Ostatnio to mi się tak bardzo rzuciło w oczy, jak robiłem przelew i przy logowaniu do konta z hasła, które ma +10 znaków, bank poprosił mnie o podanie tylko 3 czy oni są poważni? Jak jest w Waszych bankach ?
W dodatku jak się wpisze źle hasło, to trzeba podawać te znaki do skutku, a nie, że proszę o podanie innej ilości liter w innych miejscach.
Ma to więcej sensu niż ci się wydaje. Jeśli ktoś przechwyci twoje logowanie to dostanie tylko kilka losowych znaków hasła a nie całe hasło. W efekcie ktoś musiałby cię podsłuchiwać przez wiele logowań żeby móc odgadnąć całe hasło, albo przynajmniej tyle znaków żeby akurat znać te o które system spyta przy logowaniu.
Gdyby system za każdym razem prosił o inne znaki to ktoś podsłuchałby jedno logowanie a potem mielił do skutku aż system spyta o te które znasz. System zwykle zmienia znaki o ktore pyta ale co X prób.
Nie do skutku tylko możesz to zrobić 3x i zablokują ci później konto. Musisz iść do banku i podpisać kwitek. W PEKAO SA możesz zalogować się na aplikację i wtedy również konto internetowe sobie można odblokować
Przy okazji, bardzo mnie denerwuje takie wpisywanie hasła po kawałku.
This method of password entry is popular in bank sites in Poland. It's called masked passwords. It's meant to protect from keyloggers - and keyloggers only. The password transmission itself is protected from sniffing with SSL, so the reasoning is that if keylogger is installed on client's device, it will never get access to the full password.
However, this logic has a few flaws:
Attacker needs to enter fewer characters (e.g. only 4 characters, often numbers only) for a single try. Therefore it's easier to brute force this authentication step. That is why masked passwords need to be paired with account lockout policy.
With just a few known characters at certain positions (e.g. gathered by a keylogger/screengrabber) attacker can simply try logging in when the server chose positions he knows and refresh when others were chosen. So often masked passwords implementation stores the positions choice for an account server-side for certain amount of time (e.g. a day) until successful authentication.
Getting to know the whole password only needs capturing a few successful authentications (e.g. when password length is 12 and there are always 4 positions chosen, it usually takes 8 tries), so a keylogger/screengrabber will get it - it will just take a little bit longer.
The biggest threat for Internet banking authentication is malware (man-in-the-browser attacks) like ZeUS or SpyEye and this kind of software usually conducts social engineering attacks that totally overcome masked passwords scheme. For example, this software can:
ask for a whole password
display a fake password change form after fake authentication
simulate password entry errors and redisplay the form with other positions to fill to get full password in 2-3 tries
Masked passwords are being difficult to handle for users and tricky to implement correctly. At the very least developers need to add account lockout policy, positions choice storage and partial hashes.
Contrary to popular belief, masked password, especially in e-banking sites, though they offer protection from basic keylogging, completely fail to other, more prevalent threats like malware utilizing social engineering.
@WeiXiao no tak, ale to zawsze trochę dodatkowej protekcji. Jasne ze to nie panaceum które rozwiazuje wszystkie problemy, ale zawsze lepiej jak atakujacy musi cię sniffować przez dłuższy czas bo jest szansa że się zorientujesz, więc te argumenty są bez sensu. Że utrudnia implementacje? Takie życie. Szyfrowanie połączeń też utrudnia implementacje, ale to nie znaczy ze nie należy tego robić.
it will just take a little bit longer.
To "tylko trochę dłużej" sprawia, że wiele ataków nie ma żadnych szans powodzenia. Chodzi mi o sytuację, gdy logujesz się do bankowości internetowej z nie swojego komputera. Jeśli takie coś się zdarza, to raczej logujesz się raz i nigdy więcej. Pojedyncze logowanie atakującemu nic nie da...
Shalom napisał(a):
Ma to więcej sensu niż ci się wydaje.
To jak dla mnie powinno to być udoskonalone w ten sposób, że ilość kratek, która się pokazuje nie odzwierciedla ilości znaków w haśle, bo tak jak ktoś wpisze nasz login pojawia mu się dokładnie taka ilość kratek ile hasło ma liter, więc jest to słabe jak dla mnie.
Powinni zrobić tak, że wpisujesz login, pojawia się duża liczba kratek, większa od ilości liter w haśle + dodatkowo powinno być tak, że są wolne kratki w które wpisujesz te swoje litery w kratkach, które są poza długością hasła, w ten sposób, jakby ktoś próbował się włamać nigdy nie miałby pojęcia z ilu liter hasło faktycznie się składa, a tak dostaje to od razu na tacy, wpisując tylko login ...
A i w te wolne kratki (w które można wpisywać) poza długością hasła, można byłoby zostawić puste albo wpisać dowolną literę, żeby ewentualnie zmylić tego kogoś.
To jak dla mnie powinno to być udoskonalone w ten sposób, że ilość kratek, która się pokazuje nie odzwierciedla ilości znaków w haśle, bo tak jak ktoś wpisze nasz login pojawia mu się dokładnie taka ilość kratek ile hasło ma liter, więc jest to słabe jak dla mnie.
We wszystkich bankach, do których się loguję, tak właśnie jest...
aurel napisał(a):
To jak dla mnie powinno to być udoskonalone w ten sposób, że ilość kratek, która się pokazuje nie odzwierciedla ilości znaków w haśle, bo tak jak ktoś wpisze nasz login pojawia mu się dokładnie taka ilość kratek ile hasło ma liter, więc jest to słabe jak dla mnie.
We wszystkich bankach, do których się loguję, tak właśnie jest...
U mnie nie :d Chyba pora zmienić bank.
@aurel - w Alior Banku jeszcze na to nie wpadli, ale oni ogólnie są zacofani.
Maskowanie haseł w typowym przypadku wcale nie zwiększa bezpieczeństwa.
To działa tylko wtedy kiedy ktoś loguje się na nieswoim urządzeniu i to max kilka razy.
W pozostałych przypadkach tylko pogarsza UX i zwiększa liczbę wektorów ataku i miejsca na popełnienie błędu.
Przykład fuckupu:
https://niebezpiecznik.pl/wp-content/uploads/2014/11/1__Niebezpiecznik.png
Wiadomo, że nikt tego nie będzie trzymał plaintextem, ale nawet jak użyje algorytmu Shamira, to dalej jest problem bo pobierając hash hasła z bazy nie ma danych do do jego długości więc albo zapisuje się ją obok hasha(czyli zniejsza jego bezpieczeństwo), albo losuje się maskę z zawsze n znaków(czyli zmniejsza bezpieczeństwo).
To jest kwestia tego, że jedna osoba ma hasło 10 znaków, a inna 40 znaków i bez znajomości długości hasła przy np 5 znakach może wylosować znaki na pozycji >10 i wtedy pierwszy ma problem, albo znaki na pozycjach <10 i wtedy ktoś kto ma hasło 40 znaków efektywnie ma hasło 10 znaków.
Jedyna sensowna zaleta, to marketing, bo można powiedzieć wtedy, że nasz bank jest bezpieczny.
@Indżynier:
W moim banku ilość kratek jest równa indeksowi ostatniej niepustej kratki. Niespecjalnie jest sens stawiać dodatkowe kratki, bo gdy obcinasz ilość kratek do ostatniej niepustej to atakujący i tak nie jest pewien długości twojego hasła.
Uczynny Ogrodnik:
Jeśli bank ma problemy z takim banałem jak maskowanie hasła to strach myśleć co jeszcze się kryje w jego wynalazkach.
