Internetbanking – Heslo nesmie obsahovať špeciálne znaky

Zdravím všetkých.

Povedal som si po nejakej dobe že moje staršie heslo od internetbankingu už nepovažujem za tak bezpečné ako pred tým a tak som sa rozhodol že si ho zmením. Po pokuse zmeniť si heslo som zostal v menšom šoku. Bol som odmietnutý vetou: "Heslo nesmie obsahovať špeciálne znaky".

Máte niekto skúsenosti s veľkými bankovými systémami a mohli mi možno povedať dôvod prečo by banka nemala chcieť aby heslá obsahovali špeciálne znaky? (Na príklad nejaké problémy s kódovaním v DB a tak podobne...) Bol som v tom že zrovna subjekt ako banka chce aby jej klienti mali čo najsilnejšie heslá a toto mi príde ako dosť veľké obmedzenie bezpečnosti.


Martin

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #1 kdy: 13. 10. 2018, 19:07:59 »
A nemuze to byt prave kvuli te SQL injekci? https://www.root.cz/clanky/zranitelnosti-typu-injekce-sql-injekce/
;-)

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #2 kdy: 13. 10. 2018, 19:10:38 »
A nemuze to byt prave kvuli te SQL injekci? https://www.root.cz/clanky/zranitelnosti-typu-injekce-sql-injekce/
;-)

To snáď vyrieši bindovanie SQL parametrov nie? :D

Prípadne nieči ako mysqli_real_real_real_escape_string  ;D

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #3 kdy: 13. 10. 2018, 19:21:03 »
znam banky kde heslo pro ibanking jsou 4 cisla. Z pohledu bezpecnosti - po x spatnych heslech dojde k uzamceni uctu. Predstava, ze ti nekde z banky uniknou hashovane hesla je sice hezka, ale v praxi jsou procesy nastavene tak, ze je to malo pravdepodobne. Proto se moc neresi jestli tam budes mit nejake znaky. Co se tyce sql injection - v rozumne aplikaci se kontroluji vstupy, v payment aplikacich je to komplexnejsi kontrola a samotny internet banking obvykle nema pristup do zadne uzivatelske/financni databazy, ale obvykle vytvori nejaky job, ktery dalsi system spracuje a pripravi vystup pro internet banking.

Jenda

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #4 kdy: 13. 10. 2018, 19:46:44 »
znam banky kde heslo pro ibanking jsou 4 cisla. Z pohledu bezpecnosti - po x spatnych heslech dojde k uzamceni uctu

Tak to doufám, že uživatelská jména nejde uhodnout (nejsou to např. čísla účtu nebo nejsou sekvenční), protože jinak by někdo mohl jen tak zablokovat cizí účty  ::)


user

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #5 kdy: 13. 10. 2018, 20:10:11 »
Tak napr. UniCredit Czech Republic and Slovakia. Heslo síce môžu byť znaky, ale username je číslo účtu a po 3 zlých pokusoch treba ísť len a len na pobočku..

Martin

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #6 kdy: 14. 10. 2018, 18:43:10 »
To snáď vyrieši bindovanie SQL parametrov nie? :D
Prípadne nieči ako mysqli_real_real_real_escape_string  ;D
Ja to myslel jakoze maji hesla v DB v plain textu :-)

