Hasła maskowane - błędy implementacyjne polskiego banku - Krzysztof Jelonek

Ten tydzień zapisze się w historii polskiego internetu i bankowości za sprawą włamania do jednego z polskich banków. Przebieg wydarzeń: Email od hakera z informacją o włamaniu został wysłany 26-28 marca do członków zarządu banku. Bank milczy. Po wysłaniu przez niego kilku wiadomości do...

cross_boss z dodany: 16.06.2015, 19:47:07

16
Odpowiedz

Komentarze (16)

najlepsze

rmrmg

16.06.2015, 21:19:39

A jak po stronie banku są implementowane hasła maskowane? Czyżby generowali hashe dla wszystkich kombinacji o jakie system może zapytać?

kepulg

16.06.2015, 23:19:26

No właśnie też mnie to interesuje, jak ktoś będzie wiedział to niech się też do mnie.

N.....y

konto usunięte 17.06.2015, 18:21:35

@rmrmg: @phervers: stosuje się wsparcie sprzętowe Hardware Security Module. Hasła w praktyce nie są jawne – nie można przeczytać klucza danego zasobu, można tylko odpytać, czy jakiś klucz ten zasób autoryzuje.

EkspertPKO

18.06.2015, 08:06:16

Klienci PKO Banku Polskiego korzystający z serwisu internetowego mogą nadać sobie "przyjazny login". W serwisie iPKO trzeba wejść w zakładkę "Dostęp" i wybrać opcje "zdefiniuj login" - w starszej nowej serwisu. W nowym iPKO wchodzimy w zakładkę "Ustawienia" i również "zdefiniuj login". "Przyjazny login" musi zawierać minimum 8 znaków, w tym co najmniej jedną literę (bez polskich znaków).

Mr--A-Veed

17.06.2015, 17:10:17

A największy polski bank - PKO - niedawno miał odświeżenie systemu internetowego i maskowanego hasła się nie dorobił...

f.....s

konto usunięte 17.06.2015, 01:56:40 via iOS

Przez wprowadzenie haseł maskowanych zamknąłem konto w BZWBK. K-----a brała logujac się 3x dziennie. Hasło z pamięci tak wpisać masakra. A bezpieczeństwa jak widać nie podnosi na długo.

Jurigag

16.06.2015, 21:21:32

-2

W zasadzie nie ogarniam po co i na co to komu - nie lepiej ustawić blowfisha z odpowiednio wysokim kosztem gdzie generowanie jednego hasha będzie trwało 0.3+ s ?

oczkers

17.06.2015, 07:01:53

-1

@Jurigag: cóż ci to da kiedy hasło klienta zostanie przechwycone przez keyloger na komputerze w kafejce internetowej?

ShooleR

17.06.2015, 18:28:46

@oczkers: Na KeyLogery jest inny sposób ;) podrzuca się im lewy bufor klawiatury :P

westsajd

16.06.2015, 20:31:50

-2

Implementując komunikaty błędów, czy zmieniając zasady generowania formularza do wprowadzania znaków hasła, nie można sobie pozwolić na to, aby możliwe były jakiekolwiek różnice w odpowiedzi serwera. Dlaczego? Dlatego żeby haker (a właściwie jego bot) nie mógł określić czy istnieje w systemie użytkownik o wskazanym identyfikatorze.

No popatrz a na przykład gugle pokazują czy na dany email zarejestrowane jest konto czy nie.

rmrmg

16.06.2015, 21:13:24

No popatrz a na przykład gugle pokazują czy na dany email zarejestrowane jest konto czy nie.

@westsajd: Bo adres e-mail można sobie dowolnie wybrać, więc siłą rzeczy ta informacja jest jawna. W przypadku banków nie można wybrać sobie loginu i jest on jakby częścią zabezpieczenia