9/2/2010
Jeden z klientów American Express wyraził żal, że nie może ustawić dłuższego niż 8 znaków hasła do swojego konta. Oto jaką odpowiedź uzyskał:
A przekładając to *dosłownie* na polski, pogrubienia nasze:
Informujemy, ze nasza strona korzysta z 128-bitowego szyfrowania. Mając to na uwadze, hasła stworzone tylko z liter i alfabetu (?) tworzą algorytm który jest trudny do złamania. Odradzamy wykorzystywanie znaków specjalnych ponieważ oprogramowanie hakerskie potrafi je łatwo rozpoznać.
Długość hasła jest ograniczona do 8 znaków aby ograniczyć kontakt z klawiaturą. Niektóre programy potrafią rozszyfrować hasło bazując na informacjach o często naciskanych klawiszach.
Dlatego, im mniej uderzeń w klawisze w danej jednostce czasu, tym mniejsze prawdopodobieństwo złamania hasła.
Gurav Sharma, z e-mail servicing team, chyba już nie pracuje w American Express. Mógłby się za to spełnić jako scenarzysta filmów o hakowaniu — tam taka informatyczna pomysłowość i kwiecistość wypowiedzi jest przecież obowiązkową składową każdego hakera. Przy “ograniczaniu kontaktu z klawiaturą” wymięka nawet emacs z sendmailem i potrójną ścianą ognia…
O sprawie doniósł nam jako pierwszy Paweł Stawicki.
Przeczytaj także:
- Telefoniczne hasła, czyli jak rozbawić bankowego konsultanta podczas weryfikacji tożsamości
- Bez SQL injection mi tutaj!
- Sprawdź numer swojej karty kredytowej
Jeszcze do niedawna dostęp do bankowości internetowej w Polbanku był chroniony hasłem z ograniczeniem od 5 do 8 znaków.
W zeszłym roku wreszcie ten idiotyzm zmieniono, ale pozostał jeszcze inny idiotyzm w postaci sposobu autoryzacji transakcji i to, że jedyną słuszną dla nich przeglądarką jest IE.
W PKO BP nie można w haśle używać kropek, przecinków i innych znaków specjalnych
tekst o klawiaturze nie jest całkiem wyssany z palca (jest trochę o tym w książce “Cisza w sieci”) ale gościu się i tak mija z prawdą
Dodatkowo, ograniczenie do 8 znaków sugeruje, że klucze trzymane są w clear tekście. Wszak MD5 czy SHA-1 dają hash zawsze takiej samej długości, niezależnie od długości hasła. Czyż nie?
@Paweł Stawicki:
Z jednej strony wątpliwe ;) zawsze mogą posiadać autorski algorytm hashowania, poza tym “kto trzyma hasło w clear tekście”.
Z drugiej strony… zawsze się znajdą czarne owce ;)
Nie jestem specjalistą od zabezpieczeń ale ostatnio żona mi się chwaliła zabezpieczeniami z logowania w Aliorbanku. Jak je oceniacie? Podawanie tylko wybranych znaków hasła jest może upierdliwe ale w logowaniu do swoich “milionów” na koncie wygoda nie powinna być aż takim priorytetem.