rats

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #7 kdy: 14. 10. 2018, 19:55:21 »
Omezení možnosti skládání hesla z libovolných znaků se v dnešní době snad už nedá ani považovat za omezení bezpečnosti - odpovědí je dvoufaktorová autentizace (případně vícefaktorová).
Neboli - pokud u přístupu k internetovému bankovnictví spoléháte pouze na heslo, je to špatně z principu, bez ohledu na možnou/požadovanou komplexitu hesla.
Osobně mám v dnešní době standardní "dvou-a-půl-faktor": velmi nestandardní uživatelské jméno (moje banka to kupodivu umožňuje)+heslo+SMS klíč. Dále mi při každém úspěšném, ale především neúspěšném, pokusu o přihlášení pomocí mých údajů přijde e-mail s upozorněním, přičemž mám možnost si za směšný paušální poplatek aktivovat (což i mám) i varování via SMS na jiný mobil než ten, na které chodí autorizační SMS (to pro případ, že bych ten autorizační mobil ztratil). Sice mě to stálo jednu návštěvu na pobočce a ladění detailů, ale výsledek za to podle mě stojí.
Dokonce v rámci jednání jsem vznesl dotaz, zda by bylo možno zajistit, aby se na mé uživatelské údaje dalo přihlásit pouze z omezeného seznamu veřejných IP adres - a banka mi po krátkém váhání (14 dní) sdělila, že to možné je, pouze si ten seznam veřejných IP adres nebudu moci spravovat sám, a změna v seznamu bude možná pouze jednou za měsíc. Na tom jsem tedy nakonec netrval, ale i tak bych si troufal tvrdit, že se cítím bezpečně bez ohledu na to, že moje heslo k internetovému bankovnictví je opravdu slabé, abych ho při první příležitosti nezapomněl.
Dnes je to holt doba geeků, a už je i v bankovnictví možné leccos.

dw

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #8 kdy: 14. 10. 2018, 21:55:07 »
A nemuze to byt prave kvuli te SQL injekci? https://www.root.cz/clanky/zranitelnosti-typu-injekce-sql-injekce/
;-)

SQL injection vznika zvedsa z neznalosti... ale programatora ktory uklada do DB priamo hesla a nie ich hash, tak toho treba umlatit klavesnicou...

Kit

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #9 kdy: 15. 10. 2018, 10:09:02 »
A nemuze to byt prave kvuli te SQL injekci? https://www.root.cz/clanky/zranitelnosti-typu-injekce-sql-injekce/
;-)

SQL injection vznika zvedsa z neznalosti... ale programatora ktory uklada do DB priamo hesla a nie ich hash, tak toho treba umlatit klavesnicou...

Programátora, který místo šifrování hesla použije hash, je třeba tou klávesnicí umlátit také.

ludva

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #10 kdy: 15. 10. 2018, 10:24:52 »
Tak toto bude chtít vysvětlit asi víc lidí ...
A nemuze to byt prave kvuli te SQL injekci? https://www.root.cz/clanky/zranitelnosti-typu-injekce-sql-injekce/
;-)

SQL injection vznika zvedsa z neznalosti... ale programatora ktory uklada do DB priamo hesla a nie ich hash, tak toho treba umlatit klavesnicou...

Programátora, který místo šifrování hesla použije hash, je třeba tou klávesnicí umlátit také.

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #11 kdy: 15. 10. 2018, 18:05:25 »
Tak toto bude chtít vysvětlit asi víc lidí ...

Možno šifruje všetky hesla so svojim verejným kľúčom. Čitateľné by to nebolo, ako hash by to ZHRUBA fungovalo ale ako BONUS by tie heslá vedel prečítať len on ;D

Každý ma v sebe predsa nejakú tú štipku zvedavosti...  8)

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #12 kdy: 15. 10. 2018, 20:14:34 »
řekl bych, že to tam mají z historických důvodů, dříve jsem tohle pravidlo vídal často a jako argument jsem slyšel, že lidé pak měli problém na jiném počítači zadávat ty speciální znaky a nemohli se přihlásit.

Před 15 lety možná obhajitelné, dnes to vypadá jako hodně blbý vtip.

Kit: ty budeš také pěkný exot.

Yokotashi

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #13 kdy: 16. 10. 2018, 03:42:10 »
Specialni znaky moc nepomuzou a jeste se blbe pamatuji: https://xkcd.com/936/

A mit do banky heslo misto jednorazoveho klice vygenerovaneho tokenem je bezpecnostni zhovadilost. Skoda, ze to nikdo nevysvetlil zodpovednym lidem v tech bankach.

L.

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #14 kdy: 16. 10. 2018, 06:56:06 »
A mit do banky heslo misto jednorazoveho klice vygenerovaneho tokenem je bezpecnostni zhovadilost. Skoda, ze to nikdo nevysvetlil zodpovednym lidem v tech bankach.

Jj, všichni jsou debilové, jen ty jsi génius  :D  :D  :D