Jest taki Bank, który ma bardzo restrykcyjne wymagania co do haseł. Możemy ustawić hasło o długości 8 znaków. Tak 8 znaków, nie mniej, nie więcej. System nie przyjmuje znaków specjalnych, nie przyjmuje też wielkich liter, ani małych liter. Przyjmuje jedynie cyfry, możemy ustawić hasło postaci: 135792468, które bank określa jako "silne hasło".
Do czego to hasło? Do wszystkiego
Dobra wiadomość! Nowe H@sło 1 zastąpi również Twoje obecne Hasło Mobilne. Teraz tym samym hasłem będziesz również potwierdzać operacje w aplikacji. Mamy nadzieję, że ułatwi Ci to korzystanie z naszych usług.
No dobra, ale na pewno są dodatkowe procedury bezpieczeństwa! Tak!
Dodatkowo możesz ustawić obrazek bezpieczeństwa, który wyświetli się, gdy wpiszesz swój MilleKod. Dzięki temu wiesz, że logujesz się na stronie Banku, a nie łudząco podobnej stronie stworzonej przez przestępców.
xD W tej formie to jedynie ikona informacyjna którą my czy przestępca po prostu obejdzie poprzez jej zignorowanie.
Może lepiej wyświetlić wiele obrazów w celu wskazania tego jedynego prawdziwgo?
Można śmieszkować, ale okazuje się że bank w ten sposób broni się przed phishingiem. Klient logując się na fake stronie podając swoje dane przy obrazku nie swoim... po prostu sam się okranie. Świetny bat prawny na mniej ostrożnych w przypadku konfrontacji na drodze sądowej. Bank bezpośrednio wskazuje na rażące zaniedbania po stronie klienta.
A czy tworzenie potężnych i długich haseł czy innych zmyślnych zabezpieczeń, kiedy mamy 2FA jest tak naprawdę potrzebne? A może taka forma zabezpieczeń to po prostu racjonalne działania banku? Taki kompromis pomiędzy bezpieczeństwem a wygodą?
#banki #cyberbezpieczenstwo #bankowosc #cybersecurity
zuchtomek

@Marchew Ani to wygodne, ani bezpieczne


Ustawienie wymogu na tylko i wyłącznie 8 znaków, znacząco skraca czas na bruteforce takiego hasła (choć akurat takie coś to bankowość szybko powinna wykryć), teoretycznie przestępca zamiast sprawdzać wszystkie kombinacje 1,2,3,4,5,6,7 i więcej znakowe może się ograniczyć do tylko 8 cyfrowych.


Co prawda to wciąż 6 634 204 312 890 624 kombinacji, ale zalecenie ogólnie słabe.

Jezyna

@zuchtomek no to ciekawe, bo pin do karty ma tylko 4 cyfry i jakoś wystarcza.... ludzie, trzeba myśleć.

Po np. trzech próbach konto blokowane i z głowy.

zuchtomek

@Jezyna No przecież piszę o tym, że ataki bruteforce to bank spokojnie wykryje.


Natomiast dla przestępcy to jest jakby nie patrzył, może nie duże, ale jednak - skrócenie drogi.


i tak na przykład, mój bank do logowania wymaga losowych znaków z mojego hasła.

Kiedy przypadkiem wpiszę zły numer klienta, często już po samym pytaniu o hasło mogę się domyślić, że coś wpisałem źle bo oczekuje ode mnie np. 12 znak z hasła, a ja mam tylko 10.


Jeśli wszyscy będą mieli po 8 to potencjalnemu przestępcy łatwiej zrobić deface strony banku i przechwytywać hasła, wiedząc, że każdy ma dokładnie 8 znaków.


Inny scenariusz to data urodzenia, ludzie często je sobie ustawiają na PIN, a jak mają 8 znaków wymyślić (ani mniej, ani więcej) to idealnie pasuje DDMMRRRR - i od takich prób będą mogli zaczynać przestępcy.


Bezsensowna bzdura.

vealen

@zuchtomek tragedia z tymi 8 znakami bo nic nie zrobisz. Chyba że co chwila będziesz nowe ustawiać


Ale te losowe znaki z hasła to też niezły rąk z punktu usera. Nigdy tego w ING nie lubiłem. Super opcja na zabezpieczenie jak ktoś ma hasło KochamPati123, to wtedy tacy mają spokój. Ale jak ktoś korzysta z losowego hasła z maks znaków i do tego z symbolami to ma niezłą zagadkę myślową przy wpisywaniu hasła.