@Michał: no bez żartów :) Po pierwsze w jego przypadku jak najbardziej wyssany jest. Po drugie lcamtuf opisuje wysoce abstrakcyjne metody, które zresztą przy dłuższym haśle zadziałają mniej skutecznie, bo zwiększa się liczba możliwości :)
Co do zabezpieczeń w Alior Banku – takie same są chociażby w Pekao S.A. Jedynie przyczepiłbym się o ograniczenie do 15 znaków (akurat miałem dobry pomysł na hasło na 16 znaków i musiałem wymyślać inne…), ale ogólnie jest do dobra metoda – ciężko zastosować tam słowniki (ostatecznie nie wszystkie znaki są wymagane do podania od razu), ciekawi mnie jednak sposób przechowywania hasła w takim wypadku ;)
Wstawiłem dzisiaj ten obrazek na korporacyjne forum i po jakiejś godzinie odezwał się do mnie kolega z innego teamu o identycznych danych jak konsultant Amexa. Zlitowałem się nad nim i zamazałem jego nazwisko bo koledzy męczyli go czy to czasem nie on w Amexie takie bzdury napisał :)
@megawebmaster
Są to tak zwane hasła maskowane
Sam też trafiełm pąre razy na ograniczenie do 15 znaków, a że większość haseł mam dłuższych to trochę nieciekawie. Ale cóż wzięli studenta prosto ze studiów do pisania kodu, na szkolenie z bezpieczeństwa nikt go nie posłał i efekty jak widać ;]
co do ALIOR BANKU: zapytanie o wybrane znaki hasła funkcjonowało już dobre pare lat temu w systemie Sezam banku BPH
Hasło maskowane było używane także przez Bank Śląski / ING w ich bankowości elektronicznej. Piszę było, bo przestałem być klientem owego lataaaa temu.
A zadziwiające, że dla wielu ludzi termin “szyfrowanie 128 bitowe” jest gwarancją absolutnego bezpieczeństwa.
Viv la Maginot !!! – tak chyba to powinno brzmieć.
A w Deutsche Bank PBC (Polska) hasło to… 6 cyfr. I do telefonu, i na WWW takie samo… słabo? ;-)
A hasła jednorazowe (zdrapki) są… wielorazowego użytku…
Może zrobić plebiscyt na najgorzej zabezpieczony bank w kraju?
@pd To się nadaje na osobny post na Niebezpieczniku.
Aegon (https://twojrachunek.pl/TwojRachunek/) też ma ograniczenie do 8 znaków hasła też się bardzo zdziwiłem O.o
Nie ma to jak porządne zabezpieczenia… Ciekawe ile haseł pasuje w takim razie do tych “najczęściej używanych” z niedawnej listy na Niebezpieczniku… ;]
W zeszłym roku Fortis wprowadził token kryptograficzny z USB – zastępuje on kartę z chipem oraz jednocześnie czytnki kart chipowych). Ponieważ Comarch, który to oprogramował przewidział długie hasła zadałęm im puytanie:
-> Dlaczego w aplikacji ToolboxFORTIS ograniczono możliwości już funkcjonującego oprogramowania – np. PIN tylko do 4 cyfr?
Otrzymałem odpowiedź: “Pierwsze karty kryptograficzne dostarczone do Banku miały możliwość ustawienia kodu PIN jedynie 4-ro znakowego. Później, gdy Bank otrzymał tokeny, zdecydowano, że należy zestandaryzować te dwa urządzenia kryptograficzne i dlatego też PIN ma 4 znaki. W związku z tym, że autoryzacja przy obecnie wykorzystywanym podpisie elektronicznym opiera się na zasadzie “coś wiesz i coś masz”, długość kodu PIN nie wpływa negatywnie na bezpieczeństwo. ”
Kluczowe słowa to oczywiście “długość kodu PIN nie wpływa na bezpieczeństwo” :-)
Nazwisko Pani odpowiadającej w razie potrzeby posiadam.
Zabrzmiało groźnie. ;]
blad – a po co Ci dłuższy PIN? ile osób ma dostęp do Twojego tokena? czy jak go zgubisz czy Ci ukradną gdzieś w autobusie to będą wiedzieli do jakiego banku jest ten token? do jakiego konta? po ilu błędnych wprowadzeniach hasła token się blokuje? ludzie nie dajmy się zwariować – bezpieczeństwo to coś więcej niż długość PIN-ów (haseł). Najpierw analizuje się ryzyko a potem dopiero to tego dobiera adekwatne (sic) środki bezpieczeństwa – nie dajmy się zwariować bo niedługo do tokena będziemy wprowadzać jako hasło “Pana Tadeusza”