Liwiusz wrote:
> xbartx pisze:
>
>> Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
>> komputerów. Do tego większość z nich to komputery z dynamicznie się
>> zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
>> wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
>> infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę,
>> że można by osiągnąć zamierzone cele.
>
>
> Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne
> hasło? I co dalej?
>
>

dalej wszyscy internetowi przesiąda się z pretensjami na telefon i bank
szlag trafi.

do góry

Rafal M wrote:
> On 9 Sie, 15:52, xbartx <b...@h...net> wrote:
>
> [ciach]
>> Zabezpieczeniem wydaje się tutaj coś w rodzaj
captchahttps://secure.wikimedia.org/wikipedia/pl/wik
i/CAPTCHA
>> albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
>> zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
>> to jeszcze jakieś łamigłówki?
>> Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
>> na tego typu koncepcje?
> [ciach]
>
>
> Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
> haslo, haslo z tokena.
>

a co sie dzieje jak sie pomylisz?

genialne, nawet prostsze niz wypelnianie dwóch pol: logina i hasla.
wystarczy jedno.
pewnie ID cyfrowe? to jeszcze latwiej trafic.

do góry

(09.08.2010 18:27), xbartx wrote:
> Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
>
>> U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
>> nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
>> botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
>> niz blokowanie kont.
>
> No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
> jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
> zobaczymy coś takiego.

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?

p. m.

do góry

mvoicem pisze:
> (09.08.2010 18:27), xbartx wrote:
>> Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
>>
>>> U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
>>> nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
>>> botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
>>> niz blokowanie kont.
>> No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
>> jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
>> zobaczymy coś takiego.
>
> W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
> złośliwego zablokowania komuś konta?
>
Masz racje, w zaden sposób. Jedynie skrypt będzie bardziej skomplikowany.

do góry

Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):

> W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
> złośliwego zablokowania komuś konta?

*"U mnie w banku jest tak, że login jest mój własny"*




--
xbartx

do góry

Z banków, ze znanych mi, które są powiedzmy podatne na tego typu
"koncepcje":

Alior, Eurobank, Inteligo, mBank/Multi

BZWBK, DBnet, OpenF, Polbank - tutaj nie mam pewności

Co do banków, które na pierwszej stronie mają login i jak podamy go
poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest
chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że
uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo
zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.
Ciekawe czy banki mają jakieś przygotowane procedury na tego typu
"koncepcje" czy dopiero coś powstanie jak pojawi się realne zagrożenie.


--
xbartx

do góry

xbartx pisze:
> Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):
>
>> W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
>> złośliwego zablokowania komuś konta?
>
> *"U mnie w banku jest tak, że login jest mój własny"*


I co z tego? Login "własny" jest trudniejszy do trafienia od loginu
nadawanego przez bank?

--
Liwiusz

do góry

Użytkownik "xbartx" <b...@h...net> napisał w wiadomości
news:i3qt7i$6cs$2@inews.gazeta.pl...
>
> Co do banków, które na pierwszej stronie mają login i jak podamy go
> poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest
> chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że
> uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo
> zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.

Logując się do banku po długiej przerwie (loginu nie pamiętam) musiałem coś
pomylić przepisując go bo zażądał ode mnie kodu z tokena, a takiego nie
posiadam. Stąd wniosek, że trafiłem za pierwszym razem w jakiś prawidłowy
login (login to 8 cyfr - czyli zaledwie nieco ponad 26 bitów, w czasach, gdy
kryptografia 64 bitowa przechodzi do przeszłości).

Według mnie system nie powinien ujawniać żadnych pośrednich informacji.
Strona logowania powinna pozwolić jedynie sprawdzić, czy podany zestaw
login/hasło jest prawidłowe, ale żadnej innej informacji nie powinno dać się
uzyskać - czyli nawet czas reakcji systemu nie powinien ujawniać, czy błąd
wykryto w loginie, czy haśle.

Wolę nie sprawdzać, czy po 3 próbach zablokuje mi się dostęp, ale w
przypadku, gdy login/hasło ma zbyt mało entropii elementem skutecznie
broniącym system przed włamaniami jest ograniczenie pasma (sądząc po
szybkości działania systemów niektórych banków wzięły one to poważnie pod
uwagę).

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po
3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet
prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna
próba przedłuża ten czas o kolejną minutę, a prawidłowa działa.
Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby
loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak
sprawdzić, które prawidłowe.
P.G.

do góry

On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:
> > *"U mnie w banku jest tak, że login jest mój własny"*
>
> I co z tego? Login "własny" jest trudniejszy do trafienia od loginu
> nadawanego przez bank?

Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
tak, ,,troche'' trudniej cos takiego trafic.
--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

do góry

On Mon, 09 Aug 2010 18:51:45 +0200, Liwiusz wrote:
> > Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
> > komputerów. Do tego większość z nich to komputery z dynamicznie się
> > zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
> > wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
> > infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że
> > można by osiągnąć zamierzone cele.
>
> Ale jakie cele?

(D)DoS?

--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

do góry