Здравствуйте, Nik_1, Вы писали:
KV>>Если бы я его применил, то кроме той фразы больше бы ничего не написал. Почему ты убрал остальной текст из цитаты? N_>Так остальная часть сообщения была таким же троллингом типа "кардинальная раздница между 400к и 1000к"
Здравствуйте, Nik_1, Вы писали:
KV>>Вообще-то порядок у них разный, если что. N_>Поряд — это вообщето в 10 раз, так? для сведения или ты будешь утверждать что 1000/400 >= 10
Для сведения: порядок — это количество разрядов в числе.
Здравствуйте, Nik_1, Вы писали:
N_>Ну так такой вид атаки будет какраз по вине банка, а не пользователь ССЗБ
И? Это повод не вводить требования к паролям и его периодической замене и к админам сервиса?
N_>От наличия злоумышленников среди сотрудников банка пользователю не защититься,
А пользователю и не надо защищаться от этого. Ему надо лишь иметь возможность доказать, что он сделал все, что требовал от него банк в плане защиты своих активов.
N_>тут надо лучше за своими людьми конторе следить
Я выше уже написал, как я отношусь к подобным советам, боюсь ничего нового на эту тему ты от меня здесь уже не услышишь.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>Здравствуйте, kochetkov.vladimir, Вы писали: KV>>>1. ограничения времени, доступного атакующему, владеющему какой-либо информацией, которая может способствовать воссозданию или подбору пароля. N_>>Для этого есть более действенные способы : временные лимиты на попытки при подборе пароля.
KV>Что именно будет происходить при превышении этого лимита? И этот лимит не поможет, если в качестве информации, способствующей восстановлению пароля атакующим, будет его хеш. Мы же вроде это уже выяснили?
Да, мы выяснили что в этом случаи банк должен разбираться со своими сотрудниками, свиснувшими базу хешей, а не вешать свою вину и проблемы на пользователей.
KV>>>2. ограничения времени, в течении которого атакующий может использовать скомпрометированный пароль. N_>>Если пароль скопроментирован, то чтоб все деньги свиснуть надо менее 90 дней, так что опять мимо
KV>Это если цель лишь свистнуть деньги, имеющиеся на счету на момент свиста. Но пассивный мониторинг финансовых транзакций, скажем, с целью сбора компромата — тоже вполне себе цель. Или доступ к детализации мобильника с той же целью. Или к данным длительного медицинского обследования. И т.д.
KV>Так что не мимо, а просто кто-то не очень хорошо себе представляет то количество актуальных угроз, которые иногда приходится принимать во внимание при принятии решений о безопасности.
Если за поролем скрываются важные для пользователя данные, то он не станет ставить пароль 123.
N_>>>> и делать его вида Luz1XSQc0s? KV>>>это требование вводится для того, чтобы увеличить время, необходимое атакующему для компрометации пароля и сделать его заведомо большим, чем доступное ему, с учетом ограничений, упомянутых выше. N_>>Затыкание одно дыры путем создания другой, офигеть хорошее решение. Когда дыру можно было заткнуть другими методами, не создающими дополнительной уязвимости.
KV>Перечисли эти методы, пожалуйста.
прочитай выше по треду, я уже не раз писал про ограничение на подбор.
N_>>Не удивлюсь, если привиденный тобой стандарт писали такие же "специалисты", а ты теперь на него как на мега авторитетный и неоспоримый источник ссылаешься
KV>Такие же специалисты, как кто?
Как говорится не будем показывать пальцем, хотя это и был слонёнок
Re[7]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, mrTwister, Вы писали:
T>>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Я повторю еще раз: существует стандарт, который предписывает всем банкам, обеспечивающим процессинг платежных карт, вводить меры по обеспечению безопасности, в т.ч. (я цитирую стандарт http://pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf):
T>>Я спрашивал не с точки зрения стандартов, а с точки зрения здравого смысла. А стандарты могут быть любыми.
KV>С т.з. здравого смысла, чтобы эта процедура действительно работала, нужно идти до конца и генерировать случайные пароли пользователю без его участия при каждом истечении срока жизни пароля. Процедура смены пароля должна быть реализована точно также.
KV>В любом другом случае, периодическая смена паролей зависима от человеческого фактора и, со стороны владельца системы, является скорее механизмом передачи ответственности на сторону пользователя
Втом то и дело, что это лишь перекладывание с больной головы на здоровую, а не повышение защищенности системы
Re[7]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>Т.е. вы посматриваете вручную пароли пользователей, и тех у кого простые заставляете переодически менять? ну вы жжоте
KV>Я полагаю, что mrTwister имел ввиду, что пользователь остается без периодической смены паролей в переносном смысле, т.к. замена одной цифры в пароле на следующую действительно мало что дает. Отвечал ему, исходя из этого предположения.
ну так ты написал :
Не был бы им, не остался бы без принудительной смены пароля.
Т.е. из написанного получается, что пароль заставляете менять только пользователей-ССЗБ, а нормальных не заставляете.
Re[17]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>Так в случаи банков вина в компроментации паролей в большенстве случаев какраз происходит по вине банков.
KV>Честно говоря, я устал спорить с необоснованными заявлениями. Приведи статистические данные, подтверждающие выделенное утверждение.
Большинство компроментаций пароля к картам происходит скраммерами. Или по твоему пользователь виноват что банк не следит за своими банкоматами и позволяет скраммерам ставить на них считывающие устройства?
N_>>Только вот расплачивают пользователи из-за хитрожопо составленных договоров, что всегда и во всем виноват и отвечает только пользователь, даже если слажал банк.
KV>У меня к договорам с банками тоже есть свои претензии, но как это относится к исходному топику?
Вот так и относится, что банки свою вину( неумение следить за своими банкоматами и обеспечить безопасность пластиковых карт) перекладывают на пользователей и он расплачивается за их ошибки.
Re[12]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
KV>>Что именно будет происходить при превышении этого лимита? И этот лимит не поможет, если в качестве информации, способствующей восстановлению пароля атакующим, будет его хеш. Мы же вроде это уже выяснили? N_>Да, мы выяснили что в этом случаи банк должен разбираться со своими сотрудниками, свиснувшими базу хешей, а не вешать свою вину и проблемы на пользователей.
Вину в данном случае на пользователей никто не вешает, а проблемы здесь в первую очередь не у банка, а у пользователей, чьи пароли были скомпрометированы.
KV>>Так что не мимо, а просто кто-то не очень хорошо себе представляет то количество актуальных угроз, которые иногда приходится принимать во внимание при принятии решений о безопасности. N_>Если за поролем скрываются важные для пользователя данные, то он не станет ставить пароль 123.
Ты по-прежнему говоришь про блондинку? Он может поставить любой пароль, который ему даст поставить система, нет никаких объективных аргументов в пользу того, чтобы считать, что пользователь, осознавая важность своих данных, непременно использует сложный пароль.
KV>>Перечисли эти методы, пожалуйста. N_>прочитай выше по треду, я уже не раз писал про ограничение на подбор.
А я уже не раз попросил тебя более подробно расписать, как именно он должен быть реализован.
Здравствуйте, Nik_1, Вы писали:
KV>>Такие же специалисты, как кто? N_>Как говорится не будем показывать пальцем, хотя это и был слонёнок
хочу, чтобы ты понимал, что мы не будем показывать пальцем, не потому что "так говорится", а потому что есть п.5 правил общения на форумах RSDN http://rsdn.ru/Info/rules.xml
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
KV>>>Вообще-то порядок у них разный, если что. N_>>Поряд — это вообщето в 10 раз, так? для сведения или ты будешь утверждать что 1000/400 >= 10
KV>Для сведения: порядок — это количество разрядов в числе.
Тебя послушать, так 999999 и 1000000 тоже на порядок разлечуются
Порядок, это какраз в 10 раз, а в твоем случаи 1000/400=2.5 называется "в разы"
Re[8]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
N_>Втом то и дело, что это лишь перекладывание с больной головы на здоровую, а не повышение защищенности системы
Нет, это не перекладывание, а исключение фактора, влияющего на защищенность системы, за счет введения мер, понижающих юзабилити сервиса с т.з. его пользователей.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>Ну так такой вид атаки будет какраз по вине банка, а не пользователь ССЗБ
KV>И? Это повод не вводить требования к паролям и его периодической замене и к админам сервиса?
Это повод не перекладывать свои проблемы на пользователей, создавая им дополнительный гиморой.
N_>>От наличия злоумышленников среди сотрудников банка пользователю не защититься,
KV>А пользователю и не надо защищаться от этого. Ему надо лишь иметь возможность доказать, что он сделал все, что требовал от него банк в плане защиты своих активов.
А для этого должна быть призумция невиновности : если банк считает что это пользователь скомпроментировал свой пароль — он должен это доказать, а не перекладывать с больной головы на здоровую.
Re[13]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
KV>>>Что именно будет происходить при превышении этого лимита? И этот лимит не поможет, если в качестве информации, способствующей восстановлению пароля атакующим, будет его хеш. Мы же вроде это уже выяснили? N_>>Да, мы выяснили что в этом случаи банк должен разбираться со своими сотрудниками, свиснувшими базу хешей, а не вешать свою вину и проблемы на пользователей.
KV>Вину в данном случае на пользователей никто не вешает, а проблемы здесь в первую очередь не у банка, а у пользователей, чьи пароли были скомпрометированы.
KV>>>Так что не мимо, а просто кто-то не очень хорошо себе представляет то количество актуальных угроз, которые иногда приходится принимать во внимание при принятии решений о безопасности. N_>>Если за поролем скрываются важные для пользователя данные, то он не станет ставить пароль 123.
KV>Ты по-прежнему говоришь про блондинку? Он может поставить любой пароль, который ему даст поставить система, нет никаких объективных аргументов в пользу того, чтобы считать, что пользователь, осознавая важность своих данных, непременно использует сложный пароль.
KV>>>Перечисли эти методы, пожалуйста. N_>>прочитай выше по треду, я уже не раз писал про ограничение на подбор.
KV>А я уже не раз попросил тебя более подробно расписать, как именно он должен быть реализован.
прогрессивным увелечением времени на повторную попытку, например : 10с, 20с,30с, 1м, 5м, 15м, ... Вслучаи, если речь идет о доступе к деньгам то допустимо будет вообще на день блокировать при 5 неправильных попытках ввода.
Re[8]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
N_>ну так ты написал : N_>
N_>Не был бы им, не остался бы без принудительной смены пароля.
N_>Т.е. из написанного получается, что пароль заставляете менять только пользователей-ССЗБ, а нормальных не заставляете.
Не получается. Здесь, в тон mrTwister'у доносится мысль о том, что если бы пользователь менял не один символ в пароле, а весь пароль целиком, то принудительная смена пароля имела бы для него смысл. Если же он этого не делает, меняя по одному символу, то фактически остается без периодической смены пароля, хотя и проходит через эту процедуру.
Здравствуйте, Nik_1, Вы писали:
KV>>Честно говоря, я устал спорить с необоснованными заявлениями. Приведи статистические данные, подтверждающие выделенное утверждение. N_>Большинство компроментаций пароля к картам происходит скраммерами. Или по твоему пользователь виноват что банк не следит за своими банкоматами и позволяет скраммерам ставить на них считывающие устройства?
К пин-кодам карт не выставляются требования, которые мы здесь обсуждаем. В чем смысл их упоминания здесь?
N_>>>Только вот расплачивают пользователи из-за хитрожопо составленных договоров, что всегда и во всем виноват и отвечает только пользователь, даже если слажал банк.
KV>>У меня к договорам с банками тоже есть свои претензии, но как это относится к исходному топику? N_>Вот так и относится, что банки свою вину( неумение следить за своими банкоматами и обеспечить безопасность пластиковых карт) перекладывают на пользователей и он расплачивается за их ошибки.
Загляни все же к чему предъявляются требования PCI DSS. Непосредственно пластиковые карты тут не причем. Или ты где-то видел банк, который заставляет использовать полноалфавитные пин-коды и три раза в месяц менять их?
Здравствуйте, Nik_1, Вы писали:
KV>>Для сведения: порядок — это количество разрядов в числе. N_>Тебя послушать, так 999999 и 1000000 тоже на порядок разлечуются
Первое — сотни тысяч, второе — миллионы. Порядок разный.
N_>Порядок, это какраз в 10 раз, а в твоем случаи 1000/400=2.5 называется "в разы"
Прости, но столь резкий переход от управления ИБ к курсу школьной арифметики, как-то обескураживает, что-ли
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>Втом то и дело, что это лишь перекладывание с больной головы на здоровую, а не повышение защищенности системы
KV>Нет, это не перекладывание, а исключение фактора, влияющего на защищенность системы, за счет введения мер, понижающих юзабилити сервиса с т.з. его пользователей.
только вот одна загвозка : данная мера снижает защещенность, а не повышает её
Re[9]: Разработчикам систем парольной аутентификации
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>ну так ты написал : N_>>
N_>>Не был бы им, не остался бы без принудительной смены пароля.
N_>>Т.е. из написанного получается, что пароль заставляете менять только пользователей-ССЗБ, а нормальных не заставляете.
KV>Не получается. Здесь, в тон mrTwister'у доносится мысль о том, что если бы пользователь менял не один символ в пароле, а весь пароль целиком, то принудительная смена пароля имела бы для него смысл.
Ну значит так написал, что я прочитал это подругому, совсем не то что имелось ввиду KV>Если же он этого не делает, меняя по одному символу, то фактически остается без периодической смены пароля, хотя и проходит через эту процедуру.
Так втом то и проблема, что это никтобольшинство не будут дело. Только извращенец станет каждый месяц зазубривать новый хитровывернутый пароль, абсолютное же большинство будет либо записывать его, либо менять по одной букве. Я отношусь ко вторым
Re[16]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
KV>>И? Это повод не вводить требования к паролям и его периодической замене и к админам сервиса? N_>Это повод не перекладывать свои проблемы на пользователей, создавая им дополнительный гиморой.
Так ты распишешь гениальную систему защиты от брут-форса, которая по твоему мнению делает ненужной все эти парольные политики или нет?
N_>>>От наличия злоумышленников среди сотрудников банка пользователю не защититься,
KV>>А пользователю и не надо защищаться от этого. Ему надо лишь иметь возможность доказать, что он сделал все, что требовал от него банк в плане защиты своих активов. N_>А для этого должна быть призумция невиновности : если банк считает что это пользователь скомпроментировал свой пароль — он должен это доказать, а не перекладывать с больной головы на здоровую.
Презумпция невиновности в нашей стране существует только по части уголовных преступлений. Претензии к банкам решаются арбитражем, никакой презумпции там нет и банк, в данном случае, ничего доказывать не должен.
Здравствуйте, Nik_1, Вы писали:
N_>прогрессивным увелечением времени на повторную попытку, например : 10с, 20с,30с, 1м, 5м, 15м, ... Вслучаи, если речь идет о доступе к деньгам то допустимо будет вообще на день блокировать при 5 неправильных попытках ввода.
Отлично. Я, являсь атакующим, генерирую десятки-сотни неправильных попыток в секунду в отношении всех пользователей интернет-банка, используя для этого распределенный ботнет, чем всерьез и надолго парализую возможность нормальной работы настоящих клиентов. Что дальше?
или ты будешь утверждать что 1000/400 >= 10 
