|
Data: 2010-08-09 09:06:29 |
| Autor: witek |
| Zablokowanie dostępu przez www do konta w banku |
xbartx wrote:
Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji naszła mnie taka oto "koncepcja".
"Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę, że to standard) czyli wiemy ile mamy kombinacji do wykorzystania. Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator zanim wszystko wróciłoby do normy.
Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak, bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy, że jedno IP może się logować na jeden login i później zostanie zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy, nie będzie stanowić to raczej stanowić problemu.
Zabezpieczeniem wydaje siÄ™ tutaj coÅ› w rodzaj captcha
https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA
albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki?
Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje?
Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;)
jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było potrzeby sie zastanawiac.
U mnie w banku jest tak, że login jest mój własny
o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu.
Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont.
|
|
|
Data: 2010-08-09 16:27:12 |
| Autor: xbartx |
| Zablokowanie dostêpu przez www do konta w banku |
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.
No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.
--
xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide
|
|
|
Data: 2010-08-09 13:14:22 |
| Autor: witek |
| Zablokowanie dostępu przez www do konta w banku |
xbartx wrote:
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.
No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.
pekao24.pl
|
|
|
Data: 2010-08-09 21:31:45 |
| Autor: mvoicem |
| Zablokowanie dostępu przez www do konta w banku |
(09.08.2010 18:27), xbartx wrote:
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
U mnie w banku jest tak, że login jest mój własny o hasło pyta "na
nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.
No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego.
W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?
p. m.
|
|
Data: 2010-08-09 22:45:30 |
| Autor: Ralf |
| Zablokowanie dostêpu przez www do konta w banku |
mvoicem pisze:
(09.08.2010 18:27), xbartx wrote:
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisa³(a):
U mnie w banku jest tak, ¿e login jest mój w³asny o has³o pyta "na
nastepnej stronie" dopiero po podaniu prawid³owego loginu. Trafienie
botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS
niz blokowanie kont.
No takie rozwi±zanie ewidentnie eliminuje aby tego typu "koncepcje" mia³y jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy co¶ takiego.
W jaki sposób roz³o¿enie logowania na "2 klikniêcia" eliminuje mo¿liwo¶æ
z³o¶liwego zablokowania komu¶ konta?
Masz racje, w zaden sposób. Jedynie skrypt bêdzie bardziej skomplikowany.
|
|
|
Data: 2010-08-10 06:41:02 |
| Autor: xbartx |
| Zablokowanie dostêpu przez www do konta w banku |
Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):
W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?
*"U mnie w banku jest tak, że login jest mój własny"*
--
xbartx
|
|
Data: 2010-08-10 09:05:36 |
| Autor: Liwiusz |
| Zablokowanie dostępu przez www do konta w banku |
xbartx pisze:
Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):
W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość
złośliwego zablokowania komuś konta?
*"U mnie w banku jest tak, że login jest mój własny"*
I co z tego? Login "własny" jest trudniejszy do trafienia od loginu nadawanego przez bank?
--
Liwiusz
|
|
|
Data: 2010-08-10 14:18:50 |
| Autor: Michal Tyrala |
| Zablokowanie dostępu przez www do konta w banku |
On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:
> *"U mnie w banku jest tak, ¿e login jest mój w³asny"*
I co z tego? Login "w³asny" jest trudniejszy do trafienia od loginu nadawanego przez bank?
Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
tak, ,,troche'' trudniej cos takiego trafic.
--
Micha³ http://kbns.digart.pl/
wiesiu jest spamtrapem. ja jestem kbns
|
|
|
Data: 2010-08-10 16:59:08 |
| Autor: Liwiusz |
| Zablokowanie dostêpu przez www do konta w banku |
Michal Tyrala pisze:
On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:
*"U mnie w banku jest tak, ¿e login jest mój w³asny"*
I co z tego? Login "w³asny" jest trudniejszy do trafienia od loginu nadawanego przez bank?
Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie
cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to
tak, ,,troche'' trudniej cos takiego trafic.
Ale wówczas argument nie powinien brzmieæ "login lepszy, bo mój", tylko "login lepszy, bo ma wiêcej kombinacji".
--
Liwiusz
|
|