Сбер онлайн и его авторизация

Электронно-Вычислительные Машины и все, что с ними связано
Сообщение
Автор
jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Сбер онлайн и его авторизация

#1 Сообщение jam » 08 сен 2020, 19:30

Вот такая вот жестяночка от основного банка Роиссии: https://twitter.com/sberbank/status/1302843162533208065
Кто по ссылкам не ходит - пароли к сберу не чувствительные к регистру, а значит хранятся (на их серверах) практически в открытом виде, а значит их можно слить.

VapSite
Сообщения: 896
Зарегистрирован: 05 окт 2015, 18:04

Re: Сбер онлайн и его авторизация

#2 Сообщение VapSite » 08 сен 2020, 19:36

авторизация все равно подтверждается временным паролем по тлф через смс ... не переживайте, ваш логин надежно защищён. Так-же система оповещения работает на ура.

jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Re: Сбер онлайн и его авторизация

#3 Сообщение jam » 08 сен 2020, 19:41

VapSite писал(а):
08 сен 2020, 19:36
не переживайте, ваш логин надежно защищён
По ссылке сбер точно так же ответил. Вы из сбера, да? :lol:

Изображение

alsolnze
Сообщения: 2516
Зарегистрирован: 16 дек 2010, 23:21

Re: Сбер онлайн и его авторизация

#4 Сообщение alsolnze » 08 сен 2020, 19:46

да, уж не зря служба безопасности нам названивает...
Трезвость - русская традиция!

Аватара пользователя
мура
Сообщения: 102461
Зарегистрирован: 01 фев 2009, 14:56
Откуда: Дубна

Re: Сбер онлайн и его авторизация

#5 Сообщение мура » 08 сен 2020, 19:58

Недавно меня пытались развести и карта была условно скомпрометирована. Я позвонил в СБ по номеру 900. Мне посоветовали перевыпуск карты. И вот что. Через сутки после блока карты и заказа перевыпуска у меня была виртуальная карта, с которой я уже мог производить все операции из личного кабинета и платить телефоном. Через 3 суток карту я забрал в отделении в Дубне. В том, в каком заказал просто по телефону. А старая была оформлена в Мск. Так что комикс выше про "где получали, туда и идите" устарел, камрады. Лично опробовано.

Аватара пользователя
Евгений-1
Сообщения: 4068
Зарегистрирован: 29 сен 2009, 20:09
Откуда: Россия
Контактная информация:

Re: Сбер онлайн и его авторизация

#6 Сообщение Евгений-1 » 08 сен 2020, 20:05

О чём говорить, если их приложение Сбербанк инвестор старо, как мир, в отзывах на приложение одни минусы, и годами ответ разработчиков, что ведутся работы по улучшению

jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Re: Сбер онлайн и его авторизация

#7 Сообщение jam » 08 сен 2020, 20:05

мура писал(а):
08 сен 2020, 19:58
Так что комикс выше про "где получали, туда и идите" устарел, камрады.
Тема в ЭВМ, она для гиков. А "где получали, туда и идите" это монопенисуально тому п...цу с авторизацией в разрезе раздела.

Аватара пользователя
godzilla
Сообщения: 10953
Зарегистрирован: 16 апр 2008, 10:16

Re: Сбер онлайн и его авторизация

#8 Сообщение godzilla » 08 сен 2020, 20:12

jam писал(а):
08 сен 2020, 19:30
а значит хранятся (на их серверах) практически в открытом виде
откуда это значит-то?
не понятна логика

в чем отличие от case sensitive? Делается один регистр, потом с него берется хэш.

jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Re: Сбер онлайн и его авторизация

#9 Сообщение jam » 08 сен 2020, 20:17

godzilla писал(а):
08 сен 2020, 20:12
Делается один регистр, потом с него берется хэш.
на клиенте

Код: Выделить всё

md5sum(to_lower(password))
Так штоли?

Аватара пользователя
godzilla
Сообщения: 10953
Зарегистрирован: 16 апр 2008, 10:16

Re: Сбер онлайн и его авторизация

#10 Сообщение godzilla » 08 сен 2020, 20:19

да

вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет

jam
Сообщения: 5887
Зарегистрирован: 01 ноя 2008, 11:15
Откуда: а сам то как думаешь?

