Internetbanking – Heslo nesmie obsahovať špeciálne znaky

v.sp

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #15 kdy: 16. 10. 2018, 08:24:39 »
A co teprve datová schránka, tam je seznam povolených znakl přímo dán vyhláškou - některé speciální znaky ano, ale ne všechny:

https://www.zakonyprolidi.cz/cs/2009-194



(A navíc omezuje na 32 znaků... což je pořád lepší, než neomezovat, jen potichu uříznout. To se pak člověk už nepřihlásí.)


Yokotashi

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #16 kdy: 16. 10. 2018, 13:14:15 »
A mit do banky heslo misto jednorazoveho klice vygenerovaneho tokenem je bezpecnostni zhovadilost. Skoda, ze to nikdo nevysvetlil zodpovednym lidem v tech bankach.

Jj, všichni jsou debilové, jen ty jsi génius  :D  :D  :D

Jedno z predkladanych reseni je zcela objektivne vyrazne bezpecnejsi, nez druhe.

Kdyz napisu, ze clovek, ktery nacpe elektrolyticke kondenzatory schvalne do mista, kde je v zarizeni nejvetsi teplo i kdyz je dost mista jinde, takze brzy odejdou, je bud debil (ze to nevi), nebo svine* (ze schvalne udelal kurvitko), budes to take rozporovat?

*) samozrejme muze byt svine jeho sef, nebo sef jeho sefa, etc., ktery mu to naridil, ale to na principu nic nemeni.

Kdyz napisu, ze firma popisovana v tomto clanku: https://www.mesec.cz/clanky/trik-uverovych-firem-posledni-datum-splatky-je-jine/ jsou svine, tak budes taky argumentovat tim, ze ty jejich smlouvy urcite videla hromada pravniku a prisly jim v poradku a ja nejsem zadny pravnik, takze muj nazor je automaticky spatny?

Pokud na obe me otazky odpovis, ze ano, pak akceptuji, ze pro tebe jsem debil. A budu zaroven doufat, ze se nikdy nepotkame a ze s tebou nikdy nebudu muset na cemkoliv spolupracovat.

PetrM

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #17 kdy: 16. 10. 2018, 13:56:49 »
Kupodivu první, co mě napadlo, je heslo v plainextu v DB a kontrola znaků místo escapování.

Programátora, který místo šifrování hesla použije hash, je třeba tou klávesnicí umlátit také.
Šifrování je obousměrná funkce, hash jednosměrná. Zašifrovaný heslo přečteš, když máš klíč. Hash ne. A o to jde.

Na ochranu hesla je asi nejlepší vygenerovat náhodnou sůl, uložit do DB, připojit k soli heslo, protáhnout SHA256 a lupnout výsledek do dalšího sloupce. I když to uteče, good luck s louskáním. Rainbow tables nefungují a jedeš na brute force. Klient buďto pošle nebo nepošle jako odpověď na sůl správný hash. Není co řešit.

Programátorovi, který nezná rozdíl mezi šifrováním a hashem a jejich použitím, tu klávesnici narvat do rekta. Napříč.

Omezení možnosti skládání hesla z libovolných znaků se v dnešní době snad už nedá ani považovat za omezení bezpečnosti - odpovědí je dvoufaktorová autentizace (případně vícefaktorová).

Dvoufaktor se nedělá proto, abych jeden z těch faktorů mohl libovolně oslabovat. Pětibodový zámek na vchodový dveře asi taky nedáváš proto, abys mohl používat dozický klíč.

znam banky kde heslo pro ibanking jsou 4 cisla. Z pohledu bezpecnosti - po x spatnych heslech dojde k uzamceni uctu.

Měl jsem to podobně u Wustenrotu na hypošku. Jako heslo číslo účtu a čtyřmístný pin (s tím, že ho poslali obyčejným dopisem a v záhlaví bylo číslo úštu - na první pokus ten dopis vůbec nedošel).
Říkal jsem si, co by asi dělali, kdyby někdo zvolil náhodný pin a zkoušel náhodně čísla účtů, ke kterýmu PIN padne... Při té představě jsem při první příležitosti utekl jinam. Tihle joudové si moje prachy nezasloužili.

L.

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #18 kdy: 16. 10. 2018, 14:10:50 »
Dvoufaktor se nedělá proto, abych jeden z těch faktorů mohl libovolně oslabovat. Pětibodový zámek na vchodový dveře asi taky nedáváš proto, abys mohl používat dozický klíč.

Pokud není heslo omezeno na nějaký absurdně nízký počet znaků, tak je celkem jedno, jestli je v něm povolena pouze alfanumerika, nebo komplet ASCII.

JSH

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #19 kdy: 16. 10. 2018, 15:09:03 »
Dvoufaktor se nedělá proto, abych jeden z těch faktorů mohl libovolně oslabovat. Pětibodový zámek na vchodový dveře asi taky nedáváš proto, abys mohl používat dozický klíč.

Pokud není heslo omezeno na nějaký absurdně nízký počet znaků, tak je celkem jedno, jestli je v něm povolena pouze alfanumerika, nebo komplet ASCII.
Není to jedno. Že to omezí stavový prostor je jedna věc. Druhá věc je, že se to může nepříjemně kombinovat s dalšíma dírama. A u někoho, kdo takhle uživatelům oslabí hesla, bych se hodně divil, kdyby tam žádné další díry nebyly.


L.

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #20 kdy: 16. 10. 2018, 15:36:58 »
Není to jedno. Že to omezí stavový prostor je jedna věc. Druhá věc je, že se to může nepříjemně kombinovat s dalšíma dírama. A u někoho, kdo takhle uživatelům oslabí hesla, bych se hodně divil, kdyby tam žádné další díry nebyly.

U takovýchhle "argumentů" člověk neví, jestli se má smát nebo plakat... Jestli je prostor 2^400 nebo 2^500 (*) je z hlediska bezpečnosti celkem jedno a rozhodně to neimplikuje jiné bezpečnostní problémy.

*) Ve skutečnosti si tam drtivá většina uživatelů dá speciální znak jen když ho budete vyžadovat a jen v minimální možné míře, takže reálně ta hesla budou složitější jen naprosto minimálně.

Yokotashi

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #21 kdy: 17. 10. 2018, 11:19:29 »
Z druhe strany pokud je nekdo zvykly konstruovat sva hesla s nealfanumerickymi znaky a lepe se mu tak pamatuji, nevidim zadny smyslupny duvod mu v tom branit a vnucovat mu hesla, ktera mu nevyhovuji.

Kdysi jsem si na nejake nepodstatne veci (ne, banka to nebyla - tou dobou jsem mel eBanku, ktera jako jedina chapala, jak ma vypadat autentizace) chtel dat vsude stejne heslo lisici se jen v nejake drobnosti. Neslo to. Nekde oimezovali delku na 20 znaku, 12 znaku, 8 znaku (sic!), nekde vyzadovali specialni znaky, jinde je zakazovali ... nejak neslo vytvorit zapamatovatelne heslo, ktere by bylo akceptovano asi peti sluzbami.

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #22 kdy: 17. 10. 2018, 12:46:21 »
Myslím si, že tým šetria náklady. Prinútia užívateľov nedávať si príliš zložité heslá, aby sa im často neblokovali kontá. Zablokované konto = náklady buď na infolinke, na pobočke, alebo na obidvoch.
Navyše aj keby niekto uhádol heslo napriek obmedzeniu na napr. 5 nesprávnych pokusov, väčšinou aj tak "iba" zistí zostatky a pohyby na účtoch a úveroch. Prostriedky na svoj účet si bez ďalšieho overovacieho nástroja alebo phishingu neprevedie.

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #23 kdy: 17. 10. 2018, 12:53:36 »
Svojho času, dobrých 20 rokov dozadu, boli na pokec.sk v heslách zakázané aj písmená Y a Z, pretože v československých podmienkach je veľmi ľahké ich zameniť.

PetrM

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #24 kdy: 18. 10. 2018, 06:43:30 »
Myslím si, že tým šetria náklady. Prinútia užívateľov nedávať si príliš zložité heslá, aby sa im často neblokovali kontá. Zablokované konto = náklady buď na infolinke, na pobočke, alebo na obidvoch.

Ale houby. Když jsem posledně podcenil výměnu PKI klíče a o den to nestihl, stál mě nový klíč dvě kila a cestu na pobočku. Takže tohle rozhodně neplatí banka ze svýho.

Omezení, jako měla Česká Škubatelna na S24 (tuším 8 znaků bez speciálních, už je to dlouho, co jsou na blacklistu) , nemají logiku. Pokud prostě nešetří místo v DB. Hash je totiž každopádně delší, než těch  8B (nejmenší používaná MD5 potřebuje 16B) a escapovat nepotřebuje. A už vůbec ne tak debilním způsobem. Kdyby unikla tabulka uživatelů, tak má někdo finanční žně. Jenom proto, že nějaký architekt škudlil místo v DB*. Nepochopíš.

Pokud by byla 8B sůl (náhodný int64) + SHA-256, je to na správu hesla 40B (větší o 32B). Při 100k uživatelů jsou to ani ne 3,25MB dat s tím, že heslo může být libovolně dlouhý. Kolik reálně stojí 4MB dat na HDD? Když vezmu ve velkým 1TB za 500 jsou to 0,2 hal. na jednu kopii DB. To by ty hňupy finančně položilo, že...

Navyše aj keby niekto uhádol heslo napriek obmedzeniu na napr. 5 nesprávnych pokusov, väčšinou aj tak "iba" zistí zostatky a pohyby na účtoch a úveroch. Prostriedky na svoj účet si bez ďalšieho overovacieho nástroja alebo phishingu neprevedie.

Jo, taky dobrý. U UCB to měli tak, že bez autorizační SMS Se nedalo dělat nic. Účet zadarmo, ale člověk musel kupovat autorizační SMS v balíčku po pěti za těžký love. Když chtěl zadat příkaz, potřeboval dvě (přihlášení a autorizace platby). Takže pokud jde o banku, nejde o bezpečnost, to je jenom kulisa pro klienty. Jde čistě a pouze o jejich nenažranost.

