LINUX.ORG.RU
ФорумTalks

Тоже безопасность

 


0

1

Все же получают от банков смс с цыферками для подтверждения операций?
Вопрос:
почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?
Вопрос-2:
насколько это повышает безопасность?
Вопрос-3:
есть примеры перехвата, перебора или иного обхода этих циферок, сколько бы их не было?

★★★
Ответ на: комментарий от guyvernk

Я в этом смысле наивный деревенский парень, но если никто прицельно не залез в мою аппаратуру, не установил перехват и отправку кому-то смс, не перебирает коды со скоростью десять тыщ вариантов в секунду (и чтоб не заблокировали за перебор, ага), то от кого меня охраняет безопасность в шесть цифр на пару сотен?

massimus ★★★
() автор топика

смс зло и как второй фактор ок только если ты неуловимый джо у которого на счету до тыщи в погожий день. потыкайся в лк банка, может быть там можно заменить смс на аппаратный токен.

slowpony ★★★★★
()

Собственно, ты в СМС получаешь не пароль от банковской ячейки. А лишь хеш. А хеш, обратно трансформировать в пароль - невозможно.

cadaber ★★
()
Ответ на: комментарий от cadaber

Вопрос в другом: почему для идентичной безопасности идентичных операций одним надо четыре цыферки, а другим шесть? И есть ли примеры взлома любого из вариантов?

massimus ★★★
() автор топика
Ответ на: комментарий от slowpony

Тыкался, нету. Тем более что для меня смс вообще боль. Проводная оптика у нас в деревне есть, а вот за смс часто приходится в степь бегать)))

massimus ★★★
() автор топика
Ответ на: комментарий от massimus

Я тебе однозначно утверждаю, что не 4 циферки, ни 6 - нифига не помогут. Я тут не так давно, увлекался вскрытием пароля на ZIP- архиве. И - прямо тебе скажу, простым перебором, это заняло примерно 6 часов. Но, получилось. Если пароль цифро-буквовой, то это займёт на порядок больше времени. Гораздо. Даже при наших вычислительных мощах - несколько лет.

cadaber ★★
()
Ответ на: комментарий от cadaber

Вот. И я про что. Кто сидит в безопаске в банках, которые хотят 6 цифр? Даже четыре избыточно, если там от неверного ввода блок например с третьей попытки? Какова вероятность? Поставить мне резидента в телефон и компьютер — честно скажем, утомишься. Чтобы украсть что? Десять, двадцать, сорок тыщ? Данунах скажет любой, кто бы смог.

massimus ★★★
() автор топика
Ответ на: комментарий от massimus

И тут мы подходим к философской части нашего треда. Я считаю, что избыточные меры безопасности на каждый чих — организационно антиэффективное решение. Как смс от мчс: сегодня мы сгорим, завтра утонем, и подобное три раза в день. А когда будет землетрясение? Все проигнорируют. То же самое с банковской безопасностью. На мелочь (например настраиваемую в лк, до тыщи например) не надо ничего. На крупную 2фа. На особо крупную надо лично позвонить в банк и предъявить что это ты.

massimus ★★★
() автор топика

почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?

От балды.

Ну или может как-то так: начальник говорит сделать как у банка X, но круче и безопаснее. Разработчик чешет репу, делает то же самое, но 6 цифр, показывает, говорит, что в полтора раза безопаснее, смотри. Начальник доволен, при этом всё работает, и подавляющему большинству клиентов вообще пофиг, сколько цифр набирать.

CrX ★★★★★
()
Ответ на: комментарий от CrX

Меня всё ещё интересуют истории успеха: кто-то хоть четыре этих цифры подбирал безошибочно за секунду (не имея резидента на устройствах пользователя)?

massimus ★★★
() автор топика

Все же получают от банков смс с цыферками для подтверждения операций?