Re: Сбер онлайн и его авторизация

#11 Сообщение jam » 08 сен 2020, 20:22

godzilla писал(а):
08 сен 2020, 20:19
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
если все же хеш хранится от приведения регистров, тогда норм, а иначе, придется пароли в открытом виде хранить, md5 обратной силы не имеет, чтобы на сервере сравнивать без учета регистра

Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#12 Сообщение SaaBaka » 08 сен 2020, 23:17

Во-первых, какой нафиг md5, он deprecated еще лет десять назад, нынче всякие scrypt/sha3/argon. Во вторых, идиотизм банков воистину не имеет границ - зачем использовать смс со всеми вытекающими рисками, когда можно использовать TOTP?

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#13 Сообщение Ха » 09 сен 2020, 05:56

godzilla писал(а):
08 сен 2020, 20:19
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
Разница между второй и третьей колонкой:

Изображение

Правда, это важно если слили базу паролей налево вместе с алгоритмом и солтом, потому как в онлайне не дадут брутфорсить миллион паролей в секунду, разве что ботнетом с уникальных айпи. Да и 2FA есть, хоть и не пуш, а слабый, через SMS.

Но всё равно игнорирование регистра - реальная проблема для тех у кого пароль это минимальные восемь символов - теоретически некоторые будут иметь что-то словарное + цифры из даты рождения + восклицательный знак. Вот это можно и за три попытки угадать, если 2FA не включен. Ну или оффлайн подобрать за секунду. А вот 15+ случайных символов в обоих регистрах + цифры + спецсимволы это уже нереально даже с базовым SHA256 подобрать.

зы: MD5 разумеется уже давно никто не использует...

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#14 Сообщение WingRabbit » 09 сен 2020, 06:00

Ха писал(а):
09 сен 2020, 05:56
если 2FA не включен
Ключевая фраза. Неужели где-то есть ещё серьезные сервисы, которые не принуждают юзера к 2FA?)

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#15 Сообщение WingRabbit » 09 сен 2020, 06:03

А с мультифакторной аутентификацией можно хоть из пяти чисел пароль воткнуть - толку от его взлома будет примерно ноль в большинстве случаев, всё равно социальная инженерия будет нужна.

Да и неужели где-то ещё нет защиты от брутфорса и принудительной блокировки после нескольких запросов с неправильными паролями?)

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#16 Сообщение WingRabbit » 09 сен 2020, 06:27

Ну и еще объясните мне пжлст (я ща серьезно, вообще не шарю), а то тут в треде прям толпа экспертов по шифрованию собралась. Вон в табличке у Лаки написано, что брутфорснуть пароль из 11 цифр - это две секунды,а из десяти - так и вообще по щелчку пальца. Составить словарь - верю, но подобрать пароль, тем более, что мы тут об онлайн-сервисах говорим? У нас приложения общаются между собой в рамках одного апликейшн сервера, и обычный http-запрос на рест точку с авторизацией занимает 150-200 мс. Ну пускай всё оптимизировано, летает, у хацкера крутой канал и он за 50мс может пульнуть запрос на сервак и получить ответ. При этом у нас нет не то что 2FA, а еще и защиты от брутфорса, проверки айпишников, и сервер просто в тупую впускает всех с правильной парой логин-пароль и говорит "сорян" всем с неправильной. 50мс на запрос = 20 запросов в секунду = 72000 запросов в час = 1728000 запросов в сутки. При таком темпе перебор всех девятизначных чисел займет чуток побольше года :smile:

Как это работает?))

И при этом у нас сервер еще тупой как пробка, не бьёт тревогу после нескольких неудачных попыток, моментально отдаёт результат и позволяет годами в него ломиться. Как вообще в принципе возможен брутфорс, когда http запросы со своим долгим временем ответа сами по себе уже лучшая защита?)

Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#17 Сообщение SaaBaka » 09 сен 2020, 12:37

Имеется в виду сценарий, когда сперли базу данных с шифрованными паролями. Перебирать через запросы не выйдет, обычно в этом месте есть алгоритм с экспоненциально возрастающей задержкой ответов вплоть до полной блокировки на период времени.

