Банк ВТБ заставил меня начать параноить

Это если пин хранится на сервере и хакер украл базу.

по возможности используйте приложения-аутентификаторы вместо простой аутентификации по СМС, так как приложения гораздо безопаснее, и одноразовый код нельзя подсмотреть без полного доступа к смартфону;

Это относительно безопасно, только если код служит для разблокировки сессионной куки, хранимой на смартфоне. «Относительно» потому, что при доступе к самой сессионной куке, даже если она зашифрована ключём выводимым из pin-кода алгоритмом затрудняющим подбор, например argon2, можно считать сессию скомпрометированной так как само пространство pin-кодов, если речь идёт о 4-6 цифрах, слишком мало. При некотором везении, такой pin-код можно просто угадать.

Если же pin-код служит не для доступа к сессионной куке, то ситуация становится небезопасной. Так как доступ к управлению счётом можно получить по pin-коду, который, как было показано в этой теме ранее не является средством доступа к данным, хранимым на стороне клиента, это означает, что данные о pin-коде хранятся на стороне банка. Для унификации предположим, что это всегда хеш. Ситуацию, когда хранится непосредственно значение pin, можно рассматривать как использование сверхслабой функции хеширования. Можно заметить, что окно счёта открывается менее чем за секунду, после ввода pin-кода, что означает, даже без учёта задержек соединения, использование алгоритма не требующего слишком много ресурсов для выведения хеша. Это, в свою очередь, приводит к мысли, что при утечке хеша из базы данных и известном способе выведения, найти pin-код перебором будет не слишком затруднительным.

Нет. Именно скрипт-кидди брутфорс онлайн, без кражи базы.

Да. У них наиборот. Сначала СМС, потом пароль или пин.

Кстати, upd к предыдущему комментарию моему: про кнопку «выход» слова назад беру. Зашел в ВТБ ради интереса, пин ставишь - и оно просит именно пин.

Тушками бобров. Относить лично твоему налоговому инспектору.

Смс перехватываются на ура. Например, аккаунты телеги угоняют в промышленных масштабах.

У тебя кто-то кнопку «выйти» в их личном кабинете отобрал?

Протестировано. Кнопка «выйти» не сбрасывает pin-код.

Для тех, кто не в теме - хакеры подбирают не пароль к аккаунту, а аккаунт к паролю, причём из ботнета с разными айпи, для сервака это всё выглядит как одна попытка подбора.

Т.о. если у ВТБ более 10к юзеров, в случае 4циферного пароля вероятность угадать равна ~100%.

Там 2FA, какой ещё брутфорс. Тебе на каждый запрос надо писать код из SMS.

Оке, понятно, банковские системы мира опять опасносте.

Банк ВТБ заставил меня начать параноить (комментарий)

Ты придаёшь излишне большое значение эмоциям. Иногда это даёт отрицательные эффекты.

Это не означает что эмоции это плохо и они не нужны. Всё нужно на своём месте. Эмоции это не зло и их не нужно подавлять. Их нужно использовать. Это топливо на котором ты едешь. Если есть лишнее то можно выплеснуть из бака и поджечь чтобы пыхнуло. Но лучше направить чтобы это служило по делу.

Последнее нами иногда воспринимается как нечто противоестественное. Как это: эмоции – служить, ведь это я и есть, эмоции это я и соответственно я подчиняюсь эмоциям как своей сущности.

Это ошибка. Такая же, как «я мыслю следовательно существую». И мысль и эмоция и всё остальное это часть тебя и должно служить тебе.

Банковские системы мира не используют 4циферный пароль для аккаунта, лол. Это только в ВТБ такие тупари. Впрочем, что взять с людей, которые для 2FA ко внутренним ресурсам используют телегу (см. комм. выше).

С другой стороны, понять их можно: конкретно в РФ банковская система и безопасность в ней - днище, такого количества угона денег со счетов пользователей, в процентном отношении к количеству счетов нет больше нигде. Вот эти вот мемасики про очередную бабку, у которой спёрли миллионы - это чисто российская и околороссийская фишка.

В общем, втб-шники просто смирились.

Да, могу даже два показать:

[Попробуем проверить, какие хеши получаются в диапазоне наших 4-х значных паролей из цифр] (Банк ВТБ заставил меня начать параноить (комментарий)) - тут вы говорите о 4х значных пинкодах в базе как о 4х значных паролях.

«Пароли», дебилушка. Тут написано «пароли». 4-х значные пароли из цифр. Они же коды доступа.

Я говорю о базе пинкодов - а вот тут прям чтобы ни у кого сомнений не осталось.

Да, я говорю о базе пинкодов, которая по факту является базой кодов доступа. Пятый раз уже обсуждаем, до тебя все не доходит. Я очень внимательно отношусь к своим словам, поэтому заранее написал: «в контексте обсуждения». Чтобы ты не мог вырывать из контекста, обрати на это свое рассеяное внимание.

И кроме того, тебе следует найти цитату _перед_ нашим веселым спором. Ведь ты утверждаешь, что я не разобрался и начал проверять хеш из базы PIN-кодов. А тут оказывается, что ты и Dimez жопой форум читаете.

Тут чуть выше очевидец рассказывал, как у него французский банк поставил PIN. Технология одна и та же.

он тебе не с цифрами хеш кинул. нужно брать словарь 10.000 самых распространенных паролей, а потом через hashcat его ломать

Хорошо, пускай пароль не с цифрами. Это будет первый вариант, означающий что Dimez добится в глаза и не догоняет о чем идет речь. Неприятно, но что поделаешь.

Второй вариант - это то, что Dimez намеренно исказил пару символов в хеше, а значит решил обмануть меня и всех кто читает тему, подсунув нерасшифровываемый пароль. Это недостойное поведение. Узнать, что Dimez врет очень просто: если он попортил хеш, значит он сам теперь не имеет исходного пароля для этого хеша. Поэтому и не может его сказать.

Как видишь, оба варианта для Dimez плохи, но жизнь так устроена, что иногда нужно выбирать из худшего. Тем более что Dimez сам себя загнал в эту ситуацию своими сообщениями о том, что автор темы не разбирается в основах, видимо, в отличии от него, любимого.

PS: Так что давай, Dimez, выкладывай пароль. Мы его ждем, нам очень интересно узнать что там было. Мы его сравним с твоим же хешем, и поймем, врал ты или просто немного туповат.

деньги и угонять не надо. бабки их сами отдадут, что там бабки… я читал как программизд две квартиры продал чтобы мошенникам деньги перевести. не нужно что либо брутить

1234 и 1111 чуть более чем много кто поставит, те не нужен перебор, достаточно всякие 5555 проверять, если их там сами юзвери ставят. пароль должен быть простым, но не числовым, а защищает двухфакторка

цифры по-порядку и повторяющиеся нельзя

Чтобы зайти за одну попытку, злоумышленнику надо украсть базу, перехватить SMS и знать PIN.

По поводу перехвата SMS, я думаю, что тут дело не столько в ложных БС и т.п.

Самой очевидный способ - это доступ к телефону, лежащему при присмотра на работе или дома. Второй - всякие трояны под android типа spynote. ( вот в этой заметке упоминается https://www.rbc.ru/rbcfreenews/67b5a3629a794730f7e98eb4 )

конкретно в РФ банковская система и безопасность в ней - днище, такого количества угона денег со счетов пользователей, в процентном отношении к количеству счетов нет больше нигде.

Да что ж такое, ещё один Шариков нарисовался. Первое не следует из второго. Есть много других факторов, влияющих на второе.

Клоунам не подаю.

А просто пароли там нельзя хранить?

На сколько я знаю — нет. По крайней мере в андроидной. Думаю, в виндовой сделано также, не проверял.

Если речь идет о Credential Manager (в MS Windows), то там можно хранить любые строки.

Ну вот и выяснилась вся твоя сущность. Я бы на твоем месте просто сказал бы как дело было, и закрыл этот вопрос. Но ты предпочитаешь отмалчиваться когда тебя поймали на подлоге, поэтому остается вариант что ты врал.

Пускай это вранье останется на твоей совести. Это к вопросу о том, можно ли доверять тебе и твоим высказываниям на форуме.

Всего хорошего.

Обсуждение шло о том, что пароли из 4-6 символов из условно утекшей базы могут быть вытащены из хешей.

Пароли — могут. Именно поэтому не надо пользоваться паролями, пользуйся 2FA.

Если пользоваться 2FA, то в твоём скрипте не хватает чтения SMS. Подбирать надо комбинацию кода, присланного по SMS, кода PIN и заранее заготовленной куки. Ещё там номер телефона фигурирует, но это уже тривиально.

аккаунты телеги угоняют в промышленных масштабах.

конкретно в РФ банковская система и безопасность в ней - днище

такого количества угона денег со счетов пользователей, в процентном отношении к количеству счетов нет больше нигде

Вот эти вот мемасики про очередную бабку, у которой спёрли миллионы - это чисто российская и околороссийская фишка.

Ну вот, становится понятно, что человек просто зашёл посрать.

Ну ты что. В Нормальных-То Странах такого нет! Там расположены колл-центры, выманивающие деньги россиян.

Я второй день ищу статью, в которой простым языком бы описывалось, как работает 2FA с пин-кодом и привязкой к устройству. Но не нахожу — вся поисковая выдача засрана всякими советами по безопасности банковских приложений и прочими рекомендациями по установке PIN кода на платёжную карту.

Дал бы ссылку, можно было бы обсуждать предметно, что там где хранится, а я только по памяти помню, как это в адроиде сделано, могу и ошибиться где-то.

Xintrea, может, у гопоты спросишь?

«Пароли», дебилушка. Тут написано «пароли». 4-х значные пароли из цифр.

Какие 4х значные пароли? У вас ВТБ не безопасен потому что могут взломать украденную базу 4х значных паролей? ахаха, какой же тупняк.

