Тоже безопасность

Насколько я помню, длина 3d secure code не задана жестко в стандарте

Я в этом смысле наивный деревенский парень, но если никто прицельно не залез в мою аппаратуру, не установил перехват и отправку кому-то смс, не перебирает коды со скоростью десять тыщ вариантов в секунду (и чтоб не заблокировали за перебор, ага), то от кого меня охраняет безопасность в шесть цифр на пару сотен?

смс зло и как второй фактор ок только если ты неуловимый джо у которого на счету до тыщи в погожий день. потыкайся в лк банка, может быть там можно заменить смс на аппаратный токен.

Собственно, ты в СМС получаешь не пароль от банковской ячейки. А лишь хеш. А хеш, обратно трансформировать в пароль - невозможно.

Вопрос в другом: почему для идентичной безопасности идентичных операций одним надо четыре цыферки, а другим шесть? И есть ли примеры взлома любого из вариантов?

Тыкался, нету. Тем более что для меня смс вообще боль. Проводная оптика у нас в деревне есть, а вот за смс часто приходится в степь бегать)))

Ну и вот даже был бы уловимый))) Реально это всё сломать без локального резидента?

Я тебе однозначно утверждаю, что не 4 циферки, ни 6 - нифига не помогут. Я тут не так давно, увлекался вскрытием пароля на ZIP- архиве. И - прямо тебе скажу, простым перебором, это заняло примерно 6 часов. Но, получилось. Если пароль цифро-буквовой, то это займёт на порядок больше времени. Гораздо. Даже при наших вычислительных мощах - несколько лет.

Вот. И я про что. Кто сидит в безопаске в банках, которые хотят 6 цифр? Даже четыре избыточно, если там от неверного ввода блок например с третьей попытки? Какова вероятность? Поставить мне резидента в телефон и компьютер — честно скажем, утомишься. Чтобы украсть что? Десять, двадцать, сорок тыщ? Данунах скажет любой, кто бы смог.

И тут мы подходим к философской части нашего треда. Я считаю, что избыточные меры безопасности на каждый чих — организационно антиэффективное решение. Как смс от мчс: сегодня мы сгорим, завтра утонем, и подобное три раза в день. А когда будет землетрясение? Все проигнорируют. То же самое с банковской безопасностью. На мелочь (например настраиваемую в лк, до тыщи например) не надо ничего. На крупную 2фа. На особо крупную надо лично позвонить в банк и предъявить что это ты.

почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?

От балды.

Ну или может как-то так: начальник говорит сделать как у банка X, но круче и безопаснее. Разработчик чешет репу, делает то же самое, но 6 цифр, показывает, говорит, что в полтора раза безопаснее, смотри. Начальник доволен, при этом всё работает, и подавляющему большинству клиентов вообще пофиг, сколько цифр набирать.

Какой перебор, если оно ограничено по времени и блокируется после 3–5 попыток?

Меня всё ещё интересуют истории успеха: кто-то хоть четыре этих цифры подбирал безошибочно за секунду (не имея резидента на устройствах пользователя)?

Если у тебя одного нет денег, это ещё не значит, что вас невыгодно ломать миллионами.

Все же получают от банков смс с цыферками для подтверждения операций?

Не все. У меня однажды в с карты списали бабки. Кто-то подключил себе яндекс плюс за мой счёт. Причём данные этой карты я нигде не вводил. Код подтверждения не приходил(!). Единственное, как могли утечь данные имхо, это нечистый на руку содрудник банка, т.к. карты выдаются без конверта и сотрудник банка мог списать себе данные карты перед выдачей(в том числе код на обратной стороне). С яндексом договориться не удалось по очевидным причинам. Банк рассмотрел заявление о мошеничнестве и деньги вернул. А в полиции посмотрели на меня как на идиота. Такие дела. Так что храните деньги в стекляных банках, а весь этот пластик - решето.

Истории случайного подбора мне не известны. Обычно используют самую большую дырень в любой системе безопасности — юзера. Ну например, звонят, представляются из банка и говорят, что что-то важное произошло, и надо прямо сейчас в офис, чтоб что-то важное сделать, или можем сделать удалённо — сейчас вам придёт СМС, из него надо назвать 4 цифры. Или в таком духе, с накручиванием разного рода подробностей и шагов.

Я и не предлагал снизить уровень безопасности всем. Просто не понимаю, зачем сто рублей защищать как сто миллионов.

Это простое объяснение, но можно немножко по другому.

