Независимый Форум города Дубна

Ха писал(а): ↑

09 сен 2020, 14:29

Нет других вариантов кроме менеджеров паролей. У меня десятки логинов важных, и под сотню менее важных - как им всем пароли запоминать, да еще и менять регулярно без менеджера?

Проблема только в том, что менеджер паролей обычно сам защищен паролем, и достаточно заграббить его (или биометрию) и базу данных менеджера. В таком раскладе пароли вообще перестают быть паролями строго говоря, функционально это просто токены, и в случае компрометирования менеджера паролей лесом идет не один аккаунт, а все разом.

Ха писал(а): ↑

09 сен 2020, 14:29

А дырявым может быть всё, включая 2FA

Смысл 2FA именно в том, что он 2FA. Чтобы сломать (снаружи) 2FA, нужно сломать оба фактора, что резко понижает вероятность проблем.

Ха писал(а): ↑

09 сен 2020, 14:29

Да и сколько можно таких брелоков на одной связке унести?

Брелки для всего не нужны, есть OTP аутентификаторы на смартфонах плюс пуши на смартфонах же.

Ха писал(а): ↑

09 сен 2020, 14:29

Вот мы и вернулись к паролям, напечатанным на стикере... Не, не надо так.

Это совсем не то же самое, тк эти токены в отличие от паролей не используются постоянно и вообще одноразовые. Кстати, Гугль так делает, видимо они не понимают ничего.

Ха писал(а): ↑

09 сен 2020, 13:48

Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова

Ок, у нас сервис максимум принимает 2к запросов в секунду, пусть чувак занимает их все. Сколько времени уйдет на то, чтобы попробовать все пароли из десяти цифр?

SaaBaka писал(а): ↑

09 сен 2020, 15:19

Проблема только в том, что менеджер паролей обычно сам защищен паролем, и достаточно заграббить его (или биометрию) и базу данных менеджера.

Менеджер паролей защищен и паролем и 2FA, разумеется. А вот менеджер 2FA защищен паролем и еще одним фактором на выбор. Нет разницы использовать банковский доступ по паролю + 2FA или открыть менеджер паролей по паролю + 2FA.

godzilla писал(а): ↑

09 сен 2020, 14:07

WingRabbit писал(а): ↑

09 сен 2020, 06:27

Как это работает?))

я бы вашей конторе, которая продает mobile solutions, посоветовал сначала бы зайти на свой сайт с мобилы
и попробовать потыкать в него..

Как это связано с тем, кто возжелает забрутфорсить чей-то пароль? Мне только это интересно, как сейчас работает брутфорс. Про последовательные запросы я знаю, что

Короче, вот объясните, ну неужели сейчас ещё бывают серьезные взломы без человеческого фактора? Везде же в любом случае защита от брутфорса, многократные попытки зайти в аккаунт приведут к инста блокировке, везде 2FA. Как вообще возможно увести какой-нибудь аккаунт либо без серьезной уязвимости (тогда уводят все аккаунты сразу) либо без соц инженерии?

Ну эт я тоже давно хотел сказать. Сейчас все взломы через сошиал инжениринг идут, а не через сложность алгоритмов

Ха писал(а): ↑

09 сен 2020, 15:34

Менеджер паролей защищен и паролем и 2FA, разумеется.

Это что за менеджер паролей такой? Большая часть людей использует встроенные в браузеры (нет там такого), да и прочие вроде 1password используют мастер-пароль или биометрию для дешифрации локально хранимого ключа, это не 2FA.

В любом случае, компрометирование менеджера паролей эквивалентно взлому всех аккаунтов одновременно.

WingRabbit писал(а): ↑

09 сен 2020, 15:40

Как вообще возможно увести какой-нибудь аккаунт либо без серьезной уязвимости (тогда уводят все аккаунты сразу) либо без соц инженерии?

Вирус на винде, подхваченный на порносайте

И есть разница между угоном аккаунта и однократным входом. Зачем целиком сбербанковский аккаунт угонять, если нужен всего-то один перевод.

godzilla писал(а): ↑

09 сен 2020, 15:44

Ну эт я тоже давно хотел сказать. Сейчас все взломы через сошиал инжениринг идут, а не через сложность алгоритмов

Вот это правильно, но неточно. Если завтра к Годзиле придут люди и предложат пяток-другой миллионов и работу в долине за кусочек базы с хешами паролей и ключами 2FA клиентов сбера, то лучше бы хешам быть надежными ибо в годзилу я верю меньше чем в SHA256 от многозначного пароля. А если криворукий админ выложит бэкап базы на временно доступный из сети сервер, или сбербанковский годзила себе в винду скачает патч к КС с трояном - погонять после работы с пацанами... Ну такое. Социальная, панимашь, инженерия.

SaaBaka писал(а): ↑

09 сен 2020, 15:54

Вирус на винде, подхваченный на порносайте

Аргумент!

SaaBaka писал(а): ↑

09 сен 2020, 15:54

И есть разница между угоном аккаунта и однократным входом. Зачем целиком сбербанковский аккаунт угонять, если нужен всего-то один перевод.

Но ведь там всё равно 2FA! Нужен как логин-пароль, так и подтверждение со строннего устройства. Как зная только логин и пароль осуществить однократный вход?

SaaBaka писал(а): ↑

09 сен 2020, 15:50

Это что за менеджер паролей такой?

Это правильный менеджер паролей.

Большая часть людей использует встроенные в браузеры (нет там такого), да и прочие вроде 1password используют мастер-пароль или биометрию для дешифрации локально хранимого ключа, это не 2FA.

А это неправильные менеджеры паролей.

В любом случае, компрометирование менеджера паролей эквивалентно взлому всех аккаунтов одновременно.

При условии что взломают одновременно и менеджер 2FA, который все эти аккаунты защищает вместе с паролями. А если менеджер 2FA не утек, то при первой попытке что-то подобрать правильный менеджер паролей предложит поменять все пароли разом, причем многие - автоматически, без моего непосредственного участия.

зы: не стоит слишком обожествлять 2FA. Это всего лишь второй, дополнительный способ аутентификации, не панацея. Правильные люди используют сертификаты X-509, которые наглухо вмонтированы в аппаратный крипто-токен без возможности их вытащить. Оно же электронная подпись. Но для большинства юзеров это сложно, да и потерять такой брелок слишком легко.

WingRabbit писал(а): ↑

09 сен 2020, 16:00

Как зная только логин и пароль осуществить однократный вход?

Для сбербанка и пароли не нужны. Сотрудник салона связи перевыпускает сим-карту и вставляет ее в свой телефон, а дальше есть услуга sms-платежи

А вот еще дырища от Сбера: https://masterok.livejournal.com/6654959.html
Кому лень много читать: платежная система Stripe позволяет оплачивать покупки без cvc кода, только по номеру карты.
Несмотря на то, что Stripe у нас "запрещена", никто не мешает на пендосском сайте что то купить, зная твой номер карты, Сбер при этом отмораживается "я не я и жопа не моя".
От така муйня, малята (с)

Еще один булыжнище в огород Сбера, сменил оператора связи, номер телефона остался прежний, Сбер даже не заметил этого. Один ВТБ только через пару дней заблочил все нафиг мне и пришлось заново в отделение к ним идти.

Marduk8 писал(а): ↑

21 окт 2020, 10:26

Еще один булыжнище в огород Сбера, сменил оператора связи, номер телефона остался прежний, Сбер даже не заметил этого. Один ВТБ только через пару дней заблочил все нафиг мне и пришлось заново в отделение к ним идти.

Что-то не пойму: а как Сбер должен был отреагировать? Если номер остался прежним, то всё в порядке. Зачем блокировать то? У меня скорее к ВТБ вопросы в данном случае.

Ха писал(а): ↑

21 окт 2020, 13:13

Что-то не пойму: а как Сбер должен был отреагировать? Если номер остался прежним, то всё в порядке. Зачем блокировать то? У меня скорее к ВТБ вопросы в данном случае.

Как раз ВТБ правильно сделал. Они удостоверились что я, это еще я. Не знаю как у вас там, а у нас номер телефона, по мне, так это уже как паспорт, с ним завязано все.

Marduk8 писал(а): ↑

21 окт 2020, 13:57

Как раз ВТБ правильно сделал. Они удостоверились что я, это еще я. Не знаю как у вас там, а у нас номер телефона, по мне, так это уже как паспорт, с ним завязано все.

Смена провайдера еще не повод для тревоги. Если и хотели бы удостовериться, то есть мыло, есть 2FA (который без смс). Зачем блокировать весь сервис если есть всего-лишь мелкое подозрение, которое в 99% случаев неоправдано (клиент обязан сообщить банку сам о проблеме)? Это уже паранойя. А вот убытки клиента от блокировки - повод для истребования компенсации в суде.

Как тебе такое, Илон Маск?
Ввожу логин/пароль, потом число из СМС, и получается так, что жамкаю рядом с энтером цифру 3, т.е. в коде из СМС появляется лишняя цифра код в СМС 5987, в поле ввелось 59873, и ничо, сайт авторизует меня.