W dniu 22.05.2019 o 11:06, J.F. pisze:
Sprawdza, a oprogramowanie klienckie może zawsze powiedzieć SSLowi, żeby zignorował niepoprawność certyfikatu (np. takiego który sam wygenerowałeś).
W dniu 2019-05-22 o 11:06, J.F. pisze:
Certyfikaty muszą być sprawdzone, ale czy to się nazywa, że robi się to w ramach SSL czy nie to nie mam pojęcia. O SSL wiem tylko tyle że wiem do czego mniej więcej służy. Nic więcej.
Nie pisałem z myślą o konkretnych obawach tylko tak ogólnie patrząc na bezpieczeństwo systemów. Atak słownikowy na hasła może polegać na tym, że ktoś wybiera kolejne hasło i próbuje się nim zalogować do tysięcy kont klientów. Potem kolejne itd.
Ograniczenie pasma ataku jest niezbędne gdy dopuszczone są hasła (klucze) zbyt słabe.
Wszystko opiera się na zaufaniu, że ktoś tam zrobił wszystko jak trzeba. Autorzy książki o której pisałem opisywali taki przypadek (oni byli wynajmowani między innymi do weryfikacji systemów bankowych): Jakiś programista zrobił z hasłami jak trzeba - solił i wydłużał. Ale uznał, że czekanie przez użytkownika (to chyba chodziło o logowanie pracowników banku) 1s na reakcję komputera to za długo więc aby szybko odpowiedzieć przechowywał CRC32 każdego hasła. Czyli wydłużył je o jakiś
20 bitów po czym skrócił o 32.
Nie wiem jak to dokładnie jest, ale nie chodzi o podsłuchanie tego hasła w transmisji tylko o ilość wymaganej pracy atakującego przy próbie odgadnięcia hasła.
Według mnie aby rozsądnie korzystać z dostępu do banku przez komórkę to trzeba by mieć drugą do odbierania SMS-ów z kodami jednorazowymi. P.G.
W dniu 2019-05-22 o 11:25, Grzegorz Niemirowski pisze:
Tylko, że przy moim podejściu do świata zapoznać się oznacza zrozumieć każdy bit :( i to jest mój problem. A krzywe eliptyczne mnie na razie przerażają bo nic o nich (poza nazwą) nie wiem.
Jak potrzebowaliśmy AESy to na podstawie dokumentów NIST napisałem swoje procedury. Mój AES ma 15 linijek w pliku .h i 120 w pliku .c (w wersji C++ trochę dłuższe .h i krótsze .cpp) i liczy AES128 i AES256 (to jest rozmiar tylko szyfrowania (deszyfrowania nie używamy)).
Jeśli ktoś jest zainteresowany to mogę to tu wrzucić. P.G.
W dniu środa, 22 maja 2019 04:16:16 UTC-5 użytkownik Piotr Gałka napisał:
Tego akurat nie narzuca. Ale mozna tak to skonfigurowac aby serwer oczekiwal certyfikatu od klienta.
Zalezy jak doglebnie chcesz sie zapoznac. Do ogarniecia podstawowych spraw weekend starczy. Jak chcesz z poziomu kodu to moze byc trzeba dodatkowych parunastu godzin.
W dniu 2019-05-22 o 10:41, Piotr Gałka pisze:
Należy rozróżnić 2 sytuacje:
- gdy można użyć brutalnej siły, np. dopasowując kolejne hasła próbując rozszyfrować plik (który masz) i jedynym ograniczeniem moc obliczeniowa; tu hasła/klucze muszą być długie
- gdy się daje hasło do sprawdzenia komuś/czemuś niezależnemu, np. przy logowaniu się gdzieś; tu raczej zawsze jest limit prób, np. pin do karty bankowej ma kilkanaście bitów ale raczej trudno go zgadnąć w 3 próbach.
W dniu 2019-05-23 o 13:32, SW3 pisze:
Tzw. oczywista oczywistość :). Ale co jak atakującemu uda się obejść ograniczenie pasma ataku. Przykład logowanie do sklepu - jest ograniczone bo:
- nie da się wypróbować w sekundę miliona haseł,
- program po kilku błędach może blokować konto.
Ale z takiego morele.net wykradziono plik z hasłami. I teraz:
Pamiętam z tej książki na której się cały czas opieram mniej więcej takie zdanie: Nie ma absolutnie żadnego uzasadnienia aby nie stosować solenia i wydłużania haseł dlatego należy to zawsze robić. Prawie nic nie kosztuje, a może w nieprzewidzianej sytuacji być istotnym utrudnieniem dla atakującego (milion razy dłuższa robota to trochę znaczy - z jednego dnia robi 2700 lat).
W związku z tym zakładałem, że wszyscy tak robią i z dość dużym poczuciem bezpieczeństwa mogę stosować do sklepów jedno hasło. P.G.
W dniu 23.05.2019 o 14:18, Piotr Gałka pisze:
To zdarza się nawet poważnym graczom takim jak google (hasła w jawnej postaci były w logach serwerów)
Ograniczone zaufanie do innych wydaje się bezpieczniejszym podejściem.
W dniu 2019-05-23 o 14:18, Piotr Gałka pisze:
...
W logach serwera pocztowego kiedyś zobaczyłem próbę zalogowania do poczty na alias z hasłem podanym w morelach. Oczywiście od razu zmieniłem, ale próby logowania są cały czas. Na szczęście używam aliasów, wiec mogą próbować sobie do woli. Z różnych miejsc, Rosji, Brazylii, Wenezueli, Chin, Wietnamu... Na dodatek są próby z niewielkimi modyfikacjami tych haseł. Ale żeby było ciekawiej to nie jest jedyny taki przypadek z którym się spotkałem (tzn nie tylko z moreli wyciekło hasło).
Pozdrawiam
DD
W dniu 2019-05-23 o 14:43, Zbych pisze:
Nie da się żyć przy założeniu, że się nie ufa komuś kto profesjonalnie się czymś zajmuje. Nie dało by się wsiąść do taryfy, autobusu, czy samolotu.
Jak ktoś zajmuje się pisaniem programu na tyle poważnego, że użytkownicy muszą mieć hasła to powinien wiedzieć jak to trzeba zrobić.
To tyle teorii. A w praktyce to widząc ile jest poprawek np. Windowsów i często argumentowanych łataniem luk w bezpieczeństwie to już dawno powinienem zweryfikować to moje idealistyczne założenie :) P.G.
W dniu 2019-05-23 o 14:53, Dariusz Dorochowicz pisze:
Nie wiem nawet jak to zobaczyć. Raz skonfigurowałem Thunderbirda i praktycznie do serwera nie zaglądam, a już żeby szukać logów.
W wielu sklepach mam hasło jakie miałem w morelach. Nie chciało mi się zmieniać. Jak się ktoś zaloguje za mnie do sklepu to chyba najwyżej coś zamówi i będzie musiał zapłacić....
Ciekawe czy jakby w hasłach używać polskich liter to by im utrudniło bo nie mają na klawiaturze. Nie próbowałem. Nie wiem czy byłyby w ogóle zaakceptowane. P.G.
Gorzej jeśli sklep zapamiętał kartę płatniczą... (np. Amazon)
Jakoś nie wyobrażam sobie, by to ludzie próbowali hasła wklepywać :)
Do tego mogłoby się okazać, że sam sobie zablokujesz dostęp, bo utf-8 się po drodze gdzieś wykrzaczyło i nie masz szans wpisać hasła w taki sposób, w jaki sklep go sobie zapisał/zinterpretował.
Mateusz
Piotr Gałka snipped-for-privacy@cutthismicromade.pl napisał(a):
Ogólnie jeśli chodzi o atak bruteforce, to by utrudniło. Przy czym związek z klawiaturą jest pośredni. Ataki wykonują oczywiście automaty. Natomiast ktoś je pisze i konfiguruje zestaw znaków. Może się przy tym zasugerować swoją klawiaturą. Niemniej tak jak piszesz, polskie znaki zwykle nie są akceptowane choć chyba np. Windows je akceptuje. Z drugiej strony zamiast stosować dziwn znaki, lepiej po prostu wydłużyć hasło:
W dniu 2019-05-23 o 14:18, Piotr Gałka pisze:
Znaczy wolisz liczyć na to, że wszyscy operatorzy wszystkich usług z których korzystasz zapewniają 100% ochronę Twojego hasła przed wyciekiem (choć sam podajesz przykład, że wyciekło i najprawdopodobniej zostało złamane) i sami nie mają niecnych zamiarów niż samemu w prosty sposób całkowicie się przed tym zabezpieczyć używając różnych haseł do różnych serwisów?
Stosowanie unikalnych haseł to jedna z podstawowych zasad bezpieczeństwa, dzięki której gdy jakiś serwis zaliczy wpadkę to możesz mieć problem w tym serwisie a nie wszędzie. PS: Unikalne musi być naprawdę unikalne a nie stałafraza+nazwaseriwsu
Nie pamiętam jak to było jak mnie raz zmusiło do użycia karty w internecie. Wtedy idzie bez hasła jednorazowego? P.G.
W dniu 2019-05-23 o 17:22, SW3 pisze:
Pisałem w czasie przeszłym.
liczyć na to, że wszyscy operatorzy wszystkich usług z
Poza tym dotyczyło to tylko sklepów.
zapewniają 100% ochronę Twojego hasła przed wyciekiem
O tym wycieku dowiedziałem się nie tak dawno. I teraz się zastanawiam co z tym zrobić.
i sami nie mają niecnych zamiarów niż samemu w prosty sposób
Wątpliwości mam do "w prosty sposób".
A tak właśnie byłoby "w prosty sposób". P.G.
Piotr Gałka snipped-for-privacy@cutthismicromade.pl napisał(a):
Nie wiem jakie są dokładnie zasady, ale może iść bez. Jeśli w jednym sklepie płatność szła z hasłem, to wcale nie oznacza, że w drugim też będzie musiała.
Użytkownik "Grzegorz Niemirowski" napisał w wiadomości grup dyskusyjnych:5ce5158f$0$17356$ snipped-for-privacy@news.neostrada.pl... Piotr Gałka snipped-for-privacy@cutthismicromade.pl napisał(a):
No i cala reszta komunikacji tez byla jawna, a to nie jest wskazane.
J.
W dniu 2019-05-23 o 18:24, Piotr Gałka pisze:
Menedżer haseł. Najlepiej taki trzymający wszystko lokalnie.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.