Imo do wyjebania te losowe znaki. Niech się ludzie nauczą korzystać z porządnych hasel i je zmienia na bieżąco. Za głupotę się płaci.

zuchtomek

@vealen Ale alfanumeryczne w postaci KochamPati123 niewiele się różni bezpieczeństwem od powalonego hasła z generatora 1&(&(6363 o ile mają tyle samo znaków, a takie przynajmniej każdy człowiek potrafi zapamiętać, a nie jakieś losowe znaki, które potem sobie zapisują na karteczkach pod klawiaturą xD

972ead7e-279c-416f-b502-c22052242d0f
vealen

@zuchtomek mówię tu o korzystaniu z menadzera haseł z masterkeyem


Poza tym co Ty gadasz. Jeśli dwa hasła będą miały takie same długości jednak jedno będzie złożone wyłącznie z znakow alfabetu łacińskiego a drugie z znakow alfabetu, cyfr, znaków specjalnych czy tym bardziej z puli znaków ASCII.

To entropia tego drugiego będzie o wiele większa

Trochę z dupy ten komix, chociaż prawdziwa puenta.

zuchtomek

@vealen "Poza tym co Ty gadasz. Jeśli dwa hasła będą miały takie same długości jednak jedno będzie złożone wyłącznie z znakow alfabetu łacińskiego a drugie z znakow alfabetu, cyfr, znaków specjalnych czy tym bardziej z puli znaków ASCII."


Co to za różnica dla atakującego, który tego nie wie i powinien zakładać, że hasło mimo wszystko jest zbudowane z wszystkich dostępnych znaków? Niby skąd ma wiedzieć, że mam same litery?


Do menedżera haseł wystarczy złamać jedno hasło (oczywiście trudniejsze), żeby zyskać dostęp do pozostałych, a poza nie trzeba być celem ataku, żeby nasze hasła wyciekły, kiedy zabezpieczenia samego menedżera zostaną przełamane..


vide: LastPass, Norton Password Manager i jeszcze coś tam w ciągu ostatniego roku było z tego co pamiętam złamane.

(tak wiem, że nie trzeba ich synchronizować z chmurą)


Pomijam już zupełnie sytuacje kryzysowe, kiedy stracisz dostęp do swoich urządzeń czy samego menedżera, a musisz zrobić przelew gdzieś tam podczas wakacji..

Marchew

@zuchtomek bruteforce online? Oczywiście możliwe, na moją spam pocztę próbowano się logować w szczycie po kilka tysięcy razy miesięcznie Co do ilości kombinacji: prawidłowa wartość to: 100 000 000. Szczerze wątpię aby ktoś to brutalforcował. Ale próby wspomnianą datą urodzenia są możliwe, ale po co skoro (o ile mi wiadomo) każde konto musi posiadać 2FA w postaci appki/sms?

Norton złamany? To fałszywe informacje Ktoś wpadł na pomysł aby stare ogólnodostępne zestawy mail:pass z gówno serwisów użyć do NortonManager i ... podziałało. Problemem było używanie hasła lubianego od lat do managera haseł.

Co do LastPass, hasła nie wyciekły, a jedynie lista witryn www do których delikwent hasło posiadał. Fakt, to już kompromitacja.

@Jezyna Trzy próby to średnia opcja, często zdarza mi się logować na nie mój ID klienta (te cyferki się mylą). Innym prawdopodobnie też Ilość klientów zgłaszających "atak hakerski" była by zbyt obciążająca infolinię.

@vealen do końca nie rozumiem sensu częstej zmiany hasła. Kiedyś miało to sens, hasła wyciskały, bazy MD5 szybko się poddawały. Ale dziś? Sole, pieprze, Argony, bCrypty, sCrypty...

vealen

@zuchtomek nie no byku trochę generalizujesz i omijasz o tym czym była mowa jednoczenie trochę mówiąc nieprawdę.


Najczesciej hasła wyciekają nie przez targetowany attack, tylko przez, jak sam zgrabnie i poprawnie zauważyłeś przez leaki wszelkiej maści albo poprzez metody społeczne lub najzwyklejszy , najskuteczniejszy phishing.


Ale załóżmy że ktoś spróbuje zgadnąć hasło bezpośrednio.

To jest taka różnica, że nawet po tym znalezisku co wrzuciłeś już wiemy że w millenium mamy numeryczne hasła.

Czyli atakujący w pierwszej kolejności najpewniej sprawdzi kombinacje datowe charakterystyczne dla ofiary, urodziny itp.


