Сбер онлайн и его авторизация
Сбер онлайн и его авторизация
Вот такая вот жестяночка от основного банка Роиссии: https://twitter.com/sberbank/status/1302843162533208065
Кто по ссылкам не ходит - пароли к сберу не чувствительные к регистру, а значит хранятся (на их серверах) практически в открытом виде, а значит их можно слить.
Кто по ссылкам не ходит - пароли к сберу не чувствительные к регистру, а значит хранятся (на их серверах) практически в открытом виде, а значит их можно слить.
Re: Сбер онлайн и его авторизация
авторизация все равно подтверждается временным паролем по тлф через смс ... не переживайте, ваш логин надежно защищён. Так-же система оповещения работает на ура.
Re: Сбер онлайн и его авторизация
да, уж не зря служба безопасности нам названивает...
Трезвость - русская традиция!
Re: Сбер онлайн и его авторизация
Недавно меня пытались развести и карта была условно скомпрометирована. Я позвонил в СБ по номеру 900. Мне посоветовали перевыпуск карты. И вот что. Через сутки после блока карты и заказа перевыпуска у меня была виртуальная карта, с которой я уже мог производить все операции из личного кабинета и платить телефоном. Через 3 суток карту я забрал в отделении в Дубне. В том, в каком заказал просто по телефону. А старая была оформлена в Мск. Так что комикс выше про "где получали, туда и идите" устарел, камрады. Лично опробовано.
Re: Сбер онлайн и его авторизация
О чём говорить, если их приложение Сбербанк инвестор старо, как мир, в отзывах на приложение одни минусы, и годами ответ разработчиков, что ведутся работы по улучшению
Re: Сбер онлайн и его авторизация
на клиенте
Код: Выделить всё
md5sum(to_lower(password))
Re: Сбер онлайн и его авторизация
да
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
Re: Сбер онлайн и его авторизация
если все же хеш хранится от приведения регистров, тогда норм, а иначе, придется пароли в открытом виде хранить, md5 обратной силы не имеет, чтобы на сервере сравнивать без учета регистра
Re: Сбер онлайн и его авторизация
Во-первых, какой нафиг md5, он deprecated еще лет десять назад, нынче всякие scrypt/sha3/argon. Во вторых, идиотизм банков воистину не имеет границ - зачем использовать смс со всеми вытекающими рисками, когда можно использовать TOTP?
Re: Сбер онлайн и его авторизация
Разница между второй и третьей колонкой:
Правда, это важно если слили базу паролей налево вместе с алгоритмом и солтом, потому как в онлайне не дадут брутфорсить миллион паролей в секунду, разве что ботнетом с уникальных айпи. Да и 2FA есть, хоть и не пуш, а слабый, через SMS.
Но всё равно игнорирование регистра - реальная проблема для тех у кого пароль это минимальные восемь символов - теоретически некоторые будут иметь что-то словарное + цифры из даты рождения + восклицательный знак. Вот это можно и за три попытки угадать, если 2FA не включен. Ну или оффлайн подобрать за секунду. А вот 15+ случайных символов в обоих регистрах + цифры + спецсимволы это уже нереально даже с базовым SHA256 подобрать.
зы: MD5 разумеется уже давно никто не использует...
- WingRabbit
- Сообщения: 25471
- Зарегистрирован: 19 сен 2011, 18:35
- Откуда: Москва -> Дубна -> Торонто
- WingRabbit
- Сообщения: 25471
- Зарегистрирован: 19 сен 2011, 18:35
- Откуда: Москва -> Дубна -> Торонто
Re: Сбер онлайн и его авторизация
А с мультифакторной аутентификацией можно хоть из пяти чисел пароль воткнуть - толку от его взлома будет примерно ноль в большинстве случаев, всё равно социальная инженерия будет нужна.
Да и неужели где-то ещё нет защиты от брутфорса и принудительной блокировки после нескольких запросов с неправильными паролями?)
Да и неужели где-то ещё нет защиты от брутфорса и принудительной блокировки после нескольких запросов с неправильными паролями?)
- WingRabbit
- Сообщения: 25471
- Зарегистрирован: 19 сен 2011, 18:35
- Откуда: Москва -> Дубна -> Торонто
Re: Сбер онлайн и его авторизация
Ну и еще объясните мне пжлст (я ща серьезно, вообще не шарю), а то тут в треде прям толпа экспертов по шифрованию собралась. Вон в табличке у Лаки написано, что брутфорснуть пароль из 11 цифр - это две секунды,а из десяти - так и вообще по щелчку пальца. Составить словарь - верю, но подобрать пароль, тем более, что мы тут об онлайн-сервисах говорим? У нас приложения общаются между собой в рамках одного апликейшн сервера, и обычный http-запрос на рест точку с авторизацией занимает 150-200 мс. Ну пускай всё оптимизировано, летает, у хацкера крутой канал и он за 50мс может пульнуть запрос на сервак и получить ответ. При этом у нас нет не то что 2FA, а еще и защиты от брутфорса, проверки айпишников, и сервер просто в тупую впускает всех с правильной парой логин-пароль и говорит "сорян" всем с неправильной. 50мс на запрос = 20 запросов в секунду = 72000 запросов в час = 1728000 запросов в сутки. При таком темпе перебор всех девятизначных чисел займет чуток побольше года
Как это работает?))
И при этом у нас сервер еще тупой как пробка, не бьёт тревогу после нескольких неудачных попыток, моментально отдаёт результат и позволяет годами в него ломиться. Как вообще в принципе возможен брутфорс, когда http запросы со своим долгим временем ответа сами по себе уже лучшая защита?)
Как это работает?))
И при этом у нас сервер еще тупой как пробка, не бьёт тревогу после нескольких неудачных попыток, моментально отдаёт результат и позволяет годами в него ломиться. Как вообще в принципе возможен брутфорс, когда http запросы со своим долгим временем ответа сами по себе уже лучшая защита?)
Re: Сбер онлайн и его авторизация
Имеется в виду сценарий, когда сперли базу данных с шифрованными паролями. Перебирать через запросы не выйдет, обычно в этом месте есть алгоритм с экспоненциально возрастающей задержкой ответов вплоть до полной блокировки на период времени.
Откуда цифры в таблице Лаки тоже неясно - популярные функции шифрования паролей (тот же scrypt) параметризуются уровнем сложности (rounds + memory), если использовать рекомендуемые параметры то он плохо масштабируется (требует много памяти и не влазит в CPU cache, нет смысла гонять на GPU). Параметры тут принципиально важны, тк из-за криптомайнинга появились специализированные железки под это дело, которые могут быстро чикать тот же scrypt конфигуренный под небольшую память. Что наводит на мысли, что и для паролей лучше использовать специальные ASIC-resistant алгоритмы вроде RandomX, чтобы враги не подкопались. Естественно, также есть таблицы популярных паролей, которые в первую очередь перебираются.
Да, банки почему-то не любят человеческий 2FA, а используют SMS, что совершенно ненадежно по ряду известных всем давно причин. Вопрос - нахрена, если есть более надежные, и при том стандартные методы? Сейчас у каждого первого смартфоны, где может стоять Aegis, Google Authenticator и прочая. А для тех у кого смартфонов нет или вообще лень иконки нажимать, OTP брелки по типу RSA SecureID уже лет двадцать используются минимум.
Вообще, по моим наблюдениям, есть хорошие программисты, есть просто программисты, есть индусы, есть студенты, и наконец программисты в банках.
Откуда цифры в таблице Лаки тоже неясно - популярные функции шифрования паролей (тот же scrypt) параметризуются уровнем сложности (rounds + memory), если использовать рекомендуемые параметры то он плохо масштабируется (требует много памяти и не влазит в CPU cache, нет смысла гонять на GPU). Параметры тут принципиально важны, тк из-за криптомайнинга появились специализированные железки под это дело, которые могут быстро чикать тот же scrypt конфигуренный под небольшую память. Что наводит на мысли, что и для паролей лучше использовать специальные ASIC-resistant алгоритмы вроде RandomX, чтобы враги не подкопались. Естественно, также есть таблицы популярных паролей, которые в первую очередь перебираются.
Да, банки почему-то не любят человеческий 2FA, а используют SMS, что совершенно ненадежно по ряду известных всем давно причин. Вопрос - нахрена, если есть более надежные, и при том стандартные методы? Сейчас у каждого первого смартфоны, где может стоять Aegis, Google Authenticator и прочая. А для тех у кого смартфонов нет или вообще лень иконки нажимать, OTP брелки по типу RSA SecureID уже лет двадцать используются минимум.
Вообще, по моим наблюдениям, есть хорошие программисты, есть просто программисты, есть индусы, есть студенты, и наконец программисты в банках.
- romansyone
- Сообщения: 7138
- Зарегистрирован: 05 июл 2009, 01:51
- Откуда: местный
Re: Сбер онлайн и его авторизация
Как я понял, минус виртуальной карты такой, не возможно получить чек по операциям. А именно чОткая расшифровка транзакции. Номер счёта отправителя и получателя. Только сумма, ФИО, и дата перевода. То есть можно спонсировать ИГИЛ, и никто об этом не узнает. В поддержке мне так и сказали.
Почему минус, да потому что мне нужно к авансовому отчёту после командировки прикладывать тот самый чек, что платил именно я со своего счета именно на счёт гостиницы..
Почему минус, да потому что мне нужно к авансовому отчёту после командировки прикладывать тот самый чек, что платил именно я со своего счета именно на счёт гостиницы..
...намБЫдоДАМбы...
Re: Сбер онлайн и его авторизация
Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова. "20 запросов в секунду, 72000 запросов в час" - в мемориз, с-ка. Понимаю, что это кафедра САУ Университет Дубна, и особо не надеялся, но нельзя же так. Но вкупе с регистронезависимыми паролями Сбера очень в тему. Годзила-программист, который получает тыщи нефти в Сбере и не в курсе от чего зависит криптостойкость хешей это даже не пять, а уже шесть из пяти.
