zablokowany dostęp
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Piotr Gałka <p...@c...pl> writes:
> Ze względów bezpieczeństwa w systemie banku nie powinny być
> przechowywane hasła.
Tak teoretycznie powinno być. Aczkolwiek wyobrażam sobie, że taki wyciek
jest już wystarczającą klęską, nawet jeśli nie da się tych haseł (łatwo)
użyć.
> Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
> podejście jest realizowane przez każdy system logowania.
To, że nie przez każdy, to było raczej jasne od zawsze. Nawet jeśli nie
było to hasło w jawnej postaci - ale w takiej, która umożliwiała
zalogowanie się. Łatwo podać przykłady, i to nie takie wcale niszowe -
choćby (na pewnym etapie) Microsoft, Novell.
> Dlatego
> uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło
> do wszystkich np. sklepów internetowych.
Oj oj oj. To już wniosek zbyt daleko idący. Każdy właściciel sklepu
mógłby się zalogować do banku - raczej nierozsądne.
> A tu przy okazji każdego wycieku danych do logowania (a było ich
> ostatnio kilka - kojarzy mi się morele i chyba cyfrowe, ale mogę źle
> pamiętać) zaraz się pisze, że hakerzy wykradli hasła i żeby wszędzie
> zmieniać.
> To nie powinno tak być.
Owszem. Powinno się zmieniać tylko tam, gdzie wykradli. Przecież nie
używamy takich samych haseł w różnych miejscach, nie?
> Klient powinien móc stosować ten sam login i hasło do wszystkich
> systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
> szans zalogowania się za pomocą tych danych do innego systemu.
Nic z tych rzeczy.
> Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika
> byłaby jego klawiatura.
Nie. Hasło tak czy owak musi być przesłane do zdalnego systemu, by ten
mógł je zweryfikować. Np. policzyć hash i porównać z przechowywanym
w bazie. Ale to oznacza, że w pewnym momencie musi znać hasło.
Oczywiście istnieją systemy, gdzie hasło jest np. używane do uzyskania
(lokalnego) dostępu do klucza asymetrycznego, albo jest (znów lokalnie)
używane w jakimś challenge-response, ale to jakby inna bajka.
> Atak na jednego użytkownika nie naruszałby
> bezpieczeństwa pozostałych.
Nie narusza. "Atak" (kradzież) bazy to inna bajka.
> Jak hasła są w systemie to atak na to jedno miejsce narusza
> bezpieczeństwa mnóstwa osób.
To kwestia tego, czy atakujący ma dostęp "tylko do odczytu" (np. może
skopiować bazę, albo nawet ją zmodyfikować), czy też może wprowadzić
zmiany w oprogramowaniu systemu (lub np. śledzić jego wykonywanie).
W tym drugim przypadku może łatwo poznać hasła, hash czy nie hash.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 04.06.20 21:49 Krzysztof Halasa
- 04.06.20 22:07 Alf/red/
- 04.06.20 22:21 Krzysztof Halasa
- 04.06.20 22:43 Krzysztof Halasa
- 05.06.20 10:32 Dominik Ałaszewski
- 05.06.20 10:51 J.F.
- 05.06.20 11:07 J.F.
- 05.06.20 12:06 Piotr Gałka
- 05.06.20 12:23 Piotr Gałka
- 05.06.20 12:33 Piotr Gałka
- 05.06.20 12:36 Piotr Gałka
- 05.06.20 12:50 Piotr Gałka
- 05.06.20 13:13 J.F.
- 05.06.20 13:21 J.F.
- 05.06.20 13:40 Piotr Gałka
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem