Банк ВТБ заставил меня начать параноить

Ну да, специализированный.

Перебирать хакер будет не с моего компьютера, а напрямую из утекшей БД.

А, то есть ты считаешь, что этот код хранится прямо в БД. Ещё и наверняка в открытом виде, ага.

Ты уже сам себе противоречить начал. Зачем перебор если в открытом виде. Окстись.

Если утечёт вторая, её просто дропнут и пользователи будут вынуждены устанавливать себе новый PIN.

Белиссимо. Очень удобно. Только с чего бы они стали это делать? Тем более что формально утекла база не с пинами, а с какими-то сессинными кодами доступа.

Перебирать хакер будет не с моего компьютера, а напрямую из утекшей БД.

А его туда в принципе пустят без подтверждения по СМС? Сам попробуй с удалёнными куками или просто из голого профиля браузера.

Суждения основанные на «выглядят», а не на знаниях.

Твои то знания мы уже увидели. Двухфакторную аутентификацию с использованием недоверенного канала SMS с отсутсвием гарантированной доставки - он безопасной посчитал.

А его туда в принципе пустят без подтверждения по СМС?

Еще раз: SMS читаются и расшифровываются левой хакерской сотой. Считай что SMS вообще никак не защищены, там шифрация убогая. Люди в теме об этом знают.

Да пусть читаются. У тебя есть 10000 вариантов PIN и всего три попытки.

С утекшей базой вход возможен за одну попытку.

С утекшей базой вход возможен за одну попытку.

Блин, ну учись же! Вот тебе мой пароль из «утёкшей» БД:

$6$/XJ2zkdg1aXdZ1gF$cmXXmAu/o0e/AA.G/ZUxm.wX0nZvAuU76I1D0Xwi3..8jv0Gu/lv51b1NIORq.EVCvupmBT1eREQIjAYTdspR1

Попробуй расшифруй.

Я не специалист, и по внешнему виду не могу даже сказать что это за хеш или комбинация хешей. Точно так же я не могу перехватить SMS, потому что я тоже не специалист и не имею оборудования. Ты на что расчитываешь?

Я не специалист

С этого и стоило начинать, наверное.

Да пусть читаются. У тебя есть 10000 вариантов PIN и всего три попытки.

Вероятность 3 сотых процента. Не очень-то надёжно, согласись? В сравнении с хорошим, качественным паролем.

Добавь к этому то, что теперь пользователю нужно помнить и пароль и этот код. И всё это ради чего?

Не понимаю тех, кто говорит, что всё зашибись. Не зашибись.

Это только файл, а у сбера вообще 300 мегабайт, а еще посчитайте после установки будет

Толку в этой технической защищенности, если самое слабое место - человек. Пожилые люди, неопытные дети-подростки, лохи-менеждеры криптобирж, просто потерявшие концентрацию обычные граждане

не могу перехватить SMS

Надо успеть еще расшифровать быстрее чем за 10 минут. Заставить банк слать нужное СМС это проблема. Плюс номер карты/счета еще надо знать

кто говорит, что всё зашибись

Кто-кто… свидетели секты «в-россии-самый-крутой-финтех» :)

Чтобы зайти за одну попытку, злоумышленнику надо украсть базу, перехватить SMS и знать PIN. Так?

Не очень-то надёжно, согласись?

Не соглашусь.

И всё это ради чего?

Ради того, что PIN можно хранить в системной хранилке паролей под биометрией. В линуксе биометрия поголовно не работает, увы, для линуксоидов это недоступно.

Не соглашусь.

Да, подумаешь, всего один попавший из 3333 человек. Мелочи.

Ради того, что PIN можно хранить в системной хранилке паролей под биометрией.

А просто пароли там нельзя хранить? И самый главный вопрос: зачем надо было делать этот пин безальтернативным? В других банках сделали это опциональным - и у меня к ним нет претензий.

Да, подумаешь, всего один попавший из 3333 человек. Мелочи.

Из 3333 человек, у которых мониторят SMS. И которые поставили PIN из 4 цифр. Если конкретный Xintrea использует сложные пароли, он молодец, пусть использует длинные пины и снижает вероятность.

А просто пароли там нельзя хранить?

На сколько я знаю — нет. По крайней мере в андроидной. Думаю, в виндовой сделано также, не проверял.

И самый главный вопрос: зачем надо было делать этот пин безальтернативным?

Тут ничего не могу сказать. Если человек хочет отказаться от услуг ВТБ по этой причине, не буду ему препятствовать.

Точно так же я не могу перехватить SMS, потому что я тоже не специалист и не имею оборудования

Кстати, о перехвате SMS. Никогда не обращал внимания, что при смене SIM-карты банки перестают высылать SMS? На тот же самый номер?

А вот поэтому.

P.S. И это мы не рассматриваем вопрос о том, что 2FA можно передавать через push уведомления.

Ну а ты, как специалист, можешь разобрать формат этого хеша?

Твои то знания мы уже увидели. Двухфакторную аутентификацию с использованием недоверенного канала SMS с отсутсвием гарантированной доставки - он безопасной посчитал.

Причём тут гарантированность доставки? Нет смс нет авторизации.

БСка для джамминга стоит от 4-5к долларов, в ларьке не продаётся и импорт таможня завернет на фебесов.

При этом при её использовании ещё нужно подавить по мощности основную бску что может себе позволить только товарищ майор. И это только один фактор авторизации, нужно ещё спереть куки свежеотвалидированеые, находиться около мобильника с джаммером и угадать код с трёх попыток. При том что с включением джамминга такой мощности у вас будет минут 15 до триангуляции вас мобильной службой Роскомнадзора.

Интересно, я один вижу в вас идиота? Вы же буквально пытаетесь спорить о том о чем вообще дупля не отбиваете, зачем?

man 5 crypt говорит нам о том, что это хэш sha256. Повторенный сколько-то раз и с солью. Сколько именно, мне лень :-)

нужно ещё спереть куки свежеотвалидированеые

Если ты спёр куки, то смс не нужна. Только код.

Там помимо кук, скорее всего, IP тоже проверяется.

А помимо ип - отпечаток железа. По крайней мере в некоторых банках.

Почему-то здесь все, кто возражает топикстартеру, исходят из оптимистических предположений. Какой-то это странный подход для анализа безопасности:)

Пессимистичный подход: IP адрес может быть один на кучу клиентов.

Я не то чтобы возражаю, скорее успокаиваю. Иногда лучше нервы поберечь. Если у тебя там не миллиарды нефти, то вероятность возникновения ситуации с хакером, который соту рядом ставит, СМС перехватывает, и при этом отдельно ещё куки перехватил, стремится к нулю. Скорее банк обанкротится, или гиперинфляция случится, сожрав сбережения, или банально сотрудник банка воспользуется какой-нибудь уязвимостью, известной именно ему, и стырит всё, и т.д., нежели вот таким вот образом хакнут.

Если что, я ВТБ не оправдываю — лучше бы оставили полноценный пароль, хотя бы опционально: больше возможностей — это всегда лучше, да и людям спокойнее. Но я не стал бы сильно параноить по этому поводу. Опять же, если там не миллиарды нефти, конечно.

Проблема в том, что после установки цифрокода настоящий пароль вообще не запрашивается. Т.е. либо цифровой код (если куки и пр. на месте), либо смс + цифровой код.

Мне по крайней мере не удалось пока найти способ «сброса» ранее заданного кода. И это выглядит очень плохо, потому что настоящий пароль я могу легко сменить в случае компрометации, в отличие от этого цифрокода. Надеюсь что это bug, а не by design.

внезапно - да, оч крутой. В ЕС и штатах на порядок хуже, кто сталкивался не просто как пользователь - подтвердит.

Но я не стал бы сильно параноить по этому поводу. Опять же, если там не миллиарды нефти, конечно.

Ну, совсем не миллиарды, но своя кровная копеечка:)

Я по результатам этого обсуждения тоже сделал вывод, что мне лично особо беспокоиться не о чем. Но с высказываниями некоторых товарищей, в духе «всё нормально, безопасность не пострадала, ты просто ничего не понимаешь в ИБ», согласиться не могу.

я склоняюсь к тому что это sha512crypt (Unix), причём без соли, хотя тут только автор поста точно сказать может.

sha512, конечно. Смотрю в маны, вижу фигу (

ничего страшного, бывает.

Если у нас есть x допустимых в пароле символов, то разница будет в x²⁵/x⁶ = x¹⁹ раз, что уже для x=26 (строчные латинские буквы) даёт не перебирающееся за разумное время число комбинаций.

Вероятность 3 сотых процента

То есть не теоретически, а практически ноль. Вероятность что тебя в подворотне заловят гопники, вставят паяльник в зад и узнают твой супер-сложный пароль значительно выше, между прочим.