|
|
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Dima TСупер-пупер защищенный вход не панацея. Панацей вообще не существует. Эм.... "энтузиастам" никогда не приходит в голову, что у злоумышленника огромное преимущество: он может выбрать, куда ударить, и выбирает самое слабое место в длинной цепочке, после чего все нагромождения "защит" начинают работать на него, а не против. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 10:54 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Работал троян очень интересно: пропатчил Java (на которой написан и-банк), сгенерил и подписал платежки когда с ИБ работали (банк дал эти платежки, я лично проверял ЭЦП, подпись верна) Я-бы предложил разделить инфо-безопасность в целом и некоторые ее разделы (криптография) касающиеся логинов-паролей-сертификатов, https/ssl e.t.c. Информационная безопасность гораздо шире чем просто криптография к примеру. Криптография в чистом виде (по Брюсу Шнайеру) оперирует субъектами A, B, C, которые используют крипто-средства. И не защищенный канал на котором может быть все что угодно. Изменение любого сообщения (сетевой пакет), удаление сообщения и переадресация. При этом предполагается что A,B,C (Алиса, Боб и Кларк) используют клиентское ПО полностью чистое от троянов и шпионов. Если мы затронем такую тему как трояны - то мы уедем очень далеко.... Если к примеру ПО от Microsoft (Remote desktop ) или сломанный TeamViewer просто следит удаленно за моим скрином и клипбордом то грош цена вообще всем-всем моим ухищрениям с паролями и экранным клавиатурам. Меня (теоретически) уже поимели. Вобщем давайте тему троянов - отдельным топиком - как необходимое и достаточное условие про начало диалога о построении чего-то безопасного в принципе. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 10:56 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Dima TСупер-пупер защищенный вход не панацея. Троян может поработать за юзера после того как он войдет. трояны конечно могут полностью дискредитировать любую безопасность, однако чем сложнее нужен троян - тем в меньшем числе они будут вредить и тем меньшее количество проблем нужно будет разруливать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 12:42 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
softwarerПанацей вообще не существует. Эм.... "энтузиастам" никогда не приходит в голову, что у злоумышленника огромное преимущество: он может выбрать, куда ударить, и выбирает самое слабое место в длинной цепочке, после чего все нагромождения "защит" начинают работать на него, а не против. хорошая логика конечно - зачем защищать если все равно сломают. Одно дело 10 поломанных аккаунтов, другое дело - 10 тысяч. Сломают в самом уязвимом месте - залатаем это место и в следующий раз злоумышленнику опять надо будет искать второе по очереди слабое место. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 12:45 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Кстати господин Касперский (который Евгений) не верит в антивирусы и считает что будущее - за тотальной цифровой сертификацией и подписыванием всех публикуемых бинарей. Я с ним не до конца согласен т.к. не представляю модель распространения или навязывания ПО. Но в этом что-то есть. Хотя надо очень сильно сломать мозг юзеру и перейти от анонимных магазинов ПО к клубам с круговой подпиской (поручительством) на основе коллегиально выбранного сообщества или сообществ экспертов в инфо-безопасности. Антивирусы при этом как класс ПО останутся но перестанут играть ключевую роль. Более важный вопрос не то что скажет сканер а то - кто написал проверяемое ПО и каков уровень доверия к нему от сообщества. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 12:48 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordУ меня ламерский вопрос - каким образом хакеры крадут пароли от сайтов? Скажем на сайте аккаунт блокируется после 3-х неудачных попыток. Что-бы перебрать хэши паролей через таблицы - нужно ведь украсть саму базу данных, иначе методом перебора ничего не получится? А если база данных украдена, так и пароли уже особо не нужны.. То-же самое относится к хэшам, зачем хэшировать да еще и с солью - ведь хакер узнает хэш тольно если украдет саму базу? приходят к админу, и говорят: "Братан, нам нужны пароли!" И ставят ему пиво... ну, тут уж никакой файервол не выдержит... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 17:51 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Про осла, груженного золотом еще писали в древних книгах.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 18:05 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
MasterZivприходят к админу, и говорят: "Братан, нам нужны пароли!" И ставят ему пиво... ну, тут уж никакой файервол не выдержит... в базе хэши, да еще соленые, с этим уже разобрались, даже сдав базу все аккаунты не будут сломаны. И кстати в sql server 2016 вроде как появилась замечательная фича по фильтрации колонок в таблице в зависимости от роли доступа, т.е. например только роль приложения будет иметь доступ к тем колонкам, а админ нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2016, 10:33 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
15 лет понадобилось для MS-SQL чтобы создать аналог Oracle Label Security (since 9i (2001 год примерно)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.06.2016, 12:36 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenford, если у вас финансовое приложение и вам нужна защита от взлома, лучше заплатите кому-нибудь за консультации, если сами не разбираетесь. По этой теме нужно много знать, а сделать что-нибудь неправильно очень просто. Вот вам на подумать: OWASP top 10 https://buildsecurityin.us-cert.gov http://www.grahamlea.com/2015/07/microservices-security-questions/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.06.2016, 11:41 |
|
||
|
|
start [/forum/topic.php?fid=16&gotonew=1&tid=1340697]: |
0ms |
get settings: |
11ms |
get forum list: |
21ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
172ms |
get topic data: |
10ms |
get first new msg: |
6ms |
get forum data: |
2ms |
get page messages: |
48ms |
get tp. blocked users: |
1ms |
| others: | 244ms |
| total: | 523ms |
| 0 / 0 |
