LINUX.ORG.RU

История изменений

Исправление QsUPt7S, (текущая версия) :

по возможности используйте приложения-аутентификаторы вместо простой аутентификации по СМС, так как приложения гораздо безопаснее, и одноразовый код нельзя подсмотреть без полного доступа к смартфону;

Это относительно безопасно, только если код служит для разблокировки сессионной куки, хранимой на смартфоне. «Относительно» потому, что при доступе к самой сессионной куке, даже если она зашифрована ключём выводимым из pin-кода алгоритмом затрудняющим подбор, например argon2, можно считать сессию скомпрометированной так как само пространство pin-кодов, если речь идёт о 4-6 цифрах, слишком мало. При некотором везении, такой pin-код можно просто угадать.

Если же pin-код служит не для доступа к сессионной куке, то ситуация становится небезопасной. Так как доступ к управлению счётом можно получить по pin-коду, который, как было показано в этой теме ранее не является средством доступа к данным, хранимым на стороне клиента, это означает, что данные о pin-коде хранятся на стороне банка. Для унификации предположим, что это всегда хеш. Ситуацию, когда хранится непосредственно значение pin, можно рассматривать как использование сверхслабой функции хеширования. Можно заметить, что окно счёта открывается менее чем за секунду, после ввода pin-кода, что означает, даже без учёта задержек соединения, использование алгоритма не требующего слишком много ресурсов для выведения хеша. Это, в свою очередь, приводит к мысли, что при утечке хеша из базы данных и известном способе выведения, найти pin-код перебором будет не слишком затруднительным.

Исходная версия QsUPt7S, :

по возможности используйте приложения-аутентификаторы вместо простой аутентификации по СМС, так как приложения гораздо безопаснее, и одноразовый код нельзя подсмотреть без полного доступа к смартфону;

Это относительно безопасно, только если код служит для разблокировки сессионной куки, хранимой на смартфоне. «Относительно» потому, что при доступе к самой сессионной куке, даже если она зашифрована ключём выводимым из pin-кода алгоритмом затрудняющим подбор, например argon2, можно считать сессию скомпрометированной так как само пространство pin-кодов, если речь идёт о 4-6 цифрах слишком мало. При некотором везении, такой pin-код можно просто угадать.

Если же pin-код служит не для доступа к сессионной куке, то ситуация становится небезопасной. Так как доступ к управлению счётом можно получить по pin-коду, который, как было показано в этой теме ранее не является средством доступа к данным, хранимым на стороне клиента, это означает, что данные о pin-коде хранятся на стороне банка. Для унификации предположим, что это всегда хеш. Ситуацию, когда хранится непосредственно значение pin, можно рассматривать как использование сверхслабой функции хеширования. Можно заметить, что окно счёта открывается менее чем за секунду, после ввода pin-кода, что означает, даже без учёта задержек соединения, использование алгоритма не требующего слишком много ресурсов для выведения хеша. Это, в свою очередь, приводит к мысли, что при утечке хеша из базы данных и известном способе выведения, найти pin-код перебором будет не слишком затруднительным.