Через плечо тебе заглянули в телефон в момент прихода смс. Как ты думаешь, проще одним взглядом запомнить 4 цифры или 6? Кажется, что повышение до 8 цифр вообще ликвидирует такую возможность.

Воистину! И если юзер назовёт четыре цифры, он шесть?.... правильно, тоже назовёт.

Через плечо тебе заглянули в телефон в момент прихода смс. Как ты думаешь, проще одним взглядом запомнить 4 цифры или 6?

Примерно одинаково?

Кажется, что повышение до 8 цифр вообще ликвидирует такую возможность.

Вот 8 уже сложнее, да.

И жалоба ТС как раз тому подтверждение - 6 циферок то сложнее в голове удержать.

Ну и на телефонах все намного проще, есть функция автоматической подстановки кода из смс при запросе - само залетит и глазом не моргнешь.

Примерно одинаково?

Может я туповат, но 6 требует секунд на 10 больше для запоминания. 4 даже напрягаться не надо

Затрудняюсь ответить. У меня плюс списывается откуда я ему сказал.

10 секунд? O_o

Не милисекунд, именно секунд? хз, за 10 секунд можно и 8 и 10 цифр заучить. 4 или 6 я со взгляда запоминаю (ну фиг знает, может на 4 надо 0.7 секунд, а на 6 — 0.9, это я не засекал, оно всё кажется моментальным).

Не не не. Ты не понял. Я не подключал этот плюс. Я с утра просыпаюсь и вижу, что ночью, пока я спал, с моей карты списали 299 рублей на подписку. Причем данные этой карты я не вводил нигде. Я даже в магазинах когда ей покупки оплачиваю, то прикладываю её не доставая из кошелька и там даже номер не узнать.

Через плечо тебе заглянули в телефон

... в пятидесяти километрах от ближайшего города, на краю степи. Ситуации разные бывают.

Я понял. Просто не сталкивался. И есть подозрение, это не связано с количеством цифр в смс.

есть примеры перехвата, перебора или иного обхода этих циферок, сколько бы их не было?

Тут нужны любители и спецы sdr. Насколько просто перехватить и расшифровать сотовый сигнал? Я слишал такое, что можно целенаправлено атаковать жертву. Для этого нужно заглушить все частоты, оставив только 2g сигнал. Тогда аппарат жертвы подключается к 2g, а он, вроке как, совсем слабенький в плане защиты. Так что в теории, тут и перебор не нужен.

И жалоба ТС как раз тому подтверждение - 6 циферок то сложнее в голове удержать.

Не держу в голове. KDE Connect шлёт уведомление с телефона в десктоп, выделил, вставил колесом, доли секунды. Просто не понимаю, что считается критериями безопасности.

Да не надо их подбирать. Достаточно перехватить SMS.

Десять, двадцать, сорок тыщ? Данунах скажет любой, кто бы смог.

Десять бабушек – рубль.

карты выдаются без конверта

Я бы не имел дел с таким банком.

Через плечо тебе заглянули в телефон в момент прихода смс. Как ты думаешь, проще одним взглядом запомнить 4 цифры или 6? Кажется, что повышение до 8 цифр вообще ликвидирует такую возможность.

Если заглядывающий вооружён смартфоном, то камере и 10 цифр несложно запомнить.

Вспомнил скринсейверы, всплакнул о юности)))

смс от мчс

Вообще не про безопасность ни разу. Их по суду нахрючили несколько раз, крайними сделав, вот они теперь нашли дядю на СМСовой фабрике. У него этих сообщений — завались, вот и шлёт, чтобы в суде можно было отмазаться «мы предупредили и об урагане, и о жаре».
Мне, например, постоянно подряд приходят летом сначала «про жару и запрет шашлыки жарить даже у себя на огороде» и через несколько секунд «ожидается ливень, порывы ветра и т. п.»

Достаточно перехватить SMS.

И там хоть 4, хоть 64, верно?

Тоже не про безопасность. А про сохранение экрана от выгорания. Потому на них картинка постоянно и менялась.

Частенько в один день с частотою в час)
Но я про другое. Про мальчика, который кричал «волк». Притупляется отношение к безопасности при пустом обращении к ней на каждый чих.

Очень приятно встретить человека, знакомого со словом «люминофор». Но таки были применения и «чтоб через плечо не заглянули».

Все же получают от банков смс с цыферками для подтверждения операций?

Я не получаю. Нет операций - не надо ничего подтверждать.

почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?

Зависит от предпочтений ИТ-сотрудников банка, думаю.

насколько это повышает безопасность?

Если у тебя украдут карту то не смогут быстро всё с неё обналичить - ты увидишь смс, позвонишь в банк и заблокируешь её. А если ты включил эти смс для сумм от 1 копейки то и медленно наверно не смогут. Речь про обычных воров (либо просто рандома, нашедшего на земле уроненную тобой карту), а не про кого-то кто применяет спецсредства для обкрадывания конкретно тебя.

есть примеры перехвата, перебора или иного обхода этих циферок, сколько бы их не было?

Перехват возможен (если стоит такая задача именно про тебя), подбор скорее всего нет (карту заблокируют и позовут тебя с паспортом в отделение банка), другой обход - зависит от банка и от того, кто хочет выполнить операцию. Если это федеральные органы, например, то они безо всяких смс и прочего просто отправят банку указание сделать всё что надо. Если криминал - может попытаться подкупить какого-то сотрудника банка чтоб тот изобразил твоё законное согласие.

но если никто прицельно не залез в мою аппаратуру,

А да, я забыл уточнить про перехват: его могут делать как на стороне твоей аппаратуры, так и на стороне мобильного оператора разными способами.

Потому что оно не про безопасность. Вернее не про твою. Как МЧС надо не тебя предупредить о пушном зверьке, а себя от тебя защитить;
так и банку надо не твои последние 299 руб на шаурму отложенные защитить, чтобы кто-то другой их на тындекс.музыку не потратил, а себя, когда ты придёшь с вопросом «где мои 299 тысяч?» — «код отправили? ты ввёл? Разбирайся с тем кто телефон у тебя украл.»

Поэтому 4 цифры, 6 цифр — хоть 106. Длина взята с потолка юристом банка, который сказал: «будет меньше X — надзорные за „легко подобрать“ нагнут».

Но таки были применения и «чтоб через плечо не заглянули».

О да.. а ещё и просто сами пялились некоторые, медитировали над тем как трубопровод рисуется.

Не знаю что у тебя за банк и в каких банках что есть, но для твоего случая, если уж ты так хочешь пользоваться их услугами, можно предложить следующие два варианта:

1) вообще отключить смс - разрешить любые операции при условии ввода правильных данных карты

2) если боишься что карту обкрадут - сделай вторую пустую, переводи на неё деньги непосредственно перед операцией в нужном количестве и сразу оплачивай (опять же без смс).

Не, сделать 6 цифр вместо 4 это в целом и правда лучше, но автор разницы не заметит. А вот банк, если у него много клиентов, вполне может.

Если у тебя украдут карту то не смогут быстро всё с неё обналичить - ты увидишь смс, позвонишь в банк и заблокируешь её

Так оно и было, независимо от смс, покупали в пределах не подтверждаемого пин лимита, минуты.

просто рандома, нашедшего на земле уроненную тобой карту

Та же тыща.

Я может неочевидную со стороны нищеброда вещь скажу, но за двенадцать лет пару хищений по тыще мне стоили дешевле, чем вводить по шесть цифр. Которые от чего-то конструктивного отлекают. Есть лимит. Можешь купить себе пузырь, дальше всё.

Что ты несёшь? Пусть заглядывают сколько хотят, эти коды одноразовые. Или ты про то, что злоумышленник специально подойдёт поближе к тебе, сделает операцию, подозждёт пока ты прочтёшь смс, подсмотрит и подтвердит? Это тоже какой-то бред, зачем ему так палиться когда можно добыть деньги более безопасными способами?

Видишь-ли, какая штука. Чтобы подтвердить операцию, приходит СМС с кодом. Как подобную фигню обойти, мошенники давно придумали. Но вот код приходит именно на аккаунт абонента. А что он потом с ним делает - это уже их не касается. Типо.

Смс легко перехватывается, только нужно быть физически рядом.

Нафиг никому не сдалось расшифровывать радиоканал, перехватывают там где данные уже в открытом виде - на одном из концов.

Не забываем о суммах транзакций. Не сомневаюсь, что клиенты моих четырёх банков совершают и миллионные переводы, там можно и заморочиться. Но заморачиваться на каждого пенсионера имхо избыточные расходы. Эффект неуловимого джо никто не отменял. В кино вон тоже до фига как ломают крупнейшие банки или самые охраняемые хранилища прочего полезного. Но сколько это стоит?