Сбер онлайн и его авторизация

Электронно-Вычислительные Машины и все, что с ними связано
Сообщение
Автор
Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#26 Сообщение SaaBaka » 09 сен 2020, 15:19

Ха писал(а):
09 сен 2020, 14:29
Нет других вариантов кроме менеджеров паролей. У меня десятки логинов важных, и под сотню менее важных - как им всем пароли запоминать, да еще и менять регулярно без менеджера?
Проблема только в том, что менеджер паролей обычно сам защищен паролем, и достаточно заграббить его (или биометрию) и базу данных менеджера. В таком раскладе пароли вообще перестают быть паролями строго говоря, функционально это просто токены, и в случае компрометирования менеджера паролей лесом идет не один аккаунт, а все разом.
Ха писал(а):
09 сен 2020, 14:29
А дырявым может быть всё, включая 2FA
Смысл 2FA именно в том, что он 2FA. Чтобы сломать (снаружи) 2FA, нужно сломать оба фактора, что резко понижает вероятность проблем.
Ха писал(а):
09 сен 2020, 14:29
Да и сколько можно таких брелоков на одной связке унести?
Брелки для всего не нужны, есть OTP аутентификаторы на смартфонах плюс пуши на смартфонах же.
Ха писал(а):
09 сен 2020, 14:29
Вот мы и вернулись к паролям, напечатанным на стикере... Не, не надо так.
Это совсем не то же самое, тк эти токены в отличие от паролей не используются постоянно и вообще одноразовые. Кстати, Гугль так делает, видимо они не понимают ничего.

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#27 Сообщение WingRabbit » 09 сен 2020, 15:32

Ха писал(а):
09 сен 2020, 13:48
Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова
Ок, у нас сервис максимум принимает 2к запросов в секунду, пусть чувак занимает их все. Сколько времени уйдет на то, чтобы попробовать все пароли из десяти цифр?

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#28 Сообщение Ха » 09 сен 2020, 15:34

SaaBaka писал(а):
09 сен 2020, 15:19
Проблема только в том, что менеджер паролей обычно сам защищен паролем, и достаточно заграббить его (или биометрию) и базу данных менеджера.
Менеджер паролей защищен и паролем и 2FA, разумеется. А вот менеджер 2FA защищен паролем и еще одним фактором на выбор. Нет разницы использовать банковский доступ по паролю + 2FA или открыть менеджер паролей по паролю + 2FA.

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#29 Сообщение WingRabbit » 09 сен 2020, 15:35

godzilla писал(а):
09 сен 2020, 14:07
WingRabbit писал(а):
09 сен 2020, 06:27
Как это работает?))
я бы вашей конторе, которая продает mobile solutions, посоветовал сначала бы зайти на свой сайт с мобилы
и попробовать потыкать в него..
Как это связано с тем, кто возжелает забрутфорсить чей-то пароль? Мне только это интересно, как сейчас работает брутфорс. Про последовательные запросы я знаю, что
Изображение

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#30 Сообщение WingRabbit » 09 сен 2020, 15:40

Короче, вот объясните, ну неужели сейчас ещё бывают серьезные взломы без человеческого фактора? Везде же в любом случае защита от брутфорса, многократные попытки зайти в аккаунт приведут к инста блокировке, везде 2FA. Как вообще возможно увести какой-нибудь аккаунт либо без серьезной уязвимости (тогда уводят все аккаунты сразу) либо без соц инженерии?

Аватара пользователя
godzilla
Сообщения: 10942
Зарегистрирован: 16 апр 2008, 10:16

Re: Сбер онлайн и его авторизация

#31 Сообщение godzilla » 09 сен 2020, 15:44

Ну эт я тоже давно хотел сказать. Сейчас все взломы через сошиал инжениринг идут, а не через сложность алгоритмов

Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#32 Сообщение SaaBaka » 09 сен 2020, 15:50

Ха писал(а):
09 сен 2020, 15:34
Менеджер паролей защищен и паролем и 2FA, разумеется.
Это что за менеджер паролей такой? Большая часть людей использует встроенные в браузеры (нет там такого), да и прочие вроде 1password используют мастер-пароль или биометрию для дешифрации локально хранимого ключа, это не 2FA.

В любом случае, компрометирование менеджера паролей эквивалентно взлому всех аккаунтов одновременно.

Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#33 Сообщение SaaBaka » 09 сен 2020, 15:54

WingRabbit писал(а):
09 сен 2020, 15:40
Как вообще возможно увести какой-нибудь аккаунт либо без серьезной уязвимости (тогда уводят все аккаунты сразу) либо без соц инженерии?
Вирус на винде, подхваченный на порносайте :D

И есть разница между угоном аккаунта и однократным входом. Зачем целиком сбербанковский аккаунт угонять, если нужен всего-то один перевод.

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#34 Сообщение Ха » 09 сен 2020, 15:56

godzilla писал(а):
09 сен 2020, 15:44
Ну эт я тоже давно хотел сказать. Сейчас все взломы через сошиал инжениринг идут, а не через сложность алгоритмов
Вот это правильно, но неточно. Если завтра к Годзиле придут люди и предложат пяток-другой миллионов и работу в долине за кусочек базы с хешами паролей и ключами 2FA клиентов сбера, то лучше бы хешам быть надежными ибо в годзилу я верю меньше чем в SHA256 от многозначного пароля. А если криворукий админ выложит бэкап базы на временно доступный из сети сервер, или сбербанковский годзила себе в винду скачает патч к КС с трояном - погонять после работы с пацанами... Ну такое. Социальная, панимашь, инженерия.

