-
Data: 2020-06-20 15:10:18
Temat: Re: mBank - zablokowany dostęp
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Piotr Gałka <p...@c...pl> writes:
> Jak ktoś sobie w domu coś takiego robi to jest to raczej świadomy
> użytkownik i dobierze odpowiednio dobre hasło więc akurat w tym
> przypadku ja nie dostrzegałem istotnej potrzeby wydłużania.
To jest błędne założenie. Jak ktoś sobie w domu coś takiego robi, to
pomijając to, że pewnie wie o szyfrowaniu dysku (a może nawet ma taką
świadomą potrzebę), w większości przypadków nie ma wiedzy dotyczącej
kryptografii, haseł, możliwości ataków itd. Dlatego domyślne ustawienia
systemu muszą być sensowne, i dlatego właśnie domyślnie stosuje się tam
takie algorytmy.
To jest tak jak z tym specjalistą i sprzątaczką - ten pierwszy może
używać "zwykłego" hasła, bo wie jakie jest dobre a jakie nie (może
z pewną przesadą). Sprzątaczka ma 4-cyfrowy PIN i "odcisk palca", bo
chociaż te zabezpieczenia znacznie łatwiej złamać, to od niej nie można
wymagać niczego więcej.
> Obowiązkowość stosowania wydłużania rozumiałem jako pewien sposób
> zapobiegania problemom powodowanym przez użytkowników nad których
> zachowaniem nie do końca panujemy.
W każdym razie takich funkcji nie stosuje się po stronie usera w WWW.
Jest też więcej powodów by stosować różne hasła w różnych miejscach.
Nawet dzieci uczą się o tym w szkole.
> Do AESa mają zastrzeżenie, że bazuje na jakiejś algebrze o której nie
> można być całkiem pewnym, czy kiedyś nie znajdzie się jakiś genialny
> matematyk, który rozwiąże problem ataku na algorytm od strony
> matematycznej.
BTW o każdym algorytmie innym niż XOR można coś takiego powiedzieć.
Jedynie XOR daje pewność (co do samego algorytmu, bo niekoniecznie
w kwestii warunków jego zastosowania).
> Człowiek podświadomie zakłada, że inni korzystają ze wszystkiego tak
> jak on.
O tak, to zauważyłem. W ogóle chyba większość ludzi zakłada, że wszyscy
robią wszystko tak samo jak oni.
> Najpierw myślałem, że to jest program do przechowywania haseł. Potem,
> że to jest małe urządzenie, które może na swoim ekranie pokazać Ci
> jedno z pamiętanych haseł. Teraz pomyślałem, że to się podłącza pod
> USB i ono wyrzuca odpowiednie hasło tak jakby ktoś je wklepywał na
> klawiaturze.
Zwykle jest właśnie tak - trudno się przepisuje długie hasła.
> Czy przeglądarki mają w sobie coś, że jak system (np. banku) mówi im -
> otwieramy okienko logowania to one wiedząc, że jest takie urządzenie
> podłączone zamiast otwierać okienko logowania realizują połączenie
> między systemem banku a tym urządzeniem (to byłoby bezpieczne, że
> przeglądarka nie ma wglądu w sesję między bankiem a tym urządzeniem).
> Coś takiego istnieje i wszystkie systemy bankowe i sklepowe są
> przygotowane na takie połączenie?
Nie, notatnik haseł przechowuje tylko hasła. Przeglądarka może go
zapytać o hasło do konkretnego serwisu (może być potrzebny odpowiedni
plugin do przeglądarki), a ten - po uzyskaniu akceptacji usera - może
odesłać hasło, które przeglądarka następnie wyśle np. bankowi.
Gdyby notatnik zajmował się całą sesją, to byłby przeglądarką, ze
wszystkimi wadami (i zaletami) tego rozwiązania.
> Czytałem kiedyś coś, z czego wynikało, że to jest mierzalne. Czyli w
> skasowanym flash podłączając się analogowo da się z dużym
> prawdopodobieństwem stwierdzić co było przed kasowaniem.
