Je ten PIN bezpecny?

[Pitomec]

A pokud nebude útočník znát ani oněch 9 přihlašovacích číslic, tak se do účtu nedostane ani se znalostí PINu. Možná za milión let ano

[xsouku04]

Asi by stačilo, aby Odorik uvedl, kolik případů zneužití PIN za svoji historii řešil a bude hned jasno, jestli je potřeba něco měnit nebo zachovat status quo

Tohle je dobrá otázka. Evidujeme jediný případ, kdy někdo "uhádl" pin, bylo to u mého osobního účtu. Zvolil jsem velmi nevhodný a pin 1112, který normálním zákazníkům zvolit nedovolíme. A ten zjevně nějaký Ukrajinec spolu s tím, že znal moje mobilní číslo, úspěšně mým číslem tipl a kredit mi provolal na nějaké speciální číslo na Ukrajinu.

Jinak se to zatím nestalo. Všechny způsoby zneužití mají jiný scénář. http://forum.odorik.cz/viewtopic.php?f=7&t=480&start=30 K tomu se občas občas objeví nějaký ten hacknutý asterisk. Osobně pin se čtyřmi číslicemi považuji za dostatečně bezpečný pro osobní využití, ale pro firemní to nemusí stačit. Proto chci přidat možnost přihlašování pinem zrušit a místo toho zavést přihlašováním emailem a heslem, přičemž heslo bude libovolné, tedy i krásně silné.

Pin má výhodu v tom, že je možné jej zadat i v telefonní budce a má vždy stejnou délku. Útok "zkusit všechny varianty" není možný, protože limitujeme množství pokusů za různé časové intervaly. Pokud bychom dovolili libovolné heslo, velká část lidí bude dávat stejné heslo, jako mají na emailu a dalších službách, což není dvakrát bezpečné, a ve skutečnosti by to na bezpečnosti nic nepřidalo.
Také jde o to, aby to celé bylo pro zákazníky snadno zapamatovatelné a uživatelsky přívětivé.

Tedy když to shrnu, tak pro 99 % zákazníků je to dostatečné a těm cca 1 %, pro které je dobrý nápad používat lepší zabezpečení + 5% paranoidních, brzy dostane možnost lepšího zabezpečení.

[xsouku04]

A pokud nebude útočník znát ani oněch 9 přihlašovacích číslic, tak se do účtu nedostane ani se znalostí PINu. Možná za milión let ano

Pokud by Vám chtěl neznámý útočník provolat kredit, tak opravdu nemá šanci, protože nezná ani mobilní číslo. Pokud je to ale Váš rodinný nepřítel, který ví, že používáte odorik a máte jej zaregistrovaný na Vaše mobilní číslo, pak to může zkoušet si několikrát denně tipnout, což ovšem uvidíte ve výpise pokusů o přihlášení.

[luky]

díky!

[helmut.niederman]

Chci se zeptat, je možné změnit ty poslední čtyři číslice PINU, používám už to velmi dlouho a chtěl bych si ty poslední čtyři číslice změnit. Jak mám postupovat pro změnu ?Děkuji.

[ViR]

Chci se zeptat, je možné změnit ty poslední čtyři číslice PINU, používám už to velmi dlouho a chtěl bych si ty poslední čtyři číslice změnit. Jak mám postupovat pro změnu ?Děkuji.

návody a nastavení ---> Nastavení účtu ---> Uživatelské údaje ---> heslo ----> změnit ---zadat staré/nové heslo---> uložit změnu

[noneis]

Řekl bych, že jde spíš o to, že je tu poměrně velký prostor pro zneužití. Útočník se pravděpodobně nepokusí získat přístup k jednomu účtu, ale bude chtít získat co nejvíc účtů v co nejkratším čase tak, aby se mu to finančně (nebo jinak) vyplatilo.

Nejslabším článkem bych řekl, že je PIN bez mobilního čísla, protože pak v něm je číslo první přidělené linky. Otázka tedy je kolik lidí nemá v PINU mobilní číslo a kolik je v průměru linek na účet.

Pak už stačí jenom vyzkoušet všechny linky, třeba pomocí menšího botnetu, který není ani moc drahý
http://www.root.cz/clanky/pronajmu-botn ... dela-ddos/

To dává útočníkovi téměř neomezené množství IP adres a cca 5 pokusů na účet.
A pokud je volba PINů v účtech na odoriku podobná jako u uživatelů kreditních karet a odorik nějak neblokuje ty obvyklé, tak by asi nebyl problém získat několik stovek účtů.
http://www.datagenetics.com/blog/september32012/

a potom na získaných účtech může útočník zkusit nejčastěji volaná čísla + nejčastější PINy

V současné době je využitelnost toho ukradeného kreditu pod 5%, ale jakmile přijdou služby typu Premium SMS nebo třeba plně automatizovaný převod VIP čísel, tak se motivace řádově zvýší.
To, že to zatím nikdo nezneužil, neznamená, že to nezneužije. Lepší je to změnit teď, než potom řešit následky s mnohonásobnými náklady.