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#35 Сообщение WingRabbit » 09 сен 2020, 16:00

SaaBaka писал(а):
09 сен 2020, 15:54
Вирус на винде, подхваченный на порносайте
Аргумент! :D
SaaBaka писал(а):
09 сен 2020, 15:54
И есть разница между угоном аккаунта и однократным входом. Зачем целиком сбербанковский аккаунт угонять, если нужен всего-то один перевод.
Но ведь там всё равно 2FA! Нужен как логин-пароль, так и подтверждение со строннего устройства. Как зная только логин и пароль осуществить однократный вход?

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#36 Сообщение Ха » 09 сен 2020, 16:03

SaaBaka писал(а):
09 сен 2020, 15:50
Это что за менеджер паролей такой?
Это правильный менеджер паролей.
Большая часть людей использует встроенные в браузеры (нет там такого), да и прочие вроде 1password используют мастер-пароль или биометрию для дешифрации локально хранимого ключа, это не 2FA.
А это неправильные менеджеры паролей.
В любом случае, компрометирование менеджера паролей эквивалентно взлому всех аккаунтов одновременно.
При условии что взломают одновременно и менеджер 2FA, который все эти аккаунты защищает вместе с паролями. А если менеджер 2FA не утек, то при первой попытке что-то подобрать правильный менеджер паролей предложит поменять все пароли разом, причем многие - автоматически, без моего непосредственного участия.

зы: не стоит слишком обожествлять 2FA. Это всего лишь второй, дополнительный способ аутентификации, не панацея. Правильные люди используют сертификаты X-509, которые наглухо вмонтированы в аппаратный крипто-токен без возможности их вытащить. Оно же электронная подпись. Но для большинства юзеров это сложно, да и потерять такой брелок слишком легко.

Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#37 Сообщение SaaBaka » 09 сен 2020, 16:07

WingRabbit писал(а):
09 сен 2020, 16:00
Как зная только логин и пароль осуществить однократный вход?
Для сбербанка и пароли не нужны. Сотрудник салона связи перевыпускает сим-карту и вставляет ее в свой телефон, а дальше есть услуга sms-платежи :D

jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Re: Сбер онлайн и его авторизация

#38 Сообщение jam » 21 окт 2020, 10:03

А вот еще дырища от Сбера: https://masterok.livejournal.com/6654959.html
Кому лень много читать: платежная система Stripe позволяет оплачивать покупки без cvc кода, только по номеру карты.
Несмотря на то, что Stripe у нас "запрещена", никто не мешает на пендосском сайте что то купить, зная твой номер карты, Сбер при этом отмораживается "я не я и жопа не моя".
От така муйня, малята (с)

Marduk8
Сообщения: 592
Зарегистрирован: 23 авг 2012, 12:44

Re: Сбер онлайн и его авторизация

#39 Сообщение Marduk8 » 21 окт 2020, 10:26

Еще один булыжнище в огород Сбера, сменил оператора связи, номер телефона остался прежний, Сбер даже не заметил этого. Один ВТБ только через пару дней заблочил все нафиг мне и пришлось заново в отделение к ним идти.

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#40 Сообщение Ха » 21 окт 2020, 13:13

Marduk8 писал(а):
21 окт 2020, 10:26
Еще один булыжнище в огород Сбера, сменил оператора связи, номер телефона остался прежний, Сбер даже не заметил этого. Один ВТБ только через пару дней заблочил все нафиг мне и пришлось заново в отделение к ним идти.
Что-то не пойму: а как Сбер должен был отреагировать? Если номер остался прежним, то всё в порядке. Зачем блокировать то? У меня скорее к ВТБ вопросы в данном случае.

Marduk8
Сообщения: 592
Зарегистрирован: 23 авг 2012, 12:44

Re: Сбер онлайн и его авторизация

#41 Сообщение Marduk8 » 21 окт 2020, 13:57

Ха писал(а):
21 окт 2020, 13:13
Что-то не пойму: а как Сбер должен был отреагировать? Если номер остался прежним, то всё в порядке. Зачем блокировать то? У меня скорее к ВТБ вопросы в данном случае.
Как раз ВТБ правильно сделал. Они удостоверились что я, это еще я. Не знаю как у вас там, а у нас номер телефона, по мне, так это уже как паспорт, с ним завязано все.

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#42 Сообщение Ха » 21 окт 2020, 15:19

Marduk8 писал(а):
21 окт 2020, 13:57
Как раз ВТБ правильно сделал. Они удостоверились что я, это еще я. Не знаю как у вас там, а у нас номер телефона, по мне, так это уже как паспорт, с ним завязано все.
Смена провайдера еще не повод для тревоги. Если и хотели бы удостовериться, то есть мыло, есть 2FA (который без смс). Зачем блокировать весь сервис если есть всего-лишь мелкое подозрение, которое в 99% случаев неоправдано (клиент обязан сообщить банку сам о проблеме)? Это уже паранойя. А вот убытки клиента от блокировки - повод для истребования компенсации в суде.

jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Re: Сбер онлайн и его авторизация

#43 Сообщение jam » 23 ноя 2020, 15:21

Как тебе такое, Илон Маск?
Ввожу логин/пароль, потом число из СМС, и получается так, что жамкаю рядом с энтером цифру 3, т.е. в коде из СМС появляется лишняя цифра код в СМС 5987, в поле ввелось 59873, и ничо, сайт авторизует меня.

Ответить

Вернуться в «ЭВМ»