Да, я говорю о базе пинкодов

Ахаха. Какая база пинкодов если в лучшем случае такой пинкод хранится в memory table (таблица БД в оперативной памяти) записью вида uid клиента, pin, expire_at. Причём запись живёт не больше 5-10 минут.

Заметил забавный факт на ЛОРе, если персонаж пишет что готов признать свою неправоту если что, то это означает что он закусит удила и будет обсираться до конца.

Не пишите мне больше, от вас уже неприятно пахнет.

Ну вот и выяснилась вся твоя сущность.

Перевод стрелок в стиле «говоришь про меня, переводишь на себя», не слышал о нём с начальной школы, но ты и тут справился. Кто тут делал заявления космической глупости и потом мне категорически неоднократно предъявлял то, о чём вообще разговора не было?

Блииин что за драма))

Расскажите плиз в несколько предложений в одном сообщении)

а то лень читать все… :(

Ксинтреа не любит димеза и выманивает у него пароль.

Я второй день ищу статью, в которой простым языком бы описывалось, как работает 2FA с пин-кодом и привязкой к устройству.

Нет у ВТБ привязки к устройству, нет. Пин-код действует независимо от наличия сессии. Как только клиент задал пин-код, он начинает использоваться вместо пароля. Всегда. Даже на новых устройствах.

в лучшем случае такой пинкод хранится в memory table (таблица БД в оперативной памяти) записью вида uid клиента, pin, expire_at. Причём запись живёт не больше 5-10 минут.

Ты описываешь какой-то гипотетический случай, который нарисовался у тебя в голове. В случае конкретно ВТБ этот пин-код - постоянный. Я его придумал уже недели три назад, и он до сих пор действует. Независимо от наличии сессии. Даже на новых устройствах. Без запроса пароля.

Всегда. Даже на новых устройствах.

Это прям жестоко совсем. Ты уверен? Т.е., грубо говоря, ты даёшь условному Василию свой номер телефона (или что там в ВТБ в качестве логина) и пин и он заходит со своего устройства без дополнительных телодвижений?

Если честно, я тоже понял твоё сообщение, где ты выложил хеш пароля, что речь идёт о хеше одного из 10000 пин-кодов.

Вот цепочка сообщений:

Aceler: У тебя есть 10000 вариантов PIN и всего три попытки.

Xintrea: С утекшей базой вход возможен за одну попытку.

Dimez: Блин, ну учись же! Вот тебе мой пароль из «утёкшей» БД:

Да. Я несколько раз проверял. И выше ещё пара человек отписались про это. И в обсуждениях по ссылкам выше и на пикабу.

Поправка: На новых устройствах нужен будет код из смс.

Я пытаюсь хоть как-то представить ситуацию из больной фантазии пациента где пинкоды хранятся хешами как есть, без соли и не являющимися солями для хеширования фингерпринта устройства. Эта тема исчерпала себя две страницы назад.

Как только клиент задал пин-код, он начинает использоваться вместо пароля. Всегда. Даже на новых устройствах.

Ну и зачем вы врете?

Да тут вся суть в том чтобы читать все чтобы понять кривляние червяка на крючке.

Если честно, я тоже понял твоё сообщение, где ты выложил хеш пароля, что речь идёт о хеше одного из 10000 пин-кодов.

Нет, конечно, пароль это не пинкод. Но тут другое, ты подумал, что не так понял и нормальным языком спросил/уточнил, это поведение нормального человека.

Поправка: На новых устройствах нужен будет код из смс.

А, ну вот.

P.S. Даже интересно стало, заведу ВТБ что ли, чтобы проверить, если дойдут руки.

Я просто всё это уже раз десять рассказал в этой теме. Сменили второй фактор в 2FA с пароля на пин-код. Общая защищённость понизилась.

Я не вру. Я лично проверил. И не я один. Вот тут идёт обсуждение, например. Да и в этой теме уже несколько человек отписалось: раз, два, три. Неужели не видел всех этих сообщений?

Ну вот. Если злоумышленник знает пин-код и может перехватить SMS, то ой. И то, первые 24 часа устройство будет в режиме «недоверенное» и с него только посмотреть. По крайней мере у альфы так. А на все другие устройства прилетает уведомление «кто-то вошёл в ваш профиль, если это не вы, СРОЧНО…». Ну и по умолчанию там уведомления ходят пушами, и только потом SMS.

А если злоумышленник не знает пин-код, то у него три попытки. Всего три попытки, новые попытки будут разрешены через 24 часа. Даже если злоумышленник сольёт базу, ему это не поможет.

Раньше был в базе хеш пароля и использовался второй фактор. Теперь в базе отпечаток, связываемый со вторым фактором и пином. Защищённость как раз от слива базы выросла.

И то, первые 24 часа устройство будет в режиме «недоверенное» и с него только посмотреть. По крайней мере у альфы так.

У ВТБ не так. Никакого «недоверенного» режима, и уведомлений тоже не приходит. Я выше вон обезьяне ссылок накидал.

Ну и по умолчанию там уведомления ходят пушами, и только потом SMS.

Речь в топике про вход в интернет-банк с ПК, из браузера.

Это уже плохо.