Pokud se člověk bude přihlašovat šifrovaně a ten PIN nebude v systému v plaintextu a bude nastavený nějaký nízký počet pokusů špatně zadaného hesla, tak by se snad do účtu ze strany zneužití na serveru nebo po cestě neměl nikdo jednoduše dostat i když má ten PIN/heslo jen 4 čísla. Nejsu odborník, ale snad se nemýlím. SSL připojení se snad ještě nedá prolomit.

No jestliže někdo získá databázi, tak v ním bude nejspíš i číslo první linky a číslo mobilního telefonu, takže i když bude heslo zahashované a správně osolené, tak bude potřeba stejně jen k*10000 pokusů na účet.

[Iwo]

xsouku04:

5% paranoidních brzy dostane možnost lepšího zabezpečení

dekuji, jsem rad, ze dostanu moznost mit lepsi pocit ze zabezpeceneho uctu, snad to bude brzy.

[xsouku04]

Řekl bych, že jde spíš o to, že je tu poměrně velký prostor pro zneužití. Útočník se pravděpodobně nepokusí získat přístup k jednomu účtu, ale bude chtít získat co nejvíc účtů v co nejkratším čase tak, aby se mu to finančně (nebo jinak) vyplatilo.

Nejslabším článkem bych řekl, že je PIN bez mobilního čísla, protože pak v něm je číslo první přidělené linky. Otázka tedy je kolik lidí nemá v PINU mobilní číslo a kolik je v průměru linek na účet.

Pak už stačí jenom vyzkoušet všechny linky, třeba pomocí menšího botnetu, který není ani moc drahý
http://www.root.cz/clanky/pronajmu-botn ... dela-ddos/

To dává útočníkovi téměř neomezené množství IP adres a cca 5 pokusů na účet.
A pokud je volba PINů v účtech na odoriku podobná jako u uživatelů kreditních karet a odorik nějak neblokuje ty obvyklé, tak by asi nebyl problém získat několik stovek účtů.
http://www.datagenetics.com/blog/september32012/

a potom na získaných účtech může útočník zkusit nejčastěji volaná čísla + nejčastější PINy

V současné době je využitelnost toho ukradeného kreditu pod 5%, ale jakmile přijdou služby typu Premium SMS nebo třeba plně automatizovaný převod VIP čísel, tak se motivace řádově zvýší.
To, že to zatím nikdo nezneužil, neznamená, že to nezneužije. Lepší je to změnit teď, než potom řešit následky s mnohonásobnými náklady.

Pokud se člověk bude přihlašovat šifrovaně a ten PIN nebude v systému v plaintextu a bude nastavený nějaký nízký počet pokusů špatně zadaného hesla, tak by se snad do účtu ze strany zneužití na serveru nebo po cestě neměl nikdo jednoduše dostat i když má ten PIN/heslo jen 4 čísla. Nejsu odborník, ale snad se nemýlím. SSL připojení se snad ještě nedá prolomit.

No jestliže někdo získá databázi, tak v ním bude nejspíš i číslo první linky a číslo mobilního telefonu, takže i když bude heslo zahashované a správně osolené, tak bude potřeba stejně jen k*10000 pokusů na účet.

Díky za připomínky. Ano, teoretická možnost, že by někdo uhádl piny u více účtů, zde je. Má jen dvě drobné trhlinky, a to, že naprostá většina lidí si zadá svoje mobilní číslo, a čísel linek k hackování je více jak tři sta tisíc a na většině z nich je nulový kredit nebo vůbec nejsou samostatným účtem.

Hlavní problém vidím v tom, že člověk, který by tohle celé rychle a kvalitně zvládl, má pravděpodobně velmi slušný plat a přivydělat si takto maximálně několik desítek tisíc korun pro něj není vůbec zajímavé. A vykrádat účty drobných zákazníků není ani žádná trofej, kterou by se mohl chlubit. Vyřadit z provozu třeba velkou českou banku zní mnohem zajímavěji.

Myslím, že mnohem lepší strategie je např. vypustit nějaký trojský kůň a sbírat zmáčknuté klávesy tisíců uživatelů nebezpečného operačního systému Windows. Bude tam tisíce čísel kreditních karet, přihlašovací jména a hesla do všelijakých on-line peněženek a jiných "nezabezpečených" služeb jako emaily, které jsou mnohem více rozšířeny a je snadnější peníze převést na hotovost.


V každém případě náš zákazník dostane možnost si zvolit bezpečné heslo a pin úplně vypnout.

[JPT]

Někdo tu myslim psal, že neoprávněné přihlášení nebo špatné pokusy se dají zjistit v přehledu přihlášení, ale pokud to třeba někdo neví a nebo to pořád nekontroluje a přihlašuje se třeba 1x za měsíc, tak by se mohlo přidat zabezpečení, že po nějakém počtu neplatných pokusů by se přístup zablokoval a odeslalo by se oznámení na mejl. A taky bych asi zrušil možnost se přihlásit nešifrovaně (teda pokud to neni kvůli něčemu vyloženě potřeba).