Не все. У меня однажды в с карты списали бабки. Кто-то подключил себе яндекс плюс за мой счёт. Причём данные этой карты я нигде не вводил. Код подтверждения не приходил(!). Единственное, как могли утечь данные имхо, это нечистый на руку содрудник банка, т.к. карты выдаются без конверта и сотрудник банка мог списать себе данные карты перед выдачей(в том числе код на обратной стороне). С яндексом договориться не удалось по очевидным причинам. Банк рассмотрел заявление о мошеничнестве и деньги вернул. А в полиции посмотрели на меня как на идиота. Такие дела. Так что храните деньги в стекляных банках, а весь этот пластик - решето.

u5er ★★
()
Последнее исправление: u5er (всего исправлений: 1)
Ответ на: комментарий от massimus

Истории случайного подбора мне не известны. Обычно используют самую большую дырень в любой системе безопасности — юзера. Ну например, звонят, представляются из банка и говорят, что что-то важное произошло, и надо прямо сейчас в офис, чтоб что-то важное сделать, или можем сделать удалённо — сейчас вам придёт СМС, из него надо назвать 4 цифры. Или в таком духе, с накручиванием разного рода подробностей и шагов.

CrX ★★★★★
()
Ответ на: комментарий от t184256

Я и не предлагал снизить уровень безопасности всем. Просто не понимаю, зачем сто рублей защищать как сто миллионов.

massimus ★★★
() автор топика
Ответ на: комментарий от CrX

Это простое объяснение, но можно немножко по другому.

Через плечо тебе заглянули в телефон в момент прихода смс. Как ты думаешь, проще одним взглядом запомнить 4 цифры или 6? Кажется, что повышение до 8 цифр вообще ликвидирует такую возможность.

stave ★★★★★
()
Ответ на: комментарий от CrX

Воистину! И если юзер назовёт четыре цифры, он шесть?.... правильно, тоже назовёт.

massimus ★★★
() автор топика
Ответ на: комментарий от stave

Через плечо тебе заглянули в телефон в момент прихода смс. Как ты думаешь, проще одним взглядом запомнить 4 цифры или 6?

Примерно одинаково?

Кажется, что повышение до 8 цифр вообще ликвидирует такую возможность.

Вот 8 уже сложнее, да.

CrX ★★★★★
()
Ответ на: комментарий от stave

И жалоба ТС как раз тому подтверждение - 6 циферок то сложнее в голове удержать.

Ну и на телефонах все намного проще, есть функция автоматической подстановки кода из смс при запросе - само залетит и глазом не моргнешь.

stave ★★★★★
()
Последнее исправление: stave (всего исправлений: 1)
Ответ на: комментарий от CrX

Примерно одинаково?

Может я туповат, но 6 требует секунд на 10 больше для запоминания. 4 даже напрягаться не надо

stave ★★★★★
()
Ответ на: комментарий от stave

10 секунд? O_o

Не милисекунд, именно секунд? хз, за 10 секунд можно и 8 и 10 цифр заучить. 4 или 6 я со взгляда запоминаю (ну фиг знает, может на 4 надо 0.7 секунд, а на 6 — 0.9, это я не засекал, оно всё кажется моментальным).

CrX ★★★★★
()
Ответ на: комментарий от massimus

Не не не. Ты не понял. Я не подключал этот плюс. Я с утра просыпаюсь и вижу, что ночью, пока я спал, с моей карты списали 299 рублей на подписку. Причем данные этой карты я не вводил нигде. Я даже в магазинах когда ей покупки оплачиваю, то прикладываю её не доставая из кошелька и там даже номер не узнать.

u5er ★★
()
Ответ на: комментарий от stave

Через плечо тебе заглянули в телефон

... в пятидесяти километрах от ближайшего города, на краю степи. Ситуации разные бывают.

massimus ★★★
() автор топика
Ответ на: комментарий от u5er

Я понял. Просто не сталкивался. И есть подозрение, это не связано с количеством цифр в смс.

massimus ★★★
() автор топика

есть примеры перехвата, перебора или иного обхода этих циферок, сколько бы их не было?

Тут нужны любители и спецы sdr. Насколько просто перехватить и расшифровать сотовый сигнал? Я слишал такое, что можно целенаправлено атаковать жертву. Для этого нужно заглушить все частоты, оставив только 2g сигнал. Тогда аппарат жертвы подключается к 2g, а он, вроке как, совсем слабенький в плане защиты. Так что в теории, тут и перебор не нужен.

u5er ★★
()
Ответ на: комментарий от stave

И жалоба ТС как раз тому подтверждение - 6 циферок то сложнее в голове удержать.

Не держу в голове. KDE Connect шлёт уведомление с телефона в десктоп, выделил, вставил колесом, доли секунды. Просто не понимаю, что считается критериями безопасности.

massimus ★★★
() автор топика
Ответ на: комментарий от massimus

Десять, двадцать, сорок тыщ? Данунах скажет любой, кто бы смог.

Десять бабушек – рубль.

skiminok1986 ★★★★★
()
Ответ на: комментарий от u5er

карты выдаются без конверта

Я бы не имел дел с таким банком.

skiminok1986 ★★★★★
()
Ответ на: комментарий от stave

Через плечо тебе заглянули в телефон в момент прихода смс. Как ты думаешь, проще одним взглядом запомнить 4 цифры или 6? Кажется, что повышение до 8 цифр вообще ликвидирует такую возможность.

Если заглядывающий вооружён смартфоном, то камере и 10 цифр несложно запомнить.

skiminok1986 ★★★★★
()
Ответ на: комментарий от massimus

смс от мчс

Вообще не про безопасность ни разу. Их по суду нахрючили несколько раз, крайними сделав, вот они теперь нашли дядю на СМСовой фабрике. У него этих сообщений — завались, вот и шлёт, чтобы в суде можно было отмазаться «мы предупредили и об урагане, и о жаре».
Мне, например, постоянно подряд приходят летом сначала «про жару и запрет шашлыки жарить даже у себя на огороде» и через несколько секунд «ожидается ливень, порывы ветра и т. п.»

mogwai ★★★★★
()
Ответ на: комментарий от skiminok1986

Достаточно перехватить SMS.

И там хоть 4, хоть 64, верно?

massimus ★★★
() автор топика
Ответ на: комментарий от massimus

Тоже не про безопасность. А про сохранение экрана от выгорания. Потому на них картинка постоянно и менялась.

mogwai ★★★★★
()
Ответ на: комментарий от mogwai

Частенько в один день с частотою в час)
Но я про другое. Про мальчика, который кричал «волк». Притупляется отношение к безопасности при пустом обращении к ней на каждый чих.

massimus ★★★
() автор топика
Ответ на: комментарий от mogwai

Очень приятно встретить человека, знакомого со словом «люминофор». Но таки были применения и «чтоб через плечо не заглянули».

massimus ★★★
() автор топика

Все же получают от банков смс с цыферками для подтверждения операций?

Я не получаю. Нет операций - не надо ничего подтверждать.

почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?

Зависит от предпочтений ИТ-сотрудников банка, думаю.

насколько это повышает безопасность?

Если у тебя украдут карту то не смогут быстро всё с неё обналичить - ты увидишь смс, позвонишь в банк и заблокируешь её. А если ты включил эти смс для сумм от 1 копейки то и медленно наверно не смогут. Речь про обычных воров (либо просто рандома, нашедшего на земле уроненную тобой карту), а не про кого-то кто применяет спецсредства для обкрадывания конкретно тебя.

есть примеры перехвата, перебора или иного обхода этих циферок, сколько бы их не было?

