W dniu 2020-06-14 o 00:06, Krzysztof Halasa pisze:

>> To jest logiczne.
>> Wychodziło by, że wydłużanie haseł cokolwiek da tylko wtedy, gdy
>> rozważamy, sytuację, że baza danych wyciekła i o tym nie wiemy, a
>> celem atakującego jest uzyskanie dostępu do kont klientów.
>> Nie może robić wielu prób logowania bo system zareaguje blokadą kont,
>> ale jakby poznał hasła....
>
> A po co mu dostęp do kont klientów?
> No bo w banku to rozumiem. Ale w sklepie? Zakładając, że już wszystko
> o nich wie oczywiście. Chodzi o to, by łatwiej było go namierzyć po IP?
> Nie mówię że na pewno nie może być żadnego powodu - ale w tej chwili nie
> widzę żadnego praktycznego.

Z punktu widzenia użytkownika sklepu też nie widzę co miałby dać
atakującemu dostęp do kont klientów. Dlatego ochronę swoich kont w
sklepach nie uważałem, za jakoś nadzwyczaj ważną i do sklepów miałem
jedno hasło.
Ale z punktu widzenia sklepu to już wygląda inaczej. Wyobraźmy sobie
tysiące fikcyjnych zamówień (opłacanych przy odbiorze). Po co hacker
miałby to robić - może jest wynajęty przez konkurencyjny sklep.

Sądzę, że jak oni w tej książce pisali o stosowaniu tego we wszystkich
systemach haseł to mieli na myśli:
- systemy bankowe,
- systemy firmowe.

Zapewne sklepy nie zgłaszały się do nich ze zleceniami kontroli
bezpieczeństwa ich serwerów, a poza tym chyba wtedy sklepy jeszcze nie
były tak popularne jak obecnie.
A firmie tak jak bankowi powinno zależeć, aby ktoś się nie zalogował i
nie pobrał sobie np. dokumentacji najnowszego drona bojowego.

>> Ale zazwyczaj klient ma dostęp do swoich danych. Więc jak ktoś pozna
>> hasło to też ma dostęp do tych danych.
>
> Ale jak dostanie bazę, to hasło jest mu zbędne.

Chyba, że baza jest lepiej zaszyfrowana niż hasła. Albo dostanie bazę
tylko haseł, a nie całą. Nie mam zielonego pojęcia jak to jest w
serwerach. Czasem pojawiają się informacje, że coś wyciekło, ale
wyciekło tylko to i to a do tamtego to się atakującym nie udało uzyskać
dostępu.

>> Ale czy takie wycieki nie zdarzają się przez to, że ktoś uzyskał
>> dostęp jako jeden z ważnych userów - w sensie poznał jego hasło
>> (zakładając, że login jest jawny).
>
> Co za różnica czy ktoś zgubił laptopa czy może ktoś inny znalazł dziurę
> w jakimś serwisie?

Nie pamiętam kontekstu tego fragmentu dyskusji.
Jak ktoś chce zaatakować system to:
- może ukraść laptopa - ale tam nie powinno być hasła do systemu więc
nic mu to nie da.
- może szukać dziury w systemie - i o tym chyba rozmawiamy.

>> Jeżeli system umożliwiał wykonanie tylko kilku prób (dziennie)
>> domniemanych haseł to faktycznie wydłużanie nic nie daje.
>
> Rozumiem jeszcze zagrożenie wynikające z używania jednego hasła do
> różnych (niezwiązanych ze sobą) systemów, ale naprawdę myślisz, że ktoś
> mógł łamać hasło w ten sposób? No bez przesady.

Nie rozumiem słowa 'łamać' w kontekście tego samego hasła w różnych
systemach.
Ale pamiętam informacje, że wyciekły hasła (kojarzy mi się morele.net i
cyfrowe.pl) i użytkownicy, którzy używali tego samego hasła w innych
systemach powinni je jak najszybciej zmienić.
Ja używałem tego samego, ale tylko do sklepów i na zasadzie, że nie
widzimy zagrożenia dla usera wynikającego z zalogowania się przez kogoś
do sklepu nie chciało mi się zmieniać. Jaka jest teraz sytuacja - ktoś,
kto ma te hasła może zapewne się w wielu sklepach zalogować na wiele
kont - to jest potencjalne zagrożenie dla tych wszystkich innych sklepów
spowodowane według mnie przez to, że 'wyciekły hasła'. Zagrożenia by nie
było, gdyby wyciekły wydłużone i posolone hasła.
Dlatego uważałem, że wszyscy mają w bazie tylko posolone i wydłużone
hasła i się zdziwiłem, że nie.

Skojarzyło mi się zagrożenie dla usera. W takich sklepach jak allegro
ktoś logujące się jako użytkownik, może chyba poprzez jakieś wystawiane
opinie itp narobić smrodu użytkownikowi.

>> Domyślam się co to są notatniki haseł - miałem zamiar sobie samemu coś
>> takiego napisać.
>
> Tego akurat nie sugerowałem - chociaż oczywiście można to zrobić bez
> żadnej kryptografii. Ale lepiej dokładnie wiedzieć co się robi,
> i w szczególności ustalić założenia.

Wiem, że nie sugerowałeś, ale mi po prostu od lat chodzi to po głowie.
Jak coś potrafię zrobić sam to lubię to zrobić traktując to jako formę
uczenia się.
Ale nie rozumiem, jak można by zrobić notatnik haseł bez kryptografii.
Przecież to nie miałoby sensu. Hasła byłyby w pliku zapisane jawnie.
Chyba, że źle się domyślam co to jest notatnik haseł. Ja myslałem o
programie, który zapisuje wiele haseł w jednym (dobrze zabezpieczonym)
pliku do którego dostęp uzyskuje się poprzez podanie hasła.

>> Można by wypisywać nie numer karty a jakieś dane zapisane na karcie
>> krypto, ale na razie nie było takich pytań. Chyba słusznie, bo to
>> raczej nie ma sensu, aby tajne dane dobrze ukryte na karcie wyrzucać
>> jawnie jak klawiatura :)
>
> Klawiatura nie "wyrzuca jawnie danych" - w przeciwnym przypadku hasła
> byłyby bezużyteczne. Problemem jest to, że takie urządzenie nie wie, czy
> to jest akurat dobry moment na wysłanie danych.
Nie rozumiem co chcesz powiedzieć.
Klawiatura wyrzuca jawnie właśnie naciśnięty klawisz. No chyba, że masz
na myśli jakieś inne rodzaje klawiatur a nie zwykłe podłączone do USB
komputera.
Udający klawiaturę czytnik (przynajmniej nasz) zamienia zbliżenie karty
na serię naciśnięć klawiszy - więc 'wyrzuca jawnie tę serię klawiszy'.
P.G.