Z banków, ze znanych mi, które są powiedzmy podatne na tego typu
"koncepcje":

Alior, Eurobank, Inteligo, mBank/Multi

BZWBK, DBnet, OpenF, Polbank - tutaj nie mam pewności

Co do banków, które na pierwszej stronie mają login i jak podamy go
poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest
chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że
uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo
zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.
Ciekawe czy banki mają jakieś przygotowane procedury na tego typu
"koncepcje" czy dopiero coś powstanie jak pojawi się realne zagrożenie.


--
xbartx

Cytat:

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość złośliwego zablokowania komuś konta? *"U mnie w banku jest tak, że login jest mój własny"*

I co z tego? Login "własny" jest trudniejszy do trafienia od loginu
nadawanego przez bank?

--
Liwiusz

Cytat:

*"U mnie w banku jest tak, że login jest mój własny"* I co z tego? Login "własny" jest trudniejszy do trafienia od loginu nadawanego przez bank?

Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
tak, ,,troche'' trudniej cos takiego trafic.
--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

Cytat:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele. Ale jakie cele?

(D)DoS?

--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

Cytat:

Co do banków, które na pierwszej stronie mają login i jak podamy go poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany.

Logując się do banku po długiej przerwie (loginu nie pamiętam) musiałem coś
pomylić przepisując go bo zażądał ode mnie kodu z tokena, a takiego nie
posiadam. Stąd wniosek, że trafiłem za pierwszym razem w jakiś prawidłowy
login (login to 8 cyfr - czyli zaledwie nieco ponad 26 bitów, w czasach, gdy
kryptografia 64 bitowa przechodzi do przeszłości).

Według mnie system nie powinien ujawniać żadnych pośrednich informacji.
Strona logowania powinna pozwolić jedynie sprawdzić, czy podany zestaw
login/hasło jest prawidłowe, ale żadnej innej informacji nie powinno dać się
uzyskać - czyli nawet czas reakcji systemu nie powinien ujawniać, czy błąd
wykryto w loginie, czy haśle.

Wolę nie sprawdzać, czy po 3 próbach zablokuje mi się dostęp, ale w
przypadku, gdy login/hasło ma zbyt mało entropii elementem skutecznie
broniącym system przed włamaniami jest ograniczenie pasma (sądząc po
szybkości działania systemów niektórych banków wzięły one to poważnie pod
uwagę).

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po
3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet
prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna
próba przedłuża ten czas o kolejną minutę, a prawidłowa działa.
Można to zrobić nie ujawniając czy login prawidłowy, czy nie.
Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby
loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak
sprawdzić, które prawidłowe.
P.G.

Cytat:

*"U mnie w banku jest tak, że login jest mój własny"* I co z tego? Login "własny" jest trudniejszy do trafienia od loginu nadawanego przez bank? Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to tak, ,,troche'' trudniej cos takiego trafic.

Ale wówczas argument nie powinien brzmieć "login lepszy, bo mój",
tylko "login lepszy, bo ma więcej kombinacji".

--
Liwiusz

W Aliorze zmieniła mi się tylko jedna cyferka, z 2 na 3 i login też był
dobry, otworzyła się strona z hasłem. Tylko mojego kota nie było.
Dalsze próby wykazały, że to nie takie proste. Wpisując dowolne loginy
otwiera się zawsze ta sama strona. Taka pułapka na złych ludzi.

Cytat:

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie. Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe.

Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się
do danego konta. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3
próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest
mało istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą
czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic
więcej. Jeżeli uda mu się znowu logować, to zaloguje się na login
98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak
największej ilości kont. O to i aż o to. I w tym przypadku rozpatruję czy
banki jakoś się zabezpieczają przed tego typu atakami, które chyba raczej
jeszcze nie miały miejsca ale to wcale nie znaczy, że się wydarzyć nie
mogą ;)


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Cytat:

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta. P.G.

Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako
atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię
komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy
na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka.
Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę
przy pomocy botnetu zablokować jak największą ilość kont klientów danego
banku co może pociągnąć na sobą konkretne skutki.


--
xbartx

Cytat:

Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie. Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe. Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się do danego konta.

Nie wiem jak to wyczytałeś z tego co napisałem.

Cytat:

Tutaj zupełnie o to nie chodzi. Co z tego, że po 3 próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest mało istotne.

Właśnie to, że na minutę (czy XX minut) a nie na stałe jest bardzo istotne.

Cytat:

Każdy nazwijmy to "atakujący" komputer wykona jedną prostą czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic więcej.

Jakie jest prawdopodobieństwo, że akurat w minutę po tym prawdziwy posiadacz
loginu 12345678 będzie się próbował zalogować ?

Cytat:

Jeżeli uda mu się znowu logować, to zaloguje się na login 98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak największej ilości kont.

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy
nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem
_istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny)
losowo wybrany login będzie prawdziwym loginem jakiegoś konta.
P.G.

Cytat:

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta.

Jakis bank przydziela identyfikatory (loginy) klientom kolejno co jeden?

--
Michał

wiesiu jest spamtrapem. ja jestem kbns

Cytat:

Ale jaki masz ten botnet 100tys kompow wiecej ? Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa.

Uważasz, że nie pozwoli na kilka prób?

--
Liwiusz

Cytat:

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta. P.G. Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka. Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę przy pomocy botnetu zablokować jak największą ilość kont klientów danego banku co może pociągnąć na sobą konkretne skutki. To jest jasne cały czas.

Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w
normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie.
Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku
udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów)
większej przepustowości (upraszczam tylko do samych logowań). Przy moich
założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo
można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333
loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by
praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się
sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować
na stałe 3 333 konta.
Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z
których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić,
które prawidłowe."
Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie
o prawidłowe logowania.

Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system
to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie
zaloguje;-).
P.G.

Cytat:

Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta. P.G. Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka. Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę przy pomocy botnetu zablokować jak największą ilość kont klientów danego banku co może pociągnąć na sobą konkretne skutki.

Ale jaki masz ten botnet 100tys kompow wiecej ?
Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego
samego kompa.

Cytat:

Ale jaki masz ten botnet 100tys kompow wiecej ? Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa. Uważasz, że nie pozwoli na kilka prób?

Dla roznych "loginów" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny