Data: 2010-08-09 13:52:12 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji naszła mnie taka oto "koncepcja". "Koncepcja". login w mBanku jest 8 cyfrowy (przynajmniej mój, ale myślę, że to standard) czyli wiemy ile mamy kombinacji do wykorzystania. Oczywiście mBank służy tutaj jako przykład. Z tego co kojarzę to chyba tylko w ING jest login literowo-cyfrowy, no i w Citi można sobie tworzyć własny login. Teraz przy założeniu, że mamy złe zamiary i dysponujemy np jakimś botnetem, możemy przy pomocy prostego skryptu zacząć blokować dostęp do kont www poszczególnym użytkownikom. Wyobraźmy teraz sobie, że powiedzmy kilkanaście tysięcy użytkowników, chce przez telefon odblokować sobie dostęp do www - prawdopodobnie padnie call center ;) A będę też pewnie próbować dzwonić, że nie logowali się od kilku dni a teraz nie mogę się w ogóle zalogować itd itp. No może się zrobić poważny zator zanim wszystko wróciłoby do normy. Ciekawe jak banki się zabezpieczają przed tego typu atakiem (i czy w ogóle), bo sprawa jest jakby trochę skomplikowana. Nawet jeżeli adres IP jest powiedzmy spoza europy, to nie możemy założyć, że coś jest nie tak, bo może akurat użytkownik przebywa na wakacjach, co jest teraz raczej popularne i nie stanowi jakiejś ekstrawagancji. Ale co jeżeli atakujący wykorzystywałby tylko adresy IP z Europy, albo nawet w Polski? Powiedzmy, że jedno IP może się logować na jeden login i później zostanie zablokowane czyli zablokuje jeden dostęp www do konta. W przypadku dużego botnetu, gdzie ilość maszyn idzie w tysiące albo i dziesiątki tysięcy, nie będzie stanowić to raczej stanowić problemu. Zabezpieczeniem wydaje się tutaj coś w rodzaj captcha https://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA albo proste pytanie typu "Ile jest 3+4= ?" Tylko czy klienci będą zadowoleni z takiego obrotu sprawy? Nie dosyć, że mają mieć długie hasła, to jeszcze jakieś łamigłówki? Nie jestem zbyt biegły w temacie ale czy tutaj Polbank nie znalazł metody na tego typu koncepcje? Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;) -- xbartx |
|
Data: 2010-08-09 09:06:29 | |
Autor: witek | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx wrote:
Hasło mam długie, spieszyło mi się i zablokowałem sobie dostęp przez www w mBanku. W sumie procedura odzyskania nie jest skomplikowana i jak pamiętamy telekod do kanału telefonicznego, to potrwa chwilę. Przy okazji naszła mnie taka oto "koncepcja".jak widac jeszcze nikt tego nie próbował w praktyce, wiec nie było potrzeby sie zastanawiac. U mnie w banku jest tak, że login jest mój własny o hasło pyta "na nastepnej stronie" dopiero po podaniu prawidłowego loginu. Trafienie botem w dobry login to male prawdopodobienstwo i bardziej robi jako DOS niz blokowanie kont. |
|
Data: 2010-08-09 16:27:12 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a):
U mnie w banku jest tak, że login jest mój własny o hasło pyta "na No takie rozwiązanie ewidentnie eliminuje aby tego typu "koncepcje" miały jakiekolwiek szanse powodzenia. Ciekawe kiedy i w naszych bankach zobaczymy coś takiego. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2010-08-09 13:14:22 | |
Autor: witek | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx wrote:
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a): pekao24.pl |
|
Data: 2010-08-09 21:31:45 | |
Autor: mvoicem | |
Zablokowanie dostępu przez www do konta w banku | |
(09.08.2010 18:27), xbartx wrote:
Dnia Mon, 09 Aug 2010 09:06:29 -0500, witek napisał(a): W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość złośliwego zablokowania komuś konta? p. m. |
|
Data: 2010-08-09 22:45:30 | |
Autor: Ralf | |
Zablokowanie dostêpu przez www do konta w banku | |
mvoicem pisze:
(09.08.2010 18:27), xbartx wrote:Masz racje, w zaden sposób. Jedynie skrypt bêdzie bardziej skomplikowany. |
|
Data: 2010-08-10 06:41:02 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a):
W jaki sposób rozłożenie logowania na "2 kliknięcia" eliminuje możliwość *"U mnie w banku jest tak, że login jest mój własny"* -- xbartx |
|
Data: 2010-08-10 09:05:36 | |
Autor: Liwiusz | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx pisze:
Dnia Mon, 09 Aug 2010 21:31:45 +0200, mvoicem napisał(a): I co z tego? Login "własny" jest trudniejszy do trafienia od loginu nadawanego przez bank? -- Liwiusz |
|
Data: 2010-08-10 14:18:50 | |
Autor: Michal Tyrala | |
Zablokowanie dostępu przez www do konta w banku | |
On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote:
> *"U mnie w banku jest tak, ¿e login jest mój w³asny"* Zakladajac, ze narzucany login jest, jak wielu bankach wylacznie cyferkowy, a we wlasnym mozna uzywac liter, cyfr i kilku znaczkow, to tak, ,,troche'' trudniej cos takiego trafic. -- Micha³ http://kbns.digart.pl/ wiesiu jest spamtrapem. ja jestem kbns |
|
Data: 2010-08-10 16:59:08 | |
Autor: Liwiusz | |
Zablokowanie dostêpu przez www do konta w banku | |
Michal Tyrala pisze:
On Tue, 10 Aug 2010 09:05:36 +0200, Liwiusz wrote: Ale wówczas argument nie powinien brzmieæ "login lepszy, bo mój", tylko "login lepszy, bo ma wiêcej kombinacji". -- Liwiusz |
|
Data: 2010-08-09 10:15:05 | |
Autor: Rafal M | |
Zablokowanie dostêpu przez www do konta w banku | |
On 9 Sie, 15:52, xbartx <b...@hashzero.net> wrote:
[ciach] Zabezpieczeniem wydaje siê tutaj co¶ w rodzaj captchahttps://secure.wikimedia.org/wikipedia/pl/wiki/CAPTCHA[ciach] Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id, haslo, haslo z tokena. Pozdrawiam Rafal |
|
Data: 2010-08-09 13:17:05 | |
Autor: witek | |
Zablokowanie dostêpu przez www do konta w banku | |
Rafal M wrote:
On 9 Sie, 15:52, xbartx <b...@hashzero.net> wrote: a co sie dzieje jak sie pomylisz? genialne, nawet prostsze niz wypelnianie dwóch pol: logina i hasla. wystarczy jedno. pewnie ID cyfrowe? to jeszcze latwiej trafic. |
|
Data: 2010-08-09 19:24:18 | |
Autor: Rafa³ | |
Zablokowanie dostêpu przez www do konta w banku | |
W dniu 2010-08-09 19:15, Rafal M pisze:
Eurobank ma tutaj sprytnie przemyslane rozwiazanie - logowanie to: id, I jak wpiszesz 3 razy ¼le bez tokena to blokada. -- Raf |
|
Data: 2010-08-09 16:03:41 | |
Autor: Liwiusz | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx pisze:
Tfu tak czytam i może lepiej, żebym więcej sobie dostępu do konta nie blokował ;) Ja też sobie zablokowałem, choć złego hasła nie podałem, więc ktoś musiał mi zablokować wcześniej. Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka tysięcy prób logowania z jakiegoś egzotycznego IP to nie w kij dmuchał i taki ruch można szybko zablokować, myślę, że poważny bank zajmuje się bieżącym monitorowaniem swojego ruchu na stronie. Pomijając już fakt, że loginów jest 100 milionów, a użytkowników o wiele mniej, samo trafienie w aktywny login jest już ograniczone szansą kilkuprocentową. -- Liwiusz |
|
Data: 2010-08-09 16:35:37 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Mon, 09 Aug 2010 16:03:41 +0200, Liwiusz napisał(a):
Ale nie wydaje mi się, aby to był jakiś poważny problem. Kilka Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2010-08-09 18:51:45 | |
Autor: Liwiusz | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx pisze:
Nie wiem czy wiesz, ale największe botnety mają po kilkaset tysięcy komputerów. Do tego większość z nich to komputery z dynamicznie się zmieniającym adresem IP tak jak np nasza neostrada. Oczywiście jak wszystkie na raz zaczęłyby próbę logowania to padnie po prostu infrastruktura banku, ale jakby to robić w miarę sukcesywnie to myślę, że można by osiągnąć zamierzone cele. Ale jakie cele? Liczyć, że w trzech próbach znajdzie sie poprawne hasło? I co dalej? -- Liwiusz |