2SaaBaaka: AES256 или AES512 и нормальная длина пароля в 14-20 символов гарантируют что ни FPGA, ни ASIC ни GPU не подберут пароль за тысячи лет. И вообще - при повсеместном распространении менеджеров паролей пора требовать длину в 20 символов. Правда, большинство россиян пользует китайские смарты, набитые фабричными бэкдорами и троянами, плюс еще и игрушек зараженных ставят. Какая там безопасность к ху-ям если вся инфа уходит быстрее чем приходит.
2SaaBaaka: AES256 или AES512 и нормальная длина пароля в 14-20 символов гарантируют что ни FPGA, ни ASIC ни GPU не подберут пароль за тысячи лет. И вообще - при повсеместном распространении менеджеров паролей пора требовать длину в 20 символов. Правда, большинство россиян пользует китайские смарты, набитые фабричными бэкдорами и троянами, плюс еще и игрушек зараженных ставят. Какая там безопасность к ху-ям если вся инфа уходит быстрее чем приходит.
Re: Сбер онлайн и его авторизация
я бы вашей конторе, которая продает mobile solutions, посоветовал сначала бы зайти на свой сайт с мобилы
и попробовать потыкать в него..
Re: Сбер онлайн и его авторизация
Никогда не встречал живого юзера, делавшего пароль 20 символов... такие бывают вообще?
Дело в том, что слишком сложные и длинные пароли, которые невозможно запомнить - это тоже антипаттерн, ведущий к стикерам с паролями на мониторах и рабочих местах. Слишком длинные пароли также неудобно набирать. Человеческий фактор не менее (а скорее всего более) важен, чем усложнение паролей. Менеджеры паролей тоже не панацея, так как сами по себе могут быть дырявыми, да и яйца в одной корзине...
Лечится это только через правильно сделанный 2FA, при котором длина пароля перестает иметь принципиальное значение. Часто второй фактор 2FA защищается еще биометрией, например - тот же Aegis под андроид так делает. Системы 2FA обычно имеют также защиту при утере одного фактора - например, сгенерированные одноразовые токены для восстановления пароля, которые можно напечатать на бумажке и убрать в сейф.
В общем, если вы еще не включили 2FA на своем гугль аккаунте, сейчас самое время
Re: Сбер онлайн и его авторизация
Я слышал об одном, Сноуден зовут
У меня вот мнемоническая фраза на биткойн-кошельке из 12 слов типа "cold finish bridge..."So what should people do for their passwords? While Oliver’s suggestion of “limpbiscuit4eva” was a flop, Snowden had some helpful advice: Forget about passwords and go with “passphrases,” or phrases that are long, unique, and thus easy to remember.
Re: Сбер онлайн и его авторизация
Нет других вариантов кроме менеджеров паролей. У меня десятки логинов важных, и под сотню менее важных - как им всем пароли запоминать, да еще и менять регулярно без менеджера? А дырявым может быть всё, включая 2FA. И sms утекают в посторонние аппы, которым разрешение дали, и TOTP-секреты хранятся в общей памяти, и трояны делают скрины активных приложений.SaaBaka писал(а): ↑09 сен 2020, 14:14Дело в том, что слишком сложные и длинные пароли, которые невозможно запомнить - это тоже антипаттерн, ведущий к стикерам с паролями на мониторах и рабочих местах. Слишком длинные пароли также неудобно набирать. Человеческий фактор не менее (а скорее всего более) важен, чем усложнение паролей. Менеджеры паролей тоже не панацея, так как сами по себе могут быть дырявыми, да и яйца в одной корзине...
Длина пароля всегда имеет значение, и базы даже сегодня утекают. Иначе можно оставить только одноразовые пароли TOTP и забыть про основные. Но так не делают и тому есть серьезные причины. Да, RSA-брелок чутка помогает, но и там с активной сессией есть свои заморочки. Да и сколько можно таких брелоков на одной связке унести? Не такие уж они и легкие. И обьемные из-за экрана и батарейки, зараза.Лечится это только через правильно сделанный 2FA, при котором длина пароля перестает иметь принципиальное значение.
Отпечатки пальца или фото лица это всё нестрогие методы аутентикации, и довольно глючные. Лучше уж дополнительные пинкоды.Часто второй фактор 2FA защищается еще биометрией
Вот мы и вернулись к паролям, напечатанным на стикере... Не, не надо так.Системы 2FA обычно имеют также защиту при утере одного фактора - например, сгенерированные одноразовые токены для восстановления пароля, которые можно напечатать на бумажке и убрать в сейф.
- WingRabbit
- Сообщения: 25471
- Зарегистрирован: 19 сен 2011, 18:35
- Откуда: Москва -> Дубна -> Торонто
Re: Сбер онлайн и его авторизация
Я как бы сразу написал, что не в курсе от слова совсем. Я просто спросил, как осуществляется брутфорс. Про конкаренси я даже не думал, я пытался представить, как бы я брутфорсил. Сейчас перечитал, сам себе лоб отбил))Ха писал(а): ↑09 сен 2020, 13:48Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова. "20 запросов в секунду, 72000 запросов в час" - в мемориз, с-ка. Понимаю, что это кафедра САУ Университет Дубна, и особо не надеялся, но нельзя же так.