Откуда цифры в таблице Лаки тоже неясно - популярные функции шифрования паролей (тот же scrypt) параметризуются уровнем сложности (rounds + memory), если использовать рекомендуемые параметры то он плохо масштабируется (требует много памяти и не влазит в CPU cache, нет смысла гонять на GPU). Параметры тут принципиально важны, тк из-за криптомайнинга появились специализированные железки под это дело, которые могут быстро чикать тот же scrypt конфигуренный под небольшую память. Что наводит на мысли, что и для паролей лучше использовать специальные ASIC-resistant алгоритмы вроде RandomX, чтобы враги не подкопались. Естественно, также есть таблицы популярных паролей, которые в первую очередь перебираются.

Да, банки почему-то не любят человеческий 2FA, а используют SMS, что совершенно ненадежно по ряду известных всем давно причин. Вопрос - нахрена, если есть более надежные, и при том стандартные методы? Сейчас у каждого первого смартфоны, где может стоять Aegis, Google Authenticator и прочая. А для тех у кого смартфонов нет или вообще лень иконки нажимать, OTP брелки по типу RSA SecureID уже лет двадцать используются минимум.

Вообще, по моим наблюдениям, есть хорошие программисты, есть просто программисты, есть индусы, есть студенты, и наконец программисты в банках.

Аватара пользователя
romansyone
Сообщения: 7138
Зарегистрирован: 05 июл 2009, 01:51
Откуда: местный

Re: Сбер онлайн и его авторизация

#18 Сообщение romansyone » 09 сен 2020, 12:44

Как я понял, минус виртуальной карты такой, не возможно получить чек по операциям. А именно чОткая расшифровка транзакции. Номер счёта отправителя и получателя. Только сумма, ФИО, и дата перевода. То есть можно спонсировать ИГИЛ, и никто об этом не узнает. В поддержке мне так и сказали.
Почему минус, да потому что мне нужно к авансовому отчёту после командировки прикладывать тот самый чек, что платил именно я со своего счета именно на счёт гостиницы..
...намБЫдоДАМбы...

Аватара пользователя
godzilla
Сообщения: 10953
Зарегистрирован: 16 апр 2008, 10:16

Re: Сбер онлайн и его авторизация

#19 Сообщение godzilla » 09 сен 2020, 12:44

SaaBaka писал(а):
09 сен 2020, 12:37
наконец программисты в банках.
ОИЯИ-боги полетели на жопном топливе

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#20 Сообщение Ха » 09 сен 2020, 13:48

Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова. "20 запросов в секунду, 72000 запросов в час" - в мемориз, с-ка. Понимаю, что это кафедра САУ Университет Дубна, и особо не надеялся, но нельзя же так. Но вкупе с регистронезависимыми паролями Сбера очень в тему. Годзила-программист, который получает тыщи нефти в Сбере и не в курсе от чего зависит криптостойкость хешей это даже не пять, а уже шесть из пяти.

2SaaBaaka: AES256 или AES512 и нормальная длина пароля в 14-20 символов гарантируют что ни FPGA, ни ASIC ни GPU не подберут пароль за тысячи лет. И вообще - при повсеместном распространении менеджеров паролей пора требовать длину в 20 символов. Правда, большинство россиян пользует китайские смарты, набитые фабричными бэкдорами и троянами, плюс еще и игрушек зараженных ставят. Какая там безопасность к ху-ям если вся инфа уходит быстрее чем приходит.

Аватара пользователя
godzilla
Сообщения: 10953
Зарегистрирован: 16 апр 2008, 10:16

Re: Сбер онлайн и его авторизация

#21 Сообщение godzilla » 09 сен 2020, 14:07

WingRabbit писал(а):
09 сен 2020, 06:27
Как это работает?))
я бы вашей конторе, которая продает mobile solutions, посоветовал сначала бы зайти на свой сайт с мобилы
и попробовать потыкать в него..

Аватара пользователя
SaaBaka
Сообщения: 5252
Зарегистрирован: 14 апр 2008, 14:54
Откуда: Laniakea Supercluster

Re: Сбер онлайн и его авторизация

#22 Сообщение SaaBaka » 09 сен 2020, 14:14

Ха писал(а):
09 сен 2020, 13:48
2SaaBaaka: AES256 или AES512 и нормальная длина пароля в 14-20 символов
Никогда не встречал живого юзера, делавшего пароль 20 символов... такие бывают вообще?

Дело в том, что слишком сложные и длинные пароли, которые невозможно запомнить - это тоже антипаттерн, ведущий к стикерам с паролями на мониторах и рабочих местах. Слишком длинные пароли также неудобно набирать. Человеческий фактор не менее (а скорее всего более) важен, чем усложнение паролей. Менеджеры паролей тоже не панацея, так как сами по себе могут быть дырявыми, да и яйца в одной корзине...