|
Data: 2010-08-09 13:15:27 | |
Autor: witek | |
Zablokowanie dostępu przez www do konta w banku | |
Liwiusz wrote:
xbartx pisze: dalej wszyscy internetowi przesiÄ…da siÄ™ z pretensjami na telefon i bank szlag trafi. |
|
Data: 2010-08-09 18:35:41 | |
Autor: m4rkiz | |
Zablokowanie dostępu przez w ww do konta w banku | |
"Liwiusz" <lmalin@bez.tego.poczta.onet.pl> wrote in message news:i3pbn4$1n2$1news.onet.pl... xbartx pisze: no on przeciez pisze o calkowitym sparalizowaniu dostepu przez internet |
|
Data: 2010-08-10 14:20:19 | |
Autor: Michal Tyrala | |
Zablokowanie dostępu przez www do konta w banku | |
On Mon, 09 Aug 2010 18:51:45 +0200, Liwiusz wrote:
> Nie wiem czy wiesz, ale najwiêksze botnety maj± po kilkaset tysiêcy > komputerów. Do tego wiêkszo¶æ z nich to komputery z dynamicznie siê > zmieniaj±cym adresem IP tak jak np nasza neostrada. Oczywi¶cie jak > wszystkie na raz zaczê³yby próbê logowania to padnie po prostu > infrastruktura banku, ale jakby to robiæ w miarê sukcesywnie to my¶lê, ¿e > mo¿na by osi±gn±æ zamierzone cele. (D)DoS? -- Micha³ http://kbns.digart.pl/ wiesiu jest spamtrapem. ja jestem kbns |
|
Data: 2010-08-10 06:56:50 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Z banków, ze znanych mi, które są powiedzmy podatne na tego typu "koncepcje": Alior, Eurobank, Inteligo, mBank/Multi BZWBK, DBnet, OpenF, Polbank - tutaj nie mam pewności Co do banków, które na pierwszej stronie mają login i jak podamy go poprawnie, to wtedy pokazuje się następna strona z hasłem. Tutaj jest chyba nawet łatwiej, bo jeżeli zgadniemy login, to wtedy mamy pewność, że uda nam się zablokować konto. Próbowałem właśnie na stronie nordeasolo zgadnąć jakiś login i po bodajże 7 próbach nie zostałem zablokowany. Ciekawe czy banki mają jakieś przygotowane procedury na tego typu "koncepcje" czy dopiero coś powstanie jak pojawi się realne zagrożenie. -- xbartx |
|
Data: 2010-08-10 15:14:29 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3qt7i$6cs$2inews.gazeta.pl...
Logując się do banku po długiej przerwie (loginu nie pamiętam) musiałem coś pomylić przepisując go bo zażądał ode mnie kodu z tokena, a takiego nie posiadam. Stąd wniosek, że trafiłem za pierwszym razem w jakiś prawidłowy login (login to 8 cyfr - czyli zaledwie nieco ponad 26 bitów, w czasach, gdy kryptografia 64 bitowa przechodzi do przeszłości). Według mnie system nie powinien ujawniać żadnych pośrednich informacji. Strona logowania powinna pozwolić jedynie sprawdzić, czy podany zestaw login/hasło jest prawidłowe, ale żadnej innej informacji nie powinno dać się uzyskać - czyli nawet czas reakcji systemu nie powinien ujawniać, czy błąd wykryto w loginie, czy haśle. Wolę nie sprawdzać, czy po 3 próbach zablokuje mi się dostęp, ale w przypadku, gdy login/hasło ma zbyt mało entropii elementem skutecznie broniącym system przed włamaniami jest ograniczenie pasma (sądząc po szybkości działania systemów niektórych banków wzięły one to poważnie pod uwagę). Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że po 3-ciej błędnej próbie następuje blokada na minutę (każde logowanie (nawet prawidłowe) na ten login zostanie odrzucone). Po tej minucie każda błędna próba przedłuża ten czas o kolejną minutę, a prawidłowa działa. Można to zrobić nie ujawniając czy login prawidłowy, czy nie. Sądzę, że taki system byłoby trudno skutecznie zablokować dla dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe. P.G. |
|
Data: 2010-08-10 18:28:33 | |
Autor: mx | |
Zablokowanie dostępu przez www do konta w banku | |
W Aliorze zmieniła mi się tylko jedna cyferka, z 2 na 3 i login też był dobry, otworzyła się strona z hasłem. Tylko mojego kota nie było.
Dalsze próby wykazały, że to nie takie proste. Wpisując dowolne loginy otwiera się zawsze ta sama strona. Taka pułapka na złych ludzi. |
|
Data: 2010-08-10 19:17:33 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Tue, 10 Aug 2010 15:14:29 +0200, Piotr Gałka napisał(a):
Moim zdaniem pasmo powinno być ograniczone na przykład w ten sposób, że Nie wiem dlaczego każdy rozpatruje to w kwestiach próby zalogowania się do danego konta. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3 próbach będzie zablokowany dostęp na minutę czy tam XX minut. To jest mało istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą czynność typu na login 12345678 poda hasło X i zrobi to 3 razy i nic więcej. Jeżeli uda mu się znowu logować, to zaloguje się na login 98765432 z hasłem X także 3 razy itd itd. Chodzi o zablokowanie jak największej ilości kont. O to i aż o to. I w tym przypadku rozpatruję czy banki jakoś się zabezpieczają przed tego typu atakami, które chyba raczej jeszcze nie miały miejsca ale to wcale nie znaczy, że się wydarzyć nie mogą ;) -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2010-08-11 11:07:15 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3s8kc$564$1news.net.icm.edu.pl...
Nie wiem jak to wyczytałeś z tego co napisałem. Tutaj zupełnie o to nie chodzi. Co z tego, że po 3 Właśnie to, że na minutę (czy XX minut) a nie na stałe jest bardzo istotne. Każdy nazwijmy to "atakujący" komputer wykona jedną prostą Jakie jest prawdopodobieństwo, że akurat w minutę po tym prawdziwy posiadacz loginu 12345678 będzie się próbował zalogować ? Jeżeli uda mu się znowu logować, to zaloguje się na login Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy nie, wpłynie na zmniejszenie liczby zablokowanych takim atakiem _istniejących_ kont. Można tak zrobić, że tylko co setny (albo co tysięczny) losowo wybrany login będzie prawdziwym loginem jakiegoś konta. P.G. |
|
Data: 2010-08-11 10:32:22 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):
Właśnie wspomniany przez mnie brak informacji, czy konto prawidłowe, czy Odniosę się tylko do tego, bo nie chce mi się dalej brnąć. Ja jako atakujący totalnie w dupie mam czy bank mi coś pokaże czy nie. Mam armię komputerów, z których każdy z nich ma jedno zadanie zalogować się 3 razy na ten sam login (losowo wybrany z danej puli) i hasło. Koniec kropka. Teraz bardziej jasne? Nie chce się nigdzie zalogować, nic uzyskać, chcę przy pomocy botnetu zablokować jak największą ilość kont klientów danego banku co może pociągnąć na sobą konkretne skutki. -- xbartx |
|
Data: 2010-08-11 13:18:21 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3tu7m$619$1inews.gazeta.pl... Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a):To jest jasne cały czas. Na moje wyczucie system akceptujący do 10 000 logowań na minutę będzie (w normalnym użytkowaniu) postrzegany przez klientów jako chodzący sprawnie. Jeśli moje oszacowanie jest prawidłowe to nie ma powodu, aby system banku udostępniał na zewnątrz (niezależnie od ilości atakujących go komputerów) większej przepustowości (upraszczam tylko do samych logowań). Przy moich założeniach (blokowanie konta tylko na minutę) wykorzystując całe to pasmo można wykonać w ciągu minuty 10 000 prób logowań blokując w ten sposób 3 333 loginów. Jeśli tylko co tysięczny byłby prawdziwy to oznaczało by praktycznie zablokowanie na stałe zaledwie 3 kont. Gdyby natomiast dało się sprawdzić które loginy odpowiadają konkretnym kontom dało by się zablokować na stałe 3 333 konta. Ta różnica jest powodem dla którego napisałem: "dużej liczby loginów, z których większość i tak byłaby nieprawidłowa bo nie byłoby jak sprawdzić, które prawidłowe." Sądzę, że w tej wypowiedzi jasno widać, że chodzi o prawidłowe loginy, a nie o prawidłowe logowania. Jeśli założyć, że ktoś potrafi przejąć całe pasmo udostępnione przez system to kwestia ile kont zablokuje przestaje mieć znaczenie bo i tak nikt się nie zaloguje;-). P.G. |
|
Data: 2010-08-11 15:32:32 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Wed, 11 Aug 2010 13:18:21 +0200, Piotr Gałka napisał(a):
To jest jasne cały czas. Widzisz, mam wrażenie, że rozpatrujesz to dalej, jako jednostkowy atak, który ma się odbyć w jak najkrótszym czasie ale nie o to chodzi. Jeżeli chciałbym do zrobić w minutę to po prostu poszedłby DDOS i tyle ;) Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i dłużej) czyli im dłużej tym większe prawdopodobieństwo, że logowanie będzie celne przy strzelaniu losowo. Jeżeli bank umożliwiałby potwierdzenie, który login jest używany wtedy można tworzyć bazę takich loginów. Z technicznego punktu widzenie obrona banku przed takim, jak to nazwałem "atakiem", jest w zasadzie mocno ograniczona, bo ciężko mi sobie wyobrazić aby bank tworzył listę IP, które mają/nie mają dostęp do logowania a na 3 próby musi zezwolić aby móc według procedury zablokować konto. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|
Data: 2010-08-12 11:08:05 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i3ufqg$9j7$1news.net.icm.edu.pl... Dnia Wed, 11 Aug 2010 13:18:21 +0200, Piotr Gałka napisał(a):Ja rozpatruję atak wieczysty, ale wymagający powtórzenia całej sekwencji co minutę, aby utrzymać blokady aktywne. Jednocześnie zakładam, że system nie pozwoli odkryć prawdziwych loginów więc blokowane będzie tyle ile się da, ale bez gwarancji, że są istniejące. Ja nie zacząłem od opisu ataku tylko od mojej propozycji (wymyślonej w parę minut, więc prawdopodobnie dalekiej od doskonałości) jak takie blokowanie powinno wyglądać od strony systemu (że po minucie się odblokowuje), argumentując, że takie ograniczenie pasma jest wystarczające aby uniemożliwić odkrycie prawdziwych loginów. Próba nieudanych logowań może trwać powiedzmy przez dwa tygodnie (albo i No właśnie ja się trzymam mojej wersji z założeniem, że tego nie da się potwierdzić. Nie że w obecnych systemach się nie da, tylko, że takie było moje założenie w pierwszej mojej wypowiedzi. Nie wiem, czy tak to jest robione, ale w pierwszym podejściu uważam, że z komputera użytkownika do systemu powinny być przesyłane: - login - zestaw: (hasło+tzw. sól) wydłużony kryptograficznie o minimum 20 bitów (na PC zajmie około 1s). Dopiero długi (np. 256 bitów) wynik jest przesyłany. Sól to dość długa (np. 128 bitów) jawna! stała dla danego użytkownika, ale dla każdego inna. Powoduje to, że atakujący sprawdzając wszystkie domniemane hasła nie może wykorzystać efektu skali. Nie może raz wyliczyć wydłużenia hasła i sprawdzić je dla miliona loginów tylko musi dla jednego sprawdzanego hasła obliczać to wydłużenie milion razy. A próbowanie wysyłania losowych wartości wyników (tych 256 bitów) mija się z celem ze względu na liczbę kombinacji. Z technicznego punktu widzenie obrona banku przed takim, jak toMoja teza (od początku) jest taka, że blokowanie na minutę (XX minut) jest wystarczające dla uniemożliwienia znalezienia atakującemu prawdziwego hasła (nie chodzi o to, że ten atak ma to na celu, tylko o spełnienie celu dla którego stosowane jest blokowanie po 3 nieudanych próbach), a jednocześnie zabezpiecza bank przed lawiną telefonów o zablokowanym loginie. I druga jest taka, że dodatkowo bank nie powinien pozwolić odkryć używanych loginów. I trzecia że tylko jeden na 1000 losowych loginów powinien trafiać w używany login. P.G. |
|
Data: 2010-08-12 10:03:50 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Thu, 12 Aug 2010 11:08:05 +0200, Piotr Gałka napisał(a):
Moja teza (od początku) jest taka, że blokowanie na minutę (XX minut) Ale tutaj kompletnie o to nie chodzi. Każdy użytkownik logując się aktualnie w banku na swój login ma możliwość zablokowania sobie konta. Tak jak w przypadku PIN są to 3 próby. I tylko o to chodzi o jak największą ilość zablokowanych kont. Właśnie mi przyszedł do głowy kolejny pomysł. Skanuje pod bankomatem karty ile się da, ale bez PINów, później je blokuję wpisując błędnie 3 raz zły PIN. Też może to wywołać małe albo i większe zamieszanie w banku, tak sądzę. -- xbartx |
|
Data: 2010-08-12 12:14:33 | |
Autor: Piotr Gałka | |
Zablokowanie dostępu przez www do konta w banku | |
Użytkownik "xbartx" <bart@hashzero.net> napisał w wiadomości news:i40gu5$3dg$1inews.gazeta.pl...
