W dniu 2019-05-22 o 11:06, J.F. pisze:
>> Nie znam szczegółów SSL. Wyprowadźcie mnie jeśli jestem w błędzie.
>> Jak się loguję do banku po SSL to:
>
> SSL sprawdza certyfikaty, czy to jest dodatkowa funkcja ?
> Wydaje mi sie, ze nie sprawdza.

Certyfikaty muszą być sprawdzone, ale czy to się nazywa, że robi się to
w ramach SSL czy nie to nie mam pojęcia. O SSL wiem tylko tyle że wiem
do czego mniej więcej służy. Nic więcej.

>> między znakami powodują, że jeden znak typowo wnosi (o ile się nie
>> mylę) coś między 5 a 6 bitów). Podczas, gdy obecnie algorytmy o sile
>> poniżej 128 bitów uważane są za słabe.
>
> Ale czego sie obawiasz - ze ktos wykradnie z banku plik z zaszyfrowanymi
> haslami i zacznie rozkodowywac ?
> Czy, ze ktos zacznie sie logowac na losowe hasla ?

Nie pisałem z myślą o konkretnych obawach tylko tak ogólnie patrząc na
bezpieczeństwo systemów.
Atak słownikowy na hasła może polegać na tym, że ktoś wybiera kolejne
hasło i próbuje się nim zalogować do tysięcy kont klientów. Potem
kolejne itd.

> Tu sa kolejne zabezpieczenia - np trzy podania zlego hasla blokuja dostep.

Ograniczenie pasma ataku jest niezbędne gdy dopuszczone są hasła
(klucze) zbyt słabe.

> I mam nadzieje, ze ktos w banku monitoruje, ze np z tego adresu IP ktos
> probuje zgadnac haslo.

Wszystko opiera się na zaufaniu, że ktoś tam zrobił wszystko jak trzeba.
Autorzy książki o której pisałem opisywali taki przypadek (oni byli
wynajmowani między innymi do weryfikacji systemów bankowych):
Jakiś programista zrobił z hasłami jak trzeba - solił i wydłużał. Ale
uznał, że czekanie przez użytkownika (to chyba chodziło o logowanie
pracowników banku) 1s na reakcję komputera to za długo więc aby szybko
odpowiedzieć przechowywał CRC32 każdego hasła. Czyli wydłużył je o jakiś
20 bitów po czym skrócił o 32.


>> Hasło powinno być wydłużane (ale nie wiem czy w SSL jest i czy to
wynika z samego SSL, czy zależy od implementacji).

> Ale haslo do banku podajesz juz przez SSL.
> Sama sesja SSL ma jakis klucz szyfrowania, losowy,

Nie wiem jak to dokładnie jest, ale nie chodzi o podsłuchanie tego hasła
w transmisji tylko o ilość wymaganej pracy atakującego przy próbie
odgadnięcia hasła.

> No i zauwaz, ze teraz stawiaja na apki w telefonie - tu juz mozna
> identyfikowac konkretna instalacje/telefon.
> Pytanie tylko, czy tego sie nie da latwo wykrasc z telefonu.

Według mnie aby rozsądnie korzystać z dostępu do banku przez komórkę to
trzeba by mieć drugą do odbierania SMS-ów z kodami jednorazowymi.
P.G.