Страница 1 из 2
Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 19:30
jam
Вот такая вот жестяночка от основного банка Роиссии:
https://twitter.com/sberbank/status/1302843162533208065
Кто по ссылкам не ходит - пароли к сберу не чувствительные к регистру, а значит хранятся (на их серверах) практически в открытом виде, а значит их можно слить.
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 19:36
VapSite
авторизация все равно подтверждается временным паролем по тлф через смс ... не переживайте, ваш логин надежно защищён. Так-же система оповещения работает на ура.
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 19:41
jam
VapSite писал(а): ↑08 сен 2020, 19:36
не переживайте, ваш логин надежно защищён
По ссылке сбер точно так же ответил. Вы из сбера, да?
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 19:46
alsolnze
да, уж не зря служба безопасности нам названивает...
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 19:58
мура
Недавно меня пытались развести и карта была условно скомпрометирована. Я позвонил в СБ по номеру 900. Мне посоветовали перевыпуск карты. И вот что. Через сутки после блока карты и заказа перевыпуска у меня была виртуальная карта, с которой я уже мог производить все операции из личного кабинета и платить телефоном. Через 3 суток карту я забрал в отделении в Дубне. В том, в каком заказал просто по телефону. А старая была оформлена в Мск. Так что комикс выше про "где получали, туда и идите" устарел, камрады. Лично опробовано.
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 20:05
Евгений-1
О чём говорить, если их приложение Сбербанк инвестор старо, как мир, в отзывах на приложение одни минусы, и годами ответ разработчиков, что ведутся работы по улучшению
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 20:05
jam
мура писал(а): ↑08 сен 2020, 19:58
Так что комикс выше про "где получали, туда и идите" устарел, камрады.
Тема в ЭВМ, она для гиков. А "где получали, туда и идите" это монопенисуально тому п...цу с авторизацией в разрезе раздела.
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 20:12
godzilla
jam писал(а): ↑08 сен 2020, 19:30
а значит хранятся (на их серверах) практически в открытом виде
откуда это значит-то?
не понятна логика
в чем отличие от case sensitive? Делается один регистр, потом с него берется хэш.
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 20:17
jam
godzilla писал(а): ↑08 сен 2020, 20:12
Делается один регистр, потом с него берется хэш.
на клиенте
Так штоли?
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 20:19
godzilla
да
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 20:22
jam
godzilla писал(а): ↑08 сен 2020, 20:19
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
если все же хеш хранится от приведения регистров, тогда норм, а иначе, придется пароли в открытом виде хранить, md5 обратной силы не имеет, чтобы на сервере сравнивать без учета регистра
Re: Сбер онлайн и его авторизация
Добавлено: 08 сен 2020, 23:17
SaaBaka
Во-первых, какой нафиг md5, он deprecated еще лет десять назад, нынче всякие scrypt/sha3/argon. Во вторых, идиотизм банков воистину не имеет границ - зачем использовать смс со всеми вытекающими рисками, когда можно использовать TOTP?
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 05:56
Ха
godzilla писал(а): ↑08 сен 2020, 20:19
вы для тупых объясните в чем разница case sensitive и case insensitive и почему второй это жестяночка, а первый нет
Разница между второй и третьей колонкой:
Правда, это важно если слили базу паролей налево вместе с алгоритмом и солтом, потому как в онлайне не дадут брутфорсить миллион паролей в секунду, разве что ботнетом с уникальных айпи. Да и 2FA есть, хоть и не пуш, а слабый, через SMS.
Но всё равно игнорирование регистра - реальная проблема для тех у кого пароль это минимальные восемь символов - теоретически некоторые будут иметь что-то словарное + цифры из даты рождения + восклицательный знак. Вот это можно и за три попытки угадать, если 2FA не включен. Ну или оффлайн подобрать за секунду. А вот 15+ случайных символов в обоих регистрах + цифры + спецсимволы это уже нереально даже с базовым SHA256 подобрать.
зы: MD5 разумеется уже давно никто не использует...
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 06:00
WingRabbit
Ха писал(а): ↑09 сен 2020, 05:56
если 2FA не включен
Ключевая фраза. Неужели где-то есть ещё серьезные сервисы, которые не принуждают юзера к 2FA?)
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 06:03
WingRabbit
А с мультифакторной аутентификацией можно хоть из пяти чисел пароль воткнуть - толку от его взлома будет примерно ноль в большинстве случаев, всё равно социальная инженерия будет нужна.
Да и неужели где-то ещё нет защиты от брутфорса и принудительной блокировки после нескольких запросов с неправильными паролями?)
