-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!news.samoylyk.n
et!weretis.net!feeder7.news.weretis.net!border2.nntp.ams1.giganews.com!nntp.gig
anews.com!newsfeed.neostrada.pl!unt-exc-02.news.neostrada.pl!unt-spo-b-01.news.
neostrada.pl!news.neostrada.pl.POSTED!not-for-mail
From: Krzysztof Halasa <k...@p...waw.pl>
Newsgroups: pl.biznes.banki
Subject: Re: mBank - zablokowany dostęp
References: <rb2jmu$gsi$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<1wgzmwc2p2rb2.1w4yqapb3eqlv$.dlg@40tude.net> <m...@p...waw.pl>
<rbleqn$r2f$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rblkij$ug5$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbnlha$6o1$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbocsu$kra$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rbvi1k$vn6$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rc2pum$189$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rc7hf1$cb$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rc86jv$en8$1$PiotrGalka@news.chmurka.net> <m...@p...waw.pl>
<rccmjd$d7d$1$PiotrGalka@news.chmurka.net>
Date: Sat, 20 Jun 2020 15:10:18 +0200
Message-ID: <m...@p...waw.pl>
Cancel-Lock: sha1:cX7lxknZ2k56RyL63RRdTxjPMyA=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Lines: 116
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 195.187.100.13
X-Trace: 1592658618 unt-rea-b-01.news.neostrada.pl 503 195.187.100.13:28281
X-Complaints-To: a...@n...neostrada.pl
Xref: news-archive.icm.edu.pl pl.biznes.banki:651959
[ ukryj nagłówki ]Piotr Gałka <p...@c...pl> writes:
> Jak ktoś sobie w domu coś takiego robi to jest to raczej świadomy
> użytkownik i dobierze odpowiednio dobre hasło więc akurat w tym
> przypadku ja nie dostrzegałem istotnej potrzeby wydłużania.
To jest błędne założenie. Jak ktoś sobie w domu coś takiego robi, to
pomijając to, że pewnie wie o szyfrowaniu dysku (a może nawet ma taką
świadomą potrzebę), w większości przypadków nie ma wiedzy dotyczącej
kryptografii, haseł, możliwości ataków itd. Dlatego domyślne ustawienia
systemu muszą być sensowne, i dlatego właśnie domyślnie stosuje się tam
takie algorytmy.
To jest tak jak z tym specjalistą i sprzątaczką - ten pierwszy może
używać "zwykłego" hasła, bo wie jakie jest dobre a jakie nie (może
z pewną przesadą). Sprzątaczka ma 4-cyfrowy PIN i "odcisk palca", bo
chociaż te zabezpieczenia znacznie łatwiej złamać, to od niej nie można
wymagać niczego więcej.
> Obowiązkowość stosowania wydłużania rozumiałem jako pewien sposób
> zapobiegania problemom powodowanym przez użytkowników nad których
> zachowaniem nie do końca panujemy.
W każdym razie takich funkcji nie stosuje się po stronie usera w WWW.
Jest też więcej powodów by stosować różne hasła w różnych miejscach.
Nawet dzieci uczą się o tym w szkole.
> Do AESa mają zastrzeżenie, że bazuje na jakiejś algebrze o której nie
> można być całkiem pewnym, czy kiedyś nie znajdzie się jakiś genialny
> matematyk, który rozwiąże problem ataku na algorytm od strony
> matematycznej.
BTW o każdym algorytmie innym niż XOR można coś takiego powiedzieć.
Jedynie XOR daje pewność (co do samego algorytmu, bo niekoniecznie
w kwestii warunków jego zastosowania).
> Człowiek podświadomie zakłada, że inni korzystają ze wszystkiego tak
> jak on.
O tak, to zauważyłem. W ogóle chyba większość ludzi zakłada, że wszyscy
robią wszystko tak samo jak oni.
> Najpierw myślałem, że to jest program do przechowywania haseł. Potem,
> że to jest małe urządzenie, które może na swoim ekranie pokazać Ci
> jedno z pamiętanych haseł. Teraz pomyślałem, że to się podłącza pod
> USB i ono wyrzuca odpowiednie hasło tak jakby ktoś je wklepywał na
> klawiaturze.
Zwykle jest właśnie tak - trudno się przepisuje długie hasła.
> Czy przeglądarki mają w sobie coś, że jak system (np. banku) mówi im -
> otwieramy okienko logowania to one wiedząc, że jest takie urządzenie
> podłączone zamiast otwierać okienko logowania realizują połączenie
> między systemem banku a tym urządzeniem (to byłoby bezpieczne, że
> przeglądarka nie ma wglądu w sesję między bankiem a tym urządzeniem).
> Coś takiego istnieje i wszystkie systemy bankowe i sklepowe są
> przygotowane na takie połączenie?
Nie, notatnik haseł przechowuje tylko hasła. Przeglądarka może go
zapytać o hasło do konkretnego serwisu (może być potrzebny odpowiedni
plugin do przeglądarki), a ten - po uzyskaniu akceptacji usera - może
odesłać hasło, które przeglądarka następnie wyśle np. bankowi.
Gdyby notatnik zajmował się całą sesją, to byłby przeglądarką, ze
wszystkimi wadami (i zaletami) tego rozwiązania.