Gdy już wszelkie poszlaki zawioda zostaje zgadywankę. No i tutaj już liczba znaków ratuje dupę.

Gdy wchodzą znaki alfabetu łacińskiego skuteczny okaże się też atak słownikowy w oparciu o najpopularniejsze hasła.

Jednak gdy to zawiedzie zostaje zawsze skuteczny ( w teorii) jednak nieefektywny bruteforce.


No i tutaj już to o czym wspomniałeś, że przy tej samej długości nie ma znaczenia złożoność hasła jest totalna bzdura


Oczywiście tak jak słusznie zauważyłeś atakujący nie wie z jakich znaków się składa hasło. Jednak ludzie to lenie więc najpewniej będzie najprostsze hasło, bez żadnych symboli, chyba że wymaga tego serwis.

Więc atak brute force w pierwszej kolejności przeskoczy podstawowym alfabetem i potem będzie zwiększać złożoność kombinacji dodając kolejne znaki, kombinacje itd.


Ale to już tylko akademickie dywagacje i pierdolenie xd


Już nie będę dywagować na temat bezpieczeństwa chmurowych menadżerów, bo to temat na inną rozmowa. Mam na myśli najprostszy menadzer z lokalna baza haseł zabezpieczony hasłem zbiorczym i do tego hashowany plikiem, który trzymamy na fizycznych pendrive'ach. Już nie będę wspominał o rozwiązaniach typu yubikey. I wtedy zagrożenie wyciekiem nie istnieje. Oczywiście, ktoś kto porywa się na takie zabezpieczenia jest świadomy że USB z bazą/kluczem musi latać z tobą na wakacje. Jednak warto imo


Ogólnie dojebales z tą złożonością i jej brakiem znaczenia. Jednak masz totalnie rację w wszechobecnym 2FA, bardzo złożone hasła są niemalże zbędne. Jednak powinniśmy unikać hasel które mogą pojawić się w słowniku i lepiej skłonic się ku kombinacjom, nawet najprostszym i do tego wspomniane 2FA.

Peace

zuchtomek

@Marchew Nie wiem co się tego bruteforce online czepiliście jak już w pierwszym komentarzu wspomniałem o tym, że każdy to wykryje (aczkolwiek znając ograniczenia, posiadając odpowiednio dużą farmę botów i atakując masowo różne loginy i hasła jest to teoretycznie zasadny atak - w każdym razie o wiele bardziej realny gdy znamy konkretną długość hasła i loginu użytkownika)


ale po co skoro (o ile mi wiadomo) każde konto musi posiadać 2FA w postaci appki/sms?


Ale chyba nie do samego logowania?


Jak już się zalogujesz na czyjeś konto i masz choćby wgląd w jego ustawienia, adres, ostatnie operacje itd. to już o wiele łatwiej o jakiś telefoniczny scam i wydobycie kodu.


@Jezyna No PINem jednak nie możesz zarządzać kontem, ani nawet podejrzeć danych, a i same wypłaty z bankomatu są z reguły ograniczone do kilku tysięcy, a nie całości konta (nie zapominając, że do wypłaty przydałoby się jeszcze kartę posiadać)


@vealen Oczywiście, że generalizuję i teoretyzuję. Nigdzie nie napisałem, że nagle zaczną masowo hakować, tylko tyle, że jest to 'łatwiejsze'.


Więc atak brute force w pierwszej kolejności przeskoczy podstawowym alfabetem i potem będzie zwiększać złożoność kombinacji dodając kolejne znaki, kombinacje itd.


No więc zgadzasz się, że metoda będzie taka sama, to że alfanumeryczne 'zgadnie' szybciej to tylko pobożne życzenia - zresztą nie jest mowa o pojedynczym słowie, a ich kombinacji bo jest zasadnicza różnica między hasłem pies1234, a piesazor - drugie mimo, że składa się ze słów słownikowych będzie 'trudniejsze' do zgadnięcia bo tak jak pisałeś - ludzie idą na łatwiznę i automaty sprawdzają kombinacje 'słowo + standardowe kombinacje cyfr', ale 'słowo + słowo' dopiero później o ile w ogóle.


Znów tu uprościłeś za bardzo, a to niby ja generalizuję.


Przecież nie chodzi mi, że to zostawienie otwartych drzwi tylko jak to zręcznie ująłeś 'alademickie pierdolenie', bo taki atak i tak jest skrajnie nieefektywny, ale wciąż 'łatwiejszy' niż w przypadku dostępności wszystkich znaków w haśle z czym się chyba wszyscy zgadzamy

Zaloguj się aby komentować