xbartx
Gość
|
 2010-08-11, 14:32 Re: Zablokowanie dostępu przez www do konta w banku
|
 |
| Cytat: | To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie
|
Widzisz, mam wrażenie, że rozpatrujesz to dalej, jako jednostkowy atak,
który ma się odbyć w jak najkrótszym czasie ale nie o to chodzi. Jeżeli
chciałbym do zrobić w minutę to po prostu poszedłby DDOS i tyle 
Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i
dłużej) czyli im dłużej tym większe prawdopodobieństwo, że logowanie
będzie celne przy strzelaniu losowo. Jeżeli bank umożliwiałby
potwierdzenie, który login jest używany wtedy można tworzyć bazę takich
loginów. Z technicznego punktu widzenie obrona banku przed takim, jak to
nazwałem "atakiem", jest w zasadzie mocno ograniczona, bo ciężko mi sobie
wyobrazić aby bank tworzył listę IP, które mają/nie mają dostęp do
logowania a na 3 próby musi zezwolić aby móc według procedury zablokować
konto.
--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide
|
|
|
|
|
Reklamy
|
|
Rafał
Gość
|
|
2010-08-11, 20:21 Re: Zablokowanie dostępu przez www do konta w banku
|
|
| Cytat: | Dla roznych "loginów" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny
|
Alior pozwoli. Kiedyś zapomniałem loginu i testowałem co mi do głowy
przyszło. I tak całkiem długo.
--
Raf
|
|
|
|
Animka
Gość
|
|
2010-08-12, 01:50 Re: Zablokowanie dostępu przez www do k onta w banku
|
|
| Cytat: |
Dla roznych "loginów" w jednej sesji "ciasteczkowej"
Pamietaj iz taki bootnet musiałby byc bardzo sprytny
Alior pozwoli. Kiedyś zapomniałem loginu i testowałem co mi do głowy
przyszło. I tak całkiem długo.
|
Więcej niż 3 razy z jednego IP Ci się nie uda.
--
animka
|
|
|
|
xbartx
Gość
|
|
2010-08-12, 09:03 Re: Zablokowanie dostępu przez www do konta w banku
|
|
| Cytat: | Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut)
jest wystarczające dla uniemożliwienia znalezienia atakującemu
prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, (...)
|
Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się
aktualnie w banku na swój login ma możliwość zablokowania sobie konta.
Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak
największą ilość zablokowanych kont.
Właśnie mi przyszedł do głowy kolejny pomysł. Skanuje pod bankomatem
karty ile się da, ale bez PINów, później je blokuję wpisując błędnie 3
raz zły PIN. Też może to wywołać małe albo i większe zamieszanie w banku,
tak sądzę.
--
xbartx
|
|
|
|
Piotr Gałka
Gość
|
|
2010-08-12, 10:08 Re: Zablokowanie dostępu przez w ww do konta w banku
|
|
| Cytat: |
To jest jasne cały czas.
Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie
Widzisz, mam wrażenie, że rozpatrujesz to dalej, jako jednostkowy atak,
który ma się odbyć w jak najkrótszym czasie ale nie o to chodzi.
Ja rozpatruję atak wieczysty, ale wymagający powtórzenia całej sekwencji co |
minutę, aby utrzymać blokady aktywne. Jednocześnie zakładam, że system nie
pozwoli odkryć prawdziwych loginów więc blokowane będzie tyle ile się da,
ale bez gwarancji, że są istniejące.
Ja nie zacząłem od opisu ataku tylko od mojej propozycji (wymyślonej w parę
minut, więc prawdopodobnie dalekiej od doskonałości) jak takie blokowanie
powinno wyglądać od strony systemu (że po minucie się odblokowuje),
argumentując, że takie ograniczenie pasma jest wystarczające aby
uniemożliwić odkrycie prawdziwych loginów.
| Cytat: | Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i
dłużej) czyli im dłużej tym większe prawdopodobieństwo, że logowanie
będzie celne przy strzelaniu losowo. Jeżeli bank umożliwiałby
potwierdzenie, który login jest używany wtedy można tworzyć bazę takich
loginów.
|
No właśnie ja się trzymam mojej wersji z założeniem, że tego nie da się
potwierdzić. Nie że w obecnych systemach się nie da, tylko, że takie było
moje założenie w pierwszej mojej wypowiedzi.
Nie wiem, czy tak to jest robione, ale w pierwszym podejściu uważam, że z
komputera użytkownika do systemu powinny być przesyłane:
- login
- zestaw: (hasło+tzw. sól) wydłużony kryptograficznie o minimum 20 bitów (na
PC zajmie około 1s). Dopiero długi (np. 256 bitów) wynik jest przesyłany.