JSH

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #25 kdy: 18. 10. 2018, 11:06:52 »
Není to jedno. Že to omezí stavový prostor je jedna věc. Druhá věc je, že se to může nepříjemně kombinovat s dalšíma dírama. A u někoho, kdo takhle uživatelům oslabí hesla, bych se hodně divil, kdyby tam žádné další díry nebyly.

U takovýchhle "argumentů" člověk neví, jestli se má smát nebo plakat... Jestli je prostor 2^400 nebo 2^500 (*) je z hlediska bezpečnosti celkem jedno a rozhodně to neimplikuje jiné bezpečnostní problémy.

*) Ve skutečnosti si tam drtivá většina uživatelů dá speciální znak jen když ho budete vyžadovat a jen v minimální možné míře, takže reálně ta hesla budou složitější jen naprosto minimálně.
Ten počet kombinací je opravdu vedlejší, asi jsem to měl zdůraznit. A je pravda, že to automaticky neimplikuje další díry. Jenže to IMO něco naznačuje. Moc si nedokážu představit odborníka na bezpečnost, který úmyslně oslabí možná hesla. Zvlášť když to znamená, že to omezení použitelných znaků musí někdo naimplementovat. Tohle jde proti lenosti i bezpečnosti zároveň, takže tam nejspíš bude nějaký důvod. Otázka je jaký.

Yokotashi

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #26 kdy: 20. 10. 2018, 12:11:16 »
JSH: nevysvetluj spinkutim to, co jde vysvetlit obycejnym kretenismem.

To je jako se ptat, proc meli v Apollu teplomer kyslikove nadrze se stupnici na 27 stupnu a dorazem na 27 stupnich, kdyz byla maximalni povolena teplota v nadrzi ... kdo si troufne hadat ... "pouzijte svou omezenost pane Rimre!" ... prekvapive 27 stupnu. Testovano na posadce Apolla 13.

JSH

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #27 kdy: 20. 10. 2018, 15:37:08 »
JSH: nevysvetluj spinkutim to, co jde vysvetlit obycejnym kretenismem.
Jaké spiknutí do čerta? :o Kde tam něco takového vidíš? Samo, že ten důvod může být kreténismus. Nebo třeba nečekané důsledky nějakých korporátních procesů. Prostě mi to přišlo divné a víc nevím.

agent

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #28 kdy: 20. 10. 2018, 15:58:36 »
Svojho času, dobrých 20 rokov dozadu, boli na pokec.sk v heslách zakázané aj písmená Y a Z, pretože v československých podmienkach je veľmi ľahké ich zameniť.
Tak to mohli ještě zakázat 0 a O, l a 1, 2 a Z, 5 a S, 6 a G... a možná vůbec všechna čísla a písmena, aby se to nepletlo  ;D

Ale trochu dokážu pochopit, že běžnému BFU nedovolí dostat do hesla třeba "Ǽ" nebo "™", protože by pak měl docela problém se přihlásit z většiny počítačů i mobilů (ono je i otázkou, jak se mu ten znak do hesla dokázal dostat).

Pepík

Re:Internetbanking – Heslo nesmie obsahovať špeciálne znaky
« Odpověď #29 kdy: 21. 10. 2018, 12:30:28 »

Omezení, jako měla Česká Škubatelna na S24 (tuším 8 znaků bez speciálních, už je to dlouho, co jsou na blacklistu) , nemají logiku. Pokud prostě nešetří místo v DB. Hash je totiž každopádně delší, než těch  8B (nejmenší používaná MD5 potřebuje 16B) a escapovat nepotřebuje. A už vůbec ne tak debilním způsobem. Kdyby unikla tabulka uživatelů, tak má někdo finanční žně. Jenom proto, že nějaký architekt škudlil místo v DB*. Nepochopíš.

Pokud by byla 8B sůl (náhodný int64) + SHA-256, je to na správu hesla 40B (větší o 32B). Při 100k uživatelů jsou to ani ne 3,25MB dat s tím, že heslo může být libovolně dlouhý. Kolik reálně stojí 4MB dat na HDD? Když vezmu ve velkým 1TB za 500 jsou to 0,2 hal. na jednu kopii DB. To by ty hňupy finančně položilo, že...


To omezení je samozřejmě nesmysl, ale tenhle speudovýpočet je nejenom zavádějící, je přímo stupidní. U nás se uživatelé také diví, proč tiskárna do práce stojí 5k, zatímco domů 1.. Rozdíl je ve spolehlivosti, spravovatelnosti atp. Asi bys neocenil, kdyby se user databáze četla megarychle z jednoho rotačního disku (bez redundance, zálohy, ....).

BTW - Co vím, tak Spořka a UCB mají appku na multifaktor, Sberbank používá RSA tokeny, pokud někoho opravdu zajímá bezpečnost jeho financí a slyšel o SS7 hackingu :)