> Czytałem kiedyś coś, z czego wynikało, że to jest mierzalne. Czyli w
> skasowanym flash podłączając się analogowo da się z dużym
> prawdopodobieństwem stwierdzić co było przed kasowaniem.
Pytanie tylko, czy ktoś potrafi to pokazać w sposób powtarzalny? Nie
słyszałem, ale oczywiście kto wie.
> Nie dałbym głowy, czy przypadkiem wszystkie karty flash nie mają
> jakiegoś ukrytego trybu dostępu analogowego do zawartości. Realizacja
> byłaby banalna - wystarczy pominąć jakiś przerzutnik odczytujący stan.
Obawiam się że wątpię.
W kartach flash (podobnie jak w dyskach) trudno często odczytać aktualną
zawartość (odczytuje się wartość bardziej prawdopodobną, używa się kodów
korekcyjnych). Skasowaną zawartością chwilowo nie będę się przejmował
:-)
> Jeśli przeglądarka na komputerze jest w stanie dowiedzieć się od
> urządzenia o hasło to i jakiś inny program powinien być w stanie się
> dowiedzieć.
Może tak, może nie, ale przecież atakujący nie może sobie wedle woli
uruchamiać wszystkiego na tym komputerze. Jeśli może, to istotnie
w takich okolicznościach jest już "pozamiatane".
> Może złych słów używam.
> Hasło zaszyfrowane i przechowywane w karcie czy urządzeniu to dane tajne.
> To samo hasło odszyfrowane (w celu wpisania w okienko logowania) to
> dane jawne.
No ale ono nie jest jawne, nie jest po prostu zaszyfrowane. Tak jak
hasło na kartce w sejfie: nie jest normalnie jawne.
> Jeśli jakieś urządzenie miałoby (udając klawiaturę USB) wypełnić pole
> 'Hasło' w okienku logowania to znaczy, że ukryte w tym urządzeniu
> hasło zostało w nim odszyfrowane (z tajnego staje się jawne) i wysłane
> przez USB. A to połączenie USB jest tym miejscem, gdzie można się
> wciąć - nie koniecznie fizycznie włączając się w kabel ale np.
> wcinając się gdzieś w driver USB. Znów piszę o czymś, o czym mam blade
> pojęcie, ale jestem pewien, że są ludzie (i wirusy) które potrafią
> takie rzeczy zrobić.
No pewnie że można tak zrobić. Jest wiele miejsc w komputerze, z których
można uzyskać hasła. Podobnie, mając kontrolę nad komputerem, możemy
następnie przejąć sesję takiego usera itd. Notatniki haseł nie są
panaceum na wszystkie problemy - one służą tylko do zapamiętywania
haseł, by user nie musiał sam ich pamiętać. Hasła może będą lepszej
jakości i może nieco łatwiej będzie zrobić OTP, ale bez (jakiegoś)
bezpiecznego komputera nie można mówić o bezpieczeństwie.
--
Krzysztof Hałasa
Następne wpisy z tego wątku
- 22.06.20 14:06 Piotr Gałka
- 22.06.20 14:36 J.F.
- 22.06.20 16:18 Piotr Gałka
- 22.06.20 16:43 J.F.
- 22.06.20 17:08 Piotr Gałka
- 22.06.20 17:32 Krzysztof Halasa
- 22.06.20 17:37 Krzysztof Halasa
- 22.06.20 17:38 Krzysztof Halasa
- 22.06.20 21:05 Piotr Gałka
- 22.06.20 21:14 Piotr Gałka
- 22.06.20 21:18 Piotr Gałka
- 22.06.20 22:26 Krzysztof Halasa
- 23.06.20 08:55 Piotr Gałka
- 23.06.20 21:45 Krzysztof Halasa
- 24.06.20 11:34 Piotr Gałka
Najnowsze wątki z tej grupy
- wojna wojno a kredyt trzeba spłacać
- Citi... zmiany warunków umowy o kartę kredytową Citibank?
- Millenium czyli DEBILE bankowości
- Chess
- Vitruvian Man - parts 7-11a
- Re: Prawo móżdżek...
- frankowicze odcinek NNN
- O wisienkach
- zysk NBP
- Dostałem nową kartę
- Velobank -- KK Mastercard
- cyrk Kometa
- uczcie się Anglicy
- no w końcu zadzwonił wnuczek
- zbyt silny złoty byłby problemem
Najnowsze wątki
- 2024-05-18 wojna wojno a kredyt trzeba spłacać
- 2024-05-16 Citi... zmiany warunków umowy o kartę kredytową Citibank?
- 2024-05-15 Millenium czyli DEBILE bankowości
- 2024-05-07 Chess
- 2024-05-07 Vitruvian Man - parts 7-11a
- 2024-05-06 Re: Prawo móżdżek...
- 2024-04-29 frankowicze odcinek NNN
- 2024-04-25 O wisienkach
- 2024-04-25 zysk NBP
- 2024-04-23 Dostałem nową kartę
- 2024-04-22 Velobank -- KK Mastercard
- 2024-04-21 cyrk Kometa
- 2024-04-19 uczcie się Anglicy
- 2024-04-16 no w końcu zadzwonił wnuczek
- 2024-04-11 zbyt silny złoty byłby problemem