Sól to dość długa (np. 128 bitów) jawna! stała dla danego użytkownika, ale
dla każdego inna. Powoduje to, że atakujący sprawdzając wszystkie domniemane
hasła nie może wykorzystać efektu skali. Nie może raz wyliczyć wydłużenia
hasła i sprawdzić je dla miliona loginów tylko musi dla jednego sprawdzanego
hasła obliczać to wydłużenie milion razy. A próbowanie wysyłania losowych
wartości wyników (tych 256 bitów) mija się z celem ze względu na liczbę
kombinacji.
| Cytat: | Z technicznego punktu widzenie obrona banku przed takim, jak to
nazwałem "atakiem", jest w zasadzie mocno ograniczona, bo ciężko mi sobie
wyobrazić aby bank tworzył listę IP, które mają/nie mają dostęp do
logowania a na 3 próby musi zezwolić aby móc według procedury zablokować
konto.
Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut) jest |
wystarczające dla uniemożliwienia znalezienia atakującemu prawdziwego hasła
(nie chodzi o to, że ten atak ma to na celu, tylko o spełnienie celu dla
którego stosowane jest blokowanie po 3 nieudanych próbach), a jednocześnie
zabezpiecza bank przed lawiną telefonów o zablokowanym loginie. I druga jest
taka, że dodatkowo bank nie powinien pozwolić odkryć używanych loginów. I
trzecia że tylko jeden na 1000 losowych loginów powinien trafiać w używany
login.
P.G.
|
|
|
|
xbartx
Gość
|
|
2010-08-12, 10:24 Re: Zablokowanie dostępu przez www do konta w banku
|
|
| Cytat: | Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz
aż go odkryją. Blokada wszystkich kart które się przewinęły przez ten
bankomat w ostatnim czasie murowana.
|
Ano fakt, tylko wtedy, rozkłada się to jednak na więcej banków o czy mnie
pomyślałem.
--
xbartx
|
|
|
|
xbartx
Gość
|
|
2010-08-12, 10:26 Re: Zablokowanie dostępu przez www do konta w banku
|
|
| Cytat: | To nie budzi żadnych wątpliwości.
Ja jedynie zasugerowałem jak by to mogło być, aby radykalnie ograniczyć
możliwość złośliwego blokowania kont. P.G.
|
Być może. Mi chodziło o mniej więcej podobny przypadek jak ten:
http://preview.tinyurl.com/wielki-ddos
W końcu ktoś może powiedzieć sprawdzam i to wiedziony jeno zwykła ludzką
ciekawością ;)
--
xbartx
|
|
|
|
Piotr Gałka
Gość
|
|
2010-08-12, 11:14 Re: Zablokowanie dostępu przez w ww do konta w banku
|
|
| Cytat: |
Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się
aktualnie w banku na swój login ma możliwość zablokowania sobie konta.
Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak
największą ilość zablokowanych kont.
|
To nie budzi żadnych wątpliwości.
Ja jedynie zasugerowałem jak by to mogło być, aby radykalnie ograniczyć
możliwość złośliwego blokowania kont.
P.G.
|
|
|
|
mvoicem
Gość
|
|
2010-08-12, 11:18 Re: Zablokowanie dostępu przez www do konta w banku
|
|
| Cytat: |
Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut)
jest wystarczające dla uniemożliwienia znalezienia atakującemu
prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, (...)
Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się
aktualnie w banku na swój login ma możliwość zablokowania sobie konta.
Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak
największą ilość zablokowanych kont.
Właśnie mi przyszedł do głowy kolejny pomysł. Skanuje pod bankomatem
karty ile się da, ale bez PINów, później je blokuję wpisując błędnie 3
raz zły PIN. Też może to wywołać małe albo i większe zamieszanie w banku,
tak sądzę.
|
Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz
aż go odkryją. Blokada wszystkich kart które się przewinęły przez ten
bankomat w ostatnim czasie murowana.
p. m.
|
|
|
|
GPW: Realizacja zysków, ale WIG20 powyżej 2500 pkt
Tak samo jak poniedziałkowa, tak i wtorkowa sesja na rodzimym rynku rozpoczęła się od...
McLaren z rekordami sprzedaży w 2017 roku
McLaren wypuszczając na rynek model 12C rozpoczął nowy rozdział swojej historii. Model...
MyLiFi - lampka LED dostarczająca internet
MyLiFi jest pozornie zwykłą lampka na biurko zaprezentowaną przez firmę Oledcomm na...
