-
Data: 2020-06-05 12:23:33
Temat: Re: mBank - zablokowany dostęp
Od: Piotr Gałka <p...@c...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2020-06-04 o 21:41, Krzysztof Halasa pisze:
>> Ze względów bezpieczeństwa w systemie banku nie powinny być
>> przechowywane hasła.
>
> Tak teoretycznie powinno być. Aczkolwiek wyobrażam sobie, że taki wyciek
> jest już wystarczającą klęską, nawet jeśli nie da się tych haseł (łatwo)
> użyć.
Owszem, ale zawsze powinno być tak, że nawet jak uważamy, że wszystkie
elementy ssystemu są bezpieczne to złamanie jednego nie powinno dawać
nic względem innych.
>> Zanim pojawiły się hasła maskowane byłem pewien, że takie oczywiste
>> podejście jest realizowane przez każdy system logowania.
>
> To, że nie przez każdy, to było raczej jasne od zawsze. Nawet jeśli nie
> było to hasło w jawnej postaci - ale w takiej, która umożliwiała
> zalogowanie się. Łatwo podać przykłady, i to nie takie wcale niszowe -
> choćby (na pewnym etapie) Microsoft, Novell.
Ja o tym nie wiedziałem. Zakładałem (wiem - naiwnie), że wszystko jest
robione prawidłowo.
>> Dlatego
>> uważałem, że nie ma żadnych przeciwwskazań aby stoswać to samo hasło
>> do wszystkich np. sklepów internetowych.
>
> Oj oj oj. To już wniosek zbyt daleko idący. Każdy właściciel sklepu
> mógłby się zalogować do banku - raczej nierozsądne.
Pisałem tylko o jednakowym haśle do sklepów, nie banków.
Poza tym moje założenie (nie znam się na internecie) było takie, że to
przeglądarki jak są w trybie z kłódeczką to wymuszają logowanie w taki
sposób, że hasło jest hashowane (z loginem i solą) na miejscu i hasło
nie wychodzi poza mój komputer. Tak między innymi rozumiałem znaczenie
tej kłódeczki - że jestem w bezpiecznym połączeniu i przeglądarka tego
pilnuje, że jest ono bezpieczne między innymi nie dopuszczając do
wycieku mojego hasła.
Zakładałem, że jak ktoś definiował protokół dla bezpiecznego połączenia
dającego prawo wyświetlenia kłódeczki to o to zadbał.
> Owszem. Powinno się zmieniać tylko tam, gdzie wykradli. Przecież nie
> używamy takich samych haseł w różnych miejscach, nie?
Chyba jesteś naiwny :)
>> Klient powinien móc stosować ten sam login i hasło do wszystkich
>> systemów i wyciek danych z dowolnego z nich nie powinien dawać żadnych
>> szans zalogowania się za pomocą tych danych do innego systemu.
>
> Nic z tych rzeczy.
Ja podtrzymuję, że powinien móc i świat powinien być tak zorganizowany,
że jest to w sumie bezpieczne.
>> Jedynym miejscem, gdzie atakujący mógłby poznać hasło użytkownika
>> byłaby jego klawiatura.
>
> Nie. Hasło tak czy owak musi być przesłane do zdalnego systemu,
Według mnie nie.
> by ten
> mógł je zweryfikować. Np. policzyć hash i porównać z przechowywanym
> w bazie.
Hash powinien być liczony w komputerze użytkownika.
> To kwestia tego, czy atakujący ma dostęp "tylko do odczytu" (np. może
> skopiować bazę, albo nawet ją zmodyfikować), czy też może wprowadzić
> zmiany w oprogramowaniu systemu (lub np. śledzić jego wykonywanie).
> W tym drugim przypadku może łatwo poznać hasła, hash czy nie hash.
Hash powinien być liczony w komputerze użytkownika. Hasło nigdy nie
powinno być przesyłane do serwera.
Takie jest moje zdanie i ja się z nim zgadzam :)
P.G.
Następne wpisy z tego wątku
- 05.06.20 12:33 Piotr Gałka
- 05.06.20 12:36 Piotr Gałka
- 05.06.20 12:50 Piotr Gałka
- 05.06.20 13:13 J.F.
- 05.06.20 13:21 J.F.
- 05.06.20 13:40 Piotr Gałka
- 05.06.20 13:44 Piotr Gałka
- 05.06.20 13:53 Kamil Jońca
- 05.06.20 14:33 J.F.
- 05.06.20 14:37 J.F.
- 05.06.20 15:38 Piotr Gałka
- 05.06.20 15:41 Piotr Gałka
- 05.06.20 15:48 Kamil Jońca
- 05.06.20 15:49 Piotr Gałka
- 05.06.20 16:33 J.F.
Najnowsze wątki z tej grupy
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
Najnowsze wątki
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa