Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
KV>>>Честно говоря, я устал спорить с необоснованными заявлениями. Приведи статистические данные, подтверждающие выделенное утверждение. N_>>Большинство компроментаций пароля к картам происходит скраммерами. Или по твоему пользователь виноват что банк не следит за своими банкоматами и позволяет скраммерам ставить на них считывающие устройства?
KV>К пин-кодам карт не выставляются требования, которые мы здесь обсуждаем. В чем смысл их упоминания здесь?
А про какие пароли у банков мы говорим? Я чет сходу не припомню других.
Re[10]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
N_>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Здравствуйте, Nik_1, Вы писали:
N_>>>Втом то и дело, что это лишь перекладывание с больной головы на здоровую, а не повышение защищенности системы
KV>>Нет, это не перекладывание, а исключение фактора, влияющего на защищенность системы, за счет введения мер, понижающих юзабилити сервиса с т.з. его пользователей. N_>только вот одна загвозка : данная мера снижает защещенность, а не повышает её
Здравствуйте, Nik_1, Вы писали:
N_>Так втом то и проблема, что это никтобольшинство не будут дело. Только извращенец станет каждый месяц зазубривать новый хитровывернутый пароль, абсолютное же большинство будет либо записывать его, либо менять по одной букве. Я отношусь ко вторым
Там выше написано, кем с т.з. владельца системы (некоторого класса, не всех систем, конечно же) являются такие пользователи.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
KV>>>Для сведения: порядок — это количество разрядов в числе. N_>>Тебя послушать, так 999999 и 1000000 тоже на порядок различаются
KV>Первое — сотни тысяч, второе — миллионы. Порядок разный.
Тогда с тобой все ястно, больше вопросов нет
Re[20]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
KV>>К пин-кодам карт не выставляются требования, которые мы здесь обсуждаем. В чем смысл их упоминания здесь? N_>А про какие пароли у банков мы говорим? Я чет сходу не припомню других.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>прогрессивным увелечением времени на повторную попытку, например : 10с, 20с,30с, 1м, 5м, 15м, ... Вслучаи, если речь идет о доступе к деньгам то допустимо будет вообще на день блокировать при 5 неправильных попытках ввода.
KV>Отлично. Я, являсь атакующим, генерирую десятки-сотни неправильных попыток в секунду в отношении всех пользователей интернет-банка, используя для этого распределенный ботнет, чем всерьез и надолго парализую возможность нормальной работы настоящих клиентов. Что дальше?
А это уже называется ДДОС атака. Собсно опять задача банка бороться с этим. Кстати, а откуда у злоумышленника взялась база логинов клиентов, не банк ли опять недосмотрел за своими админами?
Re[18]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
KV>>>К пин-кодам карт не выставляются требования, которые мы здесь обсуждаем. В чем смысл их упоминания здесь? N_>>А про какие пароли у банков мы говорим? Я чет сходу не припомню других.
KV>Например, которые нужно вводить тут: https://click.alfabank.ru или тут: https://connect.raiffeisen.ru/rba/Login.do
Вроде подобные системы используют не пароль, а ssl сертификат, который в отделении банка пользователю генерят и выдают на флешке.
Re[16]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
N_>А это уже называется ДДОС атака. Собсно опять задача банка бороться с этим.
Прикольно. Ты предлагаешь банку сначала создать DDOS-условия в своей системе, а потом отважно бороться с ними? Нет, твое решение создает реальный, а главное более высокий риск и именно тебе, как его автору сейчас необходимо что-то предложить, чтобы уйти от этого риска. Я знаю, как уйти от него в твоем решении. Но очень хочу, чтобы ты сам к нему пришел.
N_>Кстати, а откуда у злоумышленника взялась база логинов клиентов, не банк ли опять недосмотрел за своими админами?
Прямой перебор. Это гораздо проще, чем подбор пароля, т.к. энтропия имен пользователей — минимальная, практически при любой схеме их формирования. Опять-таки, даже если атака производится на одного конкретного клиента, чей логин известен атакующему по независящим от банка причинам — это уже большая проблема, ибо имиджевые и юридические риски, если что.
Здравствуйте, Nik_1, Вы писали:
KV>>Например, которые нужно вводить тут: https://click.alfabank.ru или тут: https://connect.raiffeisen.ru/rba/Login.do N_>Вроде подобные системы используют не пароль, а ssl сертификат, который в отделении банка пользователю генерят и выдают на флешке.
Обе приведенные системы используют парольную аутентификацию. Это я тебе, как их клиент говорю. Альфа-банк при этом использует еще и мультифакторную аутентификацию на основе не только постоянного, но и одноразовых паролей, присылаемых по SMS на каждую вновь создаваемую сессию.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>А это уже называется ДДОС атака. Собсно опять задача банка бороться с этим.
KV>Прикольно. Ты предлагаешь банку сначала создать DDOS-условия в своей системе, а потом отважно бороться с ними?
Ну вот чето карты никто не досит, хотя там всего 3 попытки в сутки KV>Нет, твое решение создает реальный, а главное более высокий риск и именно тебе, как его автору сейчас необходимо что-то предложить, чтобы уйти от этого риска. Я знаю, как уйти от него в твоем решении. Но очень хочу, чтобы ты сам к нему пришел.
И какой же риск оно создает?
N_>>Кстати, а откуда у злоумышленника взялась база логинов клиентов, не банк ли опять недосмотрел за своими админами?
KV>Прямой перебор. Это гораздо проще, чем подбор пароля, т.к. энтропия имен пользователей — минимальная, практически при любой схеме их формирования.
Ну тут все какраз проще, лимит на попытки будет не только для логинов, но и для айпишников. Так что при переборе еще и логинов много не наперебираются. KV>Опять-таки, даже если атака производится на одного конкретного клиента, чей логин известен атакующему по независящим от банка причинам — это уже большая проблема, ибо имиджевые и юридические риски, если что.
Вслучаи, если атакуют конкретного клиента, то это уже другими средствами решается, а не созданием геммороя подефолту всем пользователям.
Re[22]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
KV>>Например, которые нужно вводить тут: https://click.alfabank.ru или тут: https://connect.raiffeisen.ru/rba/Login.do N_>Вроде подобные системы используют не пароль, а ssl сертификат, который в отделении банка пользователю генерят и выдают на флешке.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
KV>>>Например, которые нужно вводить тут: https://click.alfabank.ru или тут: https://connect.raiffeisen.ru/rba/Login.do N_>>Вроде подобные системы используют не пароль, а ssl сертификат, который в отделении банка пользователю генерят и выдают на флешке.
KV>Обе приведенные системы используют парольную аутентификацию. Это я тебе, как их клиент говорю. Альфа-банк при этом использует еще и мультифакторную аутентификацию на основе не только постоянного, но и одноразовых паролей, присылаемых по SMS на каждую вновь создаваемую сессию.
Не знаю как в альфе, но в райфайзине по паролю можно тока статистику по счету смотреть и прочие мелкие неопасные операции. А для совершения платежей со счета кудато насторону нужен сертификат
Здравствуйте, Nik_1, Вы писали:
N_>С учетом того что не все хранят кешь вместо открытого пароля, то какой хитровывернутый пароль не придумай — всеравно свиснут.
Вообще говоря, существуют реализации хэширования паролей, устойчивые к краже базы с сервера. Например Lamport hash chain. Другой вопрос, что если сервер взломали и смогли слить базу, то, вполне вероятно, смогут и записать в базу сервера для интересующего пользователя свои значения, чтобы пройти авторизацию, т.е. попросту сбросить пароль на известный.
Re[3]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
k> Ну, например, у нас, этого в общем-то достаточно, чтобы приложение не было принято в продакшн Криптографическая нестойкость GUID — их единственный недостаток
А где они ещё остались криптогоафически нестойкие?
Здравствуйте, Nik_1, Вы писали:
N_>Здравствуйте, keenn, Вы писали:
D>>>Если честно, даже не припомню сайтов с требованием минимальной длины пароля более 8 символов. Не могли бы вы привести примеры таких сайтов?
K>>тут же вроде имеется в виду ограничение на максимальную длину N_>Темболее, ограничения сверху я еще реже встречал, чем ограничения снизу
С года полтора назад регистрировался на world community grid, сразу же после регистрации пришлось восстанавливать пароль — не удавалось войти. При восстановлении прислали изначально введенный пароль, но — сюрприз! — обрезанный до какой-то там длины.
Re[2]: Разработчикам систем парольной аутентификации
Здравствуйте, mrTwister, Вы писали:
T>А вот интересно, много ли есть людей, которие при принудительной смене пароля новый получают не из старого путем замены одного символа (password1, password2 и т.д.)? Защищенность очень сильно повысились, гемор пользователям добавили не зря!
На одной из прошлых работе и это (смена одного символа) тоже проверялось, приходилось раз в три месяца переключаться между двумя паролями туда-обратно.