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 06:27
WingRabbit
Ну и еще объясните мне пжлст (я ща серьезно, вообще не шарю), а то тут в треде прям толпа экспертов по шифрованию собралась. Вон в табличке у Лаки написано, что брутфорснуть пароль из 11 цифр - это две секунды,а из десяти - так и вообще по щелчку пальца. Составить словарь - верю, но подобрать пароль, тем более, что мы тут об онлайн-сервисах говорим? У нас приложения общаются между собой в рамках одного апликейшн сервера, и обычный http-запрос на рест точку с авторизацией занимает 150-200 мс. Ну пускай всё оптимизировано, летает, у хацкера крутой канал и он за 50мс может пульнуть запрос на сервак и получить ответ. При этом у нас нет не то что 2FA, а еще и защиты от брутфорса, проверки айпишников, и сервер просто в тупую впускает всех с правильной парой логин-пароль и говорит "сорян" всем с неправильной. 50мс на запрос = 20 запросов в секунду = 72000 запросов в час = 1728000 запросов в сутки. При таком темпе перебор всех девятизначных чисел займет чуток побольше года
Как это работает?))
И при этом у нас сервер еще тупой как пробка, не бьёт тревогу после нескольких неудачных попыток, моментально отдаёт результат и позволяет годами в него ломиться. Как вообще в принципе возможен брутфорс, когда http запросы со своим долгим временем ответа сами по себе уже лучшая защита?)
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 12:37
SaaBaka
Имеется в виду сценарий, когда сперли базу данных с шифрованными паролями. Перебирать через запросы не выйдет, обычно в этом месте есть алгоритм с экспоненциально возрастающей задержкой ответов вплоть до полной блокировки на период времени.
Откуда цифры в таблице Лаки тоже неясно - популярные функции шифрования паролей (тот же scrypt) параметризуются уровнем сложности (rounds + memory), если использовать рекомендуемые параметры то он плохо масштабируется (требует много памяти и не влазит в CPU cache, нет смысла гонять на GPU). Параметры тут принципиально важны, тк из-за криптомайнинга появились специализированные железки под это дело, которые могут быстро чикать тот же scrypt конфигуренный под небольшую память. Что наводит на мысли, что и для паролей лучше использовать специальные ASIC-resistant алгоритмы вроде RandomX, чтобы враги не подкопались. Естественно, также есть таблицы популярных паролей, которые в первую очередь перебираются.
Да, банки почему-то не любят человеческий 2FA, а используют SMS, что совершенно ненадежно по ряду известных всем давно причин. Вопрос - нахрена, если есть более надежные, и при том стандартные методы? Сейчас у каждого первого смартфоны, где может стоять Aegis, Google Authenticator и прочая. А для тех у кого смартфонов нет или вообще лень иконки нажимать, OTP брелки по типу RSA SecureID уже лет двадцать используются минимум.
Вообще, по моим наблюдениям, есть хорошие программисты, есть просто программисты, есть индусы, есть студенты, и наконец программисты в банках.
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 12:44
romansyone
Как я понял, минус виртуальной карты такой, не возможно получить чек по операциям. А именно чОткая расшифровка транзакции. Номер счёта отправителя и получателя. Только сумма, ФИО, и дата перевода. То есть можно спонсировать ИГИЛ, и никто об этом не узнает. В поддержке мне так и сказали.
Почему минус, да потому что мне нужно к авансовому отчёту после командировки прикладывать тот самый чек, что платил именно я со своего счета именно на счёт гостиницы..
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 12:44
godzilla
SaaBaka писал(а): ↑09 сен 2020, 12:37
наконец программисты в банках.
ОИЯИ-боги полетели на жопном топливе
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 13:48
Ха
Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова. "20 запросов в секунду, 72000 запросов в час" - в мемориз, с-ка. Понимаю, что это кафедра САУ Университет Дубна, и особо не надеялся, но нельзя же так. Но вкупе с регистронезависимыми паролями Сбера очень в тему. Годзила-программист, который получает тыщи нефти в Сбере и не в курсе от чего зависит криптостойкость хешей это даже не пять, а уже шесть из пяти.
2SaaBaaka: AES256 или AES512 и нормальная длина пароля в 14-20 символов гарантируют что ни FPGA, ни ASIC ни GPU не подберут пароль за тысячи лет. И вообще - при повсеместном распространении менеджеров паролей пора требовать длину в 20 символов. Правда, большинство россиян пользует китайские смарты, набитые фабричными бэкдорами и троянами, плюс еще и игрушек зараженных ставят. Какая там безопасность к ху-ям если вся инфа уходит быстрее чем приходит.