Pytanie tylko, czy ktoś potrafi to pokazać w sposób powtarzalny? Nie
słyszałem, ale oczywiście kto wie.
> Nie dałbym głowy, czy przypadkiem wszystkie karty flash nie mają
> jakiegoś ukrytego trybu dostępu analogowego do zawartości. Realizacja
> byłaby banalna - wystarczy pominąć jakiś przerzutnik odczytujący stan.
Obawiam się że wątpię.
W kartach flash (podobnie jak w dyskach) trudno często odczytać aktualną
zawartość (odczytuje się wartość bardziej prawdopodobną, używa się kodów
korekcyjnych). Skasowaną zawartością chwilowo nie będę się przejmował
:-)
> Jeśli przeglądarka na komputerze jest w stanie dowiedzieć się od
> urządzenia o hasło to i jakiś inny program powinien być w stanie się
> dowiedzieć.
Może tak, może nie, ale przecież atakujący nie może sobie wedle woli
uruchamiać wszystkiego na tym komputerze. Jeśli może, to istotnie
w takich okolicznościach jest już "pozamiatane".
> Może złych słów używam.
> Hasło zaszyfrowane i przechowywane w karcie czy urządzeniu to dane tajne.
> To samo hasło odszyfrowane (w celu wpisania w okienko logowania) to
> dane jawne.
No ale ono nie jest jawne, nie jest po prostu zaszyfrowane. Tak jak
hasło na kartce w sejfie: nie jest normalnie jawne.
> Jeśli jakieś urządzenie miałoby (udając klawiaturę USB) wypełnić pole
> 'Hasło' w okienku logowania to znaczy, że ukryte w tym urządzeniu
> hasło zostało w nim odszyfrowane (z tajnego staje się jawne) i wysłane
> przez USB. A to połączenie USB jest tym miejscem, gdzie można się
> wciąć - nie koniecznie fizycznie włączając się w kabel ale np.
> wcinając się gdzieś w driver USB. Znów piszę o czymś, o czym mam blade
> pojęcie, ale jestem pewien, że są ludzie (i wirusy) które potrafią
> takie rzeczy zrobić.
No pewnie że można tak zrobić. Jest wiele miejsc w komputerze, z których
można uzyskać hasła. Podobnie, mając kontrolę nad komputerem, możemy
następnie przejąć sesję takiego usera itd. Notatniki haseł nie są
panaceum na wszystkie problemy - one służą tylko do zapamiętywania
haseł, by user nie musiał sam ich pamiętać. Hasła może będą lepszej
jakości i może nieco łatwiej będzie zrobić OTP, ale bez (jakiegoś)
bezpiecznego komputera nie można mówić o bezpieczeństwie.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 22.06.20 14:06 Piotr Gałka
- 22.06.20 14:36 J.F.
- 22.06.20 16:18 Piotr Gałka
- 22.06.20 16:43 J.F.
- 22.06.20 17:08 Piotr Gałka
- 22.06.20 17:32 Krzysztof Halasa
- 22.06.20 17:37 Krzysztof Halasa
- 22.06.20 17:38 Krzysztof Halasa
- 22.06.20 21:05 Piotr Gałka
- 22.06.20 21:14 Piotr Gałka
- 22.06.20 21:18 Piotr Gałka
- 22.06.20 22:26 Krzysztof Halasa
- 23.06.20 08:55 Piotr Gałka
- 23.06.20 21:45 Krzysztof Halasa
- 24.06.20 11:34 Piotr Gałka
Najnowsze wątki z tej grupy
- OT Chleba naszego powszedniego...
- Dają gdzieś więcej niż 3,5%?
- Ekspert Zdalnej Obsługi Klienta Zamożnego
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
Najnowsze wątki
- 2024-06-05 OT Chleba naszego powszedniego...
- 2024-06-02 Dają gdzieś więcej niż 3,5%?
- 2024-05-27 Ekspert Zdalnej Obsługi Klienta Zamożnego
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa