Здравствуйте, Nik_1, Вы писали:
KV>>Прикольно. Ты предлагаешь банку сначала создать DDOS-условия в своей системе, а потом отважно бороться с ними? N_>Ну вот чето карты никто не досит, хотя там всего 3 попытки в сутки
Наверное, это потому что для того, чтобы их досить, нужно физически обладать этой картой? Аналогом таких условий для аутентификации в интернет-банке являются всевозможные токены и смарт-карты. И это более неудобно, чем парольная аутентификация.
KV>>Нет, твое решение создает реальный, а главное более высокий риск и именно тебе, как его автору сейчас необходимо что-то предложить, чтобы уйти от этого риска. Я знаю, как уйти от него в твоем решении. Но очень хочу, чтобы ты сам к нему пришел. N_>И какой же риск оно создает?
Отказ в обслуживании — одна из угроз, как по классической модели CIA, так и по STRIDE и ей подобным. Риск, который создает твое решение по CVSS оценивается в 8.5 баллов, из 10 возможных, что дофига по любым критериям и формируется следующими факторами: (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:H/RL:U/RC:ND/CDP:LM/TD:H/CR:ND/IR:ND/AR:ND). Что значат эти буквы можно посмотреть здесь: http://www.first.org/cvss/cvss-guide.html
N_>>>Кстати, а откуда у злоумышленника взялась база логинов клиентов, не банк ли опять недосмотрел за своими админами?
KV>>Прямой перебор. Это гораздо проще, чем подбор пароля, т.к. энтропия имен пользователей — минимальная, практически при любой схеме их формирования. N_>Ну тут все какраз проще, лимит на попытки будет не только для логинов, но и для айпишников. Так что при переборе еще и логинов много не наперебираются.
айпишники — еще хуже идея, т.к. за одним IP могут скрываться тысячи клиентов банка. Два примера: 50 миллионов абонентов сотовой компании, использующих мобильный интернет — это около тысячи IP-адресов по всей стране. Около трех десятков тысяч сотрудников нашей компании, являющихся клиентами Альфа-банка — это около 20 IP-адресов по всей стране, если речь идет о доступе в интернет-банк из офиса.
А ведь достаточно, чтобы компьютер лишь одного из них стал частью ботнета, участвующего в брутфорсе, чтобы доступ к интернет-банку потеряли все.
KV>>Опять-таки, даже если атака производится на одного конкретного клиента, чей логин известен атакующему по независящим от банка причинам — это уже большая проблема, ибо имиджевые и юридические риски, если что. N_>Вслучаи, если атакуют конкретного клиента, то это уже другими средствами решается, а не созданием геммороя подефолту всем пользователям.
А что, есть объективные причины считать, что этим "конкретным клиентом" не может стать любой из пользователей?
С тобой можно будет продолжить дескутировать лишь после того, как разберешся с базовыми понятиями из школьной математики. Такими как "отличается в разы" и "отличается на порядок".
Re[20]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
N_>С тобой можно будет продолжить дескутировать лишь после того, как разберешся с базовыми понятиями из школьной математики. Такими как "отличается в разы" и "отличается на порядок".
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Nik_1, Вы писали:
N_>>С тобой можно будет продолжить дескутировать лишь после того, как разберешся с базовыми понятиями из школьной математики. Такими как "отличается в разы" и "отличается на порядок".
KV>По существу — есть что возразить?
Что можно было по существу писать — нужно чтоб ты был способен читать написанное, разобрался в базовой терминологии, а не тролил в стиле 999 от 1000 отличается на порядок.
Re[22]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
KV>>По существу — есть что возразить? N_>Что можно было по существу писать — нужно чтоб ты был способен читать написанное, разобрался в базовой терминологии, а не тролил в стиле 999 от 1000 отличается на порядок.
Здравствуйте, Кочетков Владимир.
Статья хорошая, прочел ее всю, но не всю ветку обсуждений, она так разрослась из-за п.6 вредных советов и, возможно, из-за отсутствия определения пароля, т.е. чем пароль отличается от любого другого ключа.
Отличия пароля от любого другого ключа заключается в том, что он хранится только в памяти бортового компьтера пользователя (в мозге значит).
Отсюда выводы: пароль должен легко запоминаться и извлекаться из памяти пользователем, легко набираться на клаве, не быть легкоугадываемым и , вообще, наименее подверженным brute force.
В этой ветке уже написали здесь
Во-первых, капчи ломаются и любая капча на сегодняшний день ничуть не лучше "своего" алгоритма хеширования. Уж сколько Гугл не вкладывался в свою капчу, а и её сломали. Да и кучи дешёвых китайских рукоглаз никуда не исчезли.
Во-вторых, капча — суть оскорбление пользователя, презумпция виновности. Ты, скорее всего, робот, но, может быть, человек. А должно быть наоборот — ты, скорее всего, человек, но может быть робот. И даже какая-то польза человечеству от ReCaptcha никак не отправдывает ту настойчивость с которой капчи вставляют. Это не очень-то и сложно, начать показывать капчу не сразу при логине, а после например, неудачной попытки авторизации, но так сложно отказать себе в удовольствии крикнуть всему миру "Hello World Я знаю что такое капча!".
Здравствуйте, Nik_1, Вы писали:
K>>тут же вроде имеется в виду ограничение на максимальную длину N_>Темболее, ограничения сверху я еще реже встречал, чем ограничения снизу
Полно. К примеру, Office365, запущенный в эксплуатацию совсем недавно. Имеем весь набор ограничений: от 8 до 16 символов, минимум 3 класса из (цифра, строчная, заглавная, остальное).
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