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 14:07
godzilla
WingRabbit писал(а): ↑09 сен 2020, 06:27
Как это работает?))
я бы вашей конторе, которая продает mobile solutions, посоветовал сначала бы зайти на свой сайт с мобилы
и попробовать потыкать в него..
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 14:14
SaaBaka
Ха писал(а): ↑09 сен 2020, 13:48
2SaaBaaka: AES256 или AES512 и нормальная длина пароля в 14-20 символов
Никогда не встречал живого юзера, делавшего пароль 20 символов... такие бывают вообще?
Дело в том, что слишком сложные и длинные пароли, которые невозможно запомнить - это тоже антипаттерн, ведущий к стикерам с паролями на мониторах и рабочих местах. Слишком длинные пароли также неудобно набирать. Человеческий фактор не менее (а скорее всего более) важен, чем усложнение паролей. Менеджеры паролей тоже не панацея, так как сами по себе могут быть дырявыми, да и яйца в одной корзине...
Лечится это только через правильно сделанный 2FA, при котором длина пароля перестает иметь принципиальное значение. Часто второй фактор 2FA защищается еще биометрией, например - тот же Aegis под андроид так делает. Системы 2FA обычно имеют также защиту при утере одного фактора - например, сгенерированные одноразовые токены для восстановления пароля, которые можно напечатать на бумажке и убрать в сейф.
В общем, если вы еще не включили 2FA на своем гугль аккаунте, сейчас самое время
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 14:28
maks.,
SaaBaka писал(а): ↑09 сен 2020, 14:14
Никогда не встречал живого юзера, делавшего пароль 20 символов... такие бывают вообще?
Я слышал об одном, Сноуден зовут
So what should people do for their passwords? While Oliver’s suggestion of “limpbiscuit4eva” was a flop, Snowden had some helpful advice: Forget about passwords and go with “passphrases,” or phrases that are long, unique, and thus easy to remember.
У меня вот мнемоническая фраза на биткойн-кошельке из 12 слов типа "cold finish bridge..."
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 14:29
Ха
SaaBaka писал(а): ↑09 сен 2020, 14:14
Дело в том, что слишком сложные и длинные пароли, которые невозможно запомнить - это тоже антипаттерн, ведущий к стикерам с паролями на мониторах и рабочих местах. Слишком длинные пароли также неудобно набирать. Человеческий фактор не менее (а скорее всего более) важен, чем усложнение паролей. Менеджеры паролей тоже не панацея, так как сами по себе могут быть дырявыми, да и яйца в одной корзине...
Нет других вариантов кроме менеджеров паролей. У меня десятки логинов важных, и под сотню менее важных - как им всем пароли запоминать, да еще и менять регулярно без менеджера? А дырявым может быть всё, включая 2FA. И sms утекают в посторонние аппы, которым разрешение дали, и TOTP-секреты хранятся в общей памяти, и трояны делают скрины активных приложений.
Лечится это только через правильно сделанный 2FA, при котором длина пароля перестает иметь принципиальное значение.
Длина пароля всегда имеет значение, и базы даже сегодня утекают. Иначе можно оставить только одноразовые пароли TOTP и забыть про основные. Но так не делают и тому есть серьезные причины. Да, RSA-брелок чутка помогает, но и там с активной сессией есть свои заморочки. Да и сколько можно таких брелоков на одной связке унести? Не такие уж они и легкие. И обьемные из-за экрана и батарейки, зараза.
Часто второй фактор 2FA защищается еще биометрией
Отпечатки пальца или фото лица это всё нестрогие методы аутентикации, и довольно глючные. Лучше уж дополнительные пинкоды.
Системы 2FA обычно имеют также защиту при утере одного фактора - например, сгенерированные одноразовые токены для восстановления пароля, которые можно напечатать на бумажке и убрать в сейф.
Вот мы и вернулись к паролям, напечатанным на стикере... Не, не надо так.
Re: Сбер онлайн и его авторизация
Добавлено: 09 сен 2020, 15:18
WingRabbit
Ха писал(а): ↑09 сен 2020, 13:48
Ох б-ть, REST-сервисы на Java, которые обрабатывают запросы последовательно а не параллельно в 2020м году от рождества христова. "20 запросов в секунду, 72000 запросов в час" - в мемориз, с-ка. Понимаю, что это кафедра САУ Университет Дубна, и особо не надеялся, но нельзя же так.
Я как бы сразу написал, что не в курсе от слова совсем. Я просто спросил, как осуществляется брутфорс. Про конкаренси я даже не думал, я пытался представить, как бы я брутфорсил. Сейчас перечитал, сам себе лоб отбил))