Cytat:

Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji naszła mnie taka oto "koncepcja". "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę, że to standard) czyli wiemy ile mamy kombinacji do wykorzystania. Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować sobie dostęp do www - prawdopodobnie padnie call center A będę też pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator zanim wszystko wróciłoby do normy. Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak, bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy, że jedno IP może się logować na jeden login i później zostanie zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy, nie będzie stanowić to raczej stanowić problemu. Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki? Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje? Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;) jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było

potrzeby sie zastanawiac.

U mnie w banku jest tak, że login jest mój własny
o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu.
Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi
jako DOS niz blokowanie kont.

[ciach]

Cytat:

Zabezpieczeniem wydaje się tutaj coś w rodzaj captchahttps://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki? Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje? [ciach]

Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id,
haslo, haslo z tokena.


Pozdrawiam
Rafal

Cytat:

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont. No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.

pekao24.pl

Cytat:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele. Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne hasło? I co dalej?

dalej wszyscy internetowi przesiąda się z pretensjami na telefon i bank
szlag trafi.

Cytat:

[ciach] Zabezpieczeniem wydaje się tutaj coś w rodzaj captchahttps://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki? Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje? [ciach] Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id, haslo, haslo z tokena.

a co sie dzieje jak sie pomylisz?

genialne, nawet prostsze niz wypelnianie dwóch pol: logina i hasla.
wystarczy jedno.
pewnie ID cyfrowe? to jeszcze latwiej trafic.

Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www
w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak
pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji
naszła mnie taka oto "koncepcja".

"Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę,
że to standard) czyli wiemy ile mamy kombinacji do wykorzystania.
Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba
tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć
własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np
jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować
dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że
powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować
sobie dostęp do www - prawdopodobnie padnie call center A będę też
pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie
mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator
zanim wszystko wróciłoby do normy.
Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w
ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP
jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak,
bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej
popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący
wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy,
że jedno IP może się logować na jeden login i później zostanie
zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego
botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy,
nie będzie stanowić to raczej stanowić problemu.
Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha
https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą
zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła,
to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody
na tego typu koncepcje?

Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie
blokował ;)


--
xbartx

Cytat:

Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował

Ja też sobie zablokowałem, choć złego hasła nie podałem, więc ktoś
musiał mi zablokować wcześniej.

Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka
tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i
taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się
bieżącym monitorowaniem swojego ruchu na stronie.

Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o
wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą
kilkuprocentową.



--
Liwiusz

Cytat:

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont.

No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały
jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach
zobaczymy coś takiego.


--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Cytat:

Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się bieżącym monitorowaniem swojego ruchu na stronie. Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą kilkuprocentową.

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy
komputerów. Do tego większość z nich to komputery z dynamicznie się
zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak
wszystkie na raz zaczęłyby próbę logowania to padnie po prostu
infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że
można by osiągnąć zamierzone cele.



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Cytat:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele. Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne hasło? I co dalej?

no on przeciez pisze o calkowitym sparalizowaniu dostepu przez internet

Cytat:

Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele.

Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne
hasło? I co dalej?


--
Liwiusz

Cytat:

Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id, haslo, haslo z tokena.

I jak wpiszesz 3 razy źle bez tokena to blokada.

--
Raf

Cytat:

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont. No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?

p. m.

Cytat:

U mnie w banku jest tak, że login jest mój własny o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont. No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego. W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość złośliwego zablokowania komuś konta? Masz racje, w zaden sposób. Jedynie skrypt będzie bardziej skomplikowany.

Cytat:

W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość złośliwego zablokowania komuś konta?

*"U mnie w banku jest tak, że login jest mój własny"*




--
xbartx