To nie budzi żadnych wątpliwości. Ja jedynie zasugerowałem jak by to mogło być, aby radykalnie ograniczyć możliwość złośliwego blokowania kont. P.G. |
|
Data: 2010-08-12 11:26:24 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Thu, 12 Aug 2010 12:14:33 +0200, Piotr Gałka napisał(a):
To nie budzi żadnych wątpliwości. Być może. Mi chodziło o mniej więcej podobny przypadek jak ten: http://preview.tinyurl.com/wielki-ddos W końcu ktoś może powiedzieć sprawdzam i to wiedziony jeno zwykła ludzką ciekawością ;) -- xbartx |
|
Data: 2010-08-12 12:18:13 | |
Autor: mvoicem | |
Zablokowanie dostępu przez www do konta w banku | |
(12.08.2010 12:03), xbartx wrote:
Dnia Thu, 12 Aug 2010 11:08:05 +0200, Piotr Gałka napisał(a): Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz aż go odkryją. Blokada wszystkich kart które się przewinęły przez ten bankomat w ostatnim czasie murowana. p. m. |
|
Data: 2010-08-12 11:24:28 | |
Autor: xbartx | |
Zablokowanie dostêpu przez www do konta w banku | |
Dnia Thu, 12 Aug 2010 12:18:13 +0200, mvoicem napisał(a):
Ale tak się często dzieje. Wystarczy że zainstalujesz skaner i poczekasz Ano fakt, tylko wtedy, rozkłada się to jednak na więcej banków o czy mnie pomyślałem. -- xbartx |
|
Data: 2010-08-11 13:23:38 | |
Autor: Jan Strybyszewski | |
Zablokowanie dostępu przez www do konta w banku | |
xbartx pisze:
Dnia Wed, 11 Aug 2010 11:07:15 +0200, Piotr Gałka napisał(a): Ale jaki masz ten botnet 100tys kompow wiecej ? Chyba nie sadzisz ze bank pozwoli na kilka prob roznych loginow tego samego kompa. |
|
Data: 2010-08-11 13:10:25 | |
Autor: Liwiusz | |
Zablokowanie dostępu przez www do konta w banku | |
Jan Strybyszewski pisze:
Ale jaki masz ten botnet 100tys kompow wiecej ? Uważasz, że nie pozwoli na kilka prób? -- Liwiusz |
|
Data: 2010-08-11 14:20:36 | |
Autor: Jan Strybyszewski | |
Zablokowanie dostępu przez www do konta w banku | |
Liwiusz pisze:
Jan Strybyszewski pisze: Dla roznych "loginów" w jednej sesji "ciasteczkowej" Pamietaj iz taki bootnet musiałby byc bardzo sprytny |
|
Data: 2010-08-11 21:21:25 | |
Autor: Rafał | |
Zablokowanie dostępu przez www do konta w banku | |
W dniu 2010-08-11 14:20, Jan Strybyszewski pisze:
Dla roznych "loginów" w jednej sesji "ciasteczkowej" Alior pozwoli. Kiedyś zapomniałem loginu i testowałem co mi do głowy przyszło. I tak całkiem długo. -- Raf |
|
Data: 2010-08-12 02:50:44 | |
Autor: Animka | |
Zablokowanie dostêpu przez www do konta w banku | |
W dniu 2010-08-11 21:21, Rafa³ pisze:
W dniu 2010-08-11 14:20, Jan Strybyszewski pisze: Wiêcej ni¿ 3 razy z jednego IP Ci siê nie uda. -- animka |
|
Data: 2010-08-11 11:47:09 | |
Autor: Michal Tyrala | |
Zablokowanie dostępu przez www do konta w banku | |
On Wed, 11 Aug 2010 11:07:15 +0200, Piotr Ga³ka wrote:
W³a¶nie wspomniany przez mnie brak informacji, czy konto prawid³owe, czy nie, wp³ynie na zmniejszenie liczby zablokowanych takim atakiem _istniej±cych_ kont. Mo¿na tak zrobiæ, ¿e tylko co setny (albo co tysiêczny) losowo wybrany login bêdzie prawdziwym loginem jakiego¶ konta. Jakis bank przydziela identyfikatory (loginy) klientom kolejno co jeden? -- Micha³ wiesiu jest spamtrapem. ja jestem kbns |