Перехват возможен (если стоит такая задача именно про тебя), подбор скорее всего нет (карту заблокируют и позовут тебя с паспортом в отделение банка), другой обход - зависит от банка и от того, кто хочет выполнить операцию. Если это федеральные органы, например, то они безо всяких смс и прочего просто отправят банку указание сделать всё что надо. Если криминал - может попытаться подкупить какого-то сотрудника банка чтоб тот изобразил твоё законное согласие.

firkax ★★★★★
()
Ответ на: комментарий от massimus

но если никто прицельно не залез в мою аппаратуру,

А да, я забыл уточнить про перехват: его могут делать как на стороне твоей аппаратуры, так и на стороне мобильного оператора разными способами.

firkax ★★★★★
()
Ответ на: комментарий от massimus

Потому что оно не про безопасность. Вернее не про твою. Как МЧС надо не тебя предупредить о пушном зверьке, а себя от тебя защитить;
так и банку надо не твои последние 299 руб на шаурму отложенные защитить, чтобы кто-то другой их на тындекс.музыку не потратил, а себя, когда ты придёшь с вопросом «где мои 299 тысяч?» — «код отправили? ты ввёл? Разбирайся с тем кто телефон у тебя украл.»

Поэтому 4 цифры, 6 цифр — хоть 106. Длина взята с потолка юристом банка, который сказал: «будет меньше X — надзорные за „легко подобрать“ нагнут».

Но таки были применения и «чтоб через плечо не заглянули».

О да.. а ещё и просто сами пялились некоторые, медитировали над тем как трубопровод рисуется.

mogwai ★★★★★
()
Последнее исправление: mogwai (всего исправлений: 2)
Ответ на: комментарий от massimus

Не знаю что у тебя за банк и в каких банках что есть, но для твоего случая, если уж ты так хочешь пользоваться их услугами, можно предложить следующие два варианта:

1) вообще отключить смс - разрешить любые операции при условии ввода правильных данных карты

2) если боишься что карту обкрадут - сделай вторую пустую, переводи на неё деньги непосредственно перед операцией в нужном количестве и сразу оплачивай (опять же без смс).

firkax ★★★★★
()
Ответ на: комментарий от CrX

Не, сделать 6 цифр вместо 4 это в целом и правда лучше, но автор разницы не заметит. А вот банк, если у него много клиентов, вполне может.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Если у тебя украдут карту то не смогут быстро всё с неё обналичить - ты увидишь смс, позвонишь в банк и заблокируешь её

Так оно и было, независимо от смс, покупали в пределах не подтверждаемого пин лимита, минуты.

просто рандома, нашедшего на земле уроненную тобой карту

Та же тыща.

Я может неочевидную со стороны нищеброда вещь скажу, но за двенадцать лет пару хищений по тыще мне стоили дешевле, чем вводить по шесть цифр. Которые от чего-то конструктивного отлекают. Есть лимит. Можешь купить себе пузырь, дальше всё.

massimus ★★★
() автор топика
Ответ на: комментарий от stave

Что ты несёшь? Пусть заглядывают сколько хотят, эти коды одноразовые. Или ты про то, что злоумышленник специально подойдёт поближе к тебе, сделает операцию, подозждёт пока ты прочтёшь смс, подсмотрит и подтвердит? Это тоже какой-то бред, зачем ему так палиться когда можно добыть деньги более безопасными способами?

firkax ★★★★★
()
Ответ на: комментарий от massimus

Видишь-ли, какая штука. Чтобы подтвердить операцию, приходит СМС с кодом. Как подобную фигню обойти, мошенники давно придумали. Но вот код приходит именно на аккаунт абонента. А что он потом с ним делает - это уже их не касается. Типо.

cadaber ★★
()

Смс легко перехватывается, только нужно быть физически рядом.

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от u5er

Нафиг никому не сдалось расшифровывать радиоканал, перехватывают там где данные уже в открытом виде - на одном из концов.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Не забываем о суммах транзакций. Не сомневаюсь, что клиенты моих четырёх банков совершают и миллионные переводы, там можно и заморочиться. Но заморачиваться на каждого пенсионера имхо избыточные расходы. Эффект неуловимого джо никто не отменял. В кино вон тоже до фига как ломают крупнейшие банки или самые охраняемые хранилища прочего полезного. Но сколько это стоит?

massimus ★★★
() автор топика
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)