Лечится это только через правильно сделанный 2FA, при котором длина пароля перестает иметь принципиальное значение. Часто второй фактор 2FA защищается еще биометрией, например - тот же Aegis под андроид так делает. Системы 2FA обычно имеют также защиту при утере одного фактора - например, сгенерированные одноразовые токены для восстановления пароля, которые можно напечатать на бумажке и убрать в сейф.

В общем, если вы еще не включили 2FA на своем гугль аккаунте, сейчас самое время :D

maks.,
Сообщения: 2128
Зарегистрирован: 19 апр 2016, 14:25

Re: Сбер онлайн и его авторизация

#23 Сообщение maks., » 09 сен 2020, 14:28

SaaBaka писал(а):
09 сен 2020, 14:14
Никогда не встречал живого юзера, делавшего пароль 20 символов... такие бывают вообще?
Я слышал об одном, Сноуден зовут
So what should people do for their passwords? While Oliver’s suggestion of “limpbiscuit4eva” was a flop, Snowden had some helpful advice: Forget about passwords and go with “passphrases,” or phrases that are long, unique, and thus easy to remember.
У меня вот мнемоническая фраза на биткойн-кошельке из 12 слов типа "cold finish bridge..."

Аватара пользователя
Ха
Сообщения: 3455
Зарегистрирован: 29 дек 2019, 17:46
Откуда: Дубна / Нью-Йорк

Re: Сбер онлайн и его авторизация

#24 Сообщение Ха » 09 сен 2020, 14:29

SaaBaka писал(а):
09 сен 2020, 14:14
Дело в том, что слишком сложные и длинные пароли, которые невозможно запомнить - это тоже антипаттерн, ведущий к стикерам с паролями на мониторах и рабочих местах. Слишком длинные пароли также неудобно набирать. Человеческий фактор не менее (а скорее всего более) важен, чем усложнение паролей. Менеджеры паролей тоже не панацея, так как сами по себе могут быть дырявыми, да и яйца в одной корзине...
Нет других вариантов кроме менеджеров паролей. У меня десятки логинов важных, и под сотню менее важных - как им всем пароли запоминать, да еще и менять регулярно без менеджера? А дырявым может быть всё, включая 2FA. И sms утекают в посторонние аппы, которым разрешение дали, и TOTP-секреты хранятся в общей памяти, и трояны делают скрины активных приложений.
Лечится это только через правильно сделанный 2FA, при котором длина пароля перестает иметь принципиальное значение.
Длина пароля всегда имеет значение, и базы даже сегодня утекают. Иначе можно оставить только одноразовые пароли TOTP и забыть про основные. Но так не делают и тому есть серьезные причины. Да, RSA-брелок чутка помогает, но и там с активной сессией есть свои заморочки. Да и сколько можно таких брелоков на одной связке унести? Не такие уж они и легкие. И обьемные из-за экрана и батарейки, зараза.
Часто второй фактор 2FA защищается еще биометрией
Отпечатки пальца или фото лица это всё нестрогие методы аутентикации, и довольно глючные. Лучше уж дополнительные пинкоды.
Системы 2FA обычно имеют также защиту при утере одного фактора - например, сгенерированные одноразовые токены для восстановления пароля, которые можно напечатать на бумажке и убрать в сейф.
Вот мы и вернулись к паролям, напечатанным на стикере... Не, не надо так.

Аватара пользователя
WingRabbit
Сообщения: 25471
Зарегистрирован: 19 сен 2011, 18:35
Откуда: Москва -> Дубна -> Торонто

Re: Сбер онлайн и его авторизация

#25 Сообщение WingRabbit » 09 сен 2020, 15:18

Ха писал(а):
09 сен 2020, 13:48
Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова. "20 запросов в секунду, 72000 запросов в час" - в мемориз, с-ка. Понимаю, что это кафедра САУ Университет Дубна, и особо не надеялся, но нельзя же так.
Я как бы сразу написал, что не в курсе от слова совсем. Я просто спросил, как осуществляется брутфорс. Про конкаренси я даже не думал, я пытался представить, как бы я брутфорсил. Сейчас перечитал, сам себе лоб отбил))

Ответить

Вернуться в «ЭВМ»