Перейти к содержимому

Тестирование мобильных приложений
онлайн, начало 22 января
Программирование на C# для тестировщиков
онлайн, начало 24 января
SQL для тестировщиков
онлайн, начало 27 января
Автоматизатор мобильных приложений
онлайн, начало 20 января
Фотография

Как взламывают аккаунты


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 10

#1 Case

Case

    Основатель

  • Members
  • PipPipPipPipPipPip
  • 7 071 сообщений
  • ФИО:Панкратов Вячеслав
  • Город:Украина, Киев.

Отправлено 11 Май 2010 - 15:33

Отличное видео, показывающее пошагово, как «хакеры» применяют методы социальной инженерии для взлома аккаунтов. В данном случае взломан аккаунт админа группы security.vkontakte.ru. Всего несколько минут, несколько грамотных вопросов и человек сам отдает свой аккаунт, а заодно и все свои емейлы (а значит и все остальные аккаунты на других сайтах)…

Не пожалейте 4-х минут, чтобы ознакомиться с этим видео:


Стандартный совет, как с этим бороться — уберите «секретный» вопрос на всех своих емейлах. Секретный вопрос — это самая дурацкая анти секьюрная фича. Именно так был взломан и ящик кандидата в вице-президенты США Сары Пэйлин пару лет назад. (more…)

http://feedads.g.dou...W1Ac/0/di</img>
http://feedads.g.dou...W1Ac/1/di</img>

http://feeds.feedburner.com/~r/it4business/~4/hXY-5eDlRVw
  • 0
Слава Панкратов
Редактор портала www.it4business.ru

#2 Rebz

Rebz

    Опытный участник

  • Members
  • PipPipPipPip
  • 471 сообщений


Отправлено 12 Май 2010 - 07:21

В данном случае, это была первоапрельская шутка, поэтому видео подставное.
  • 0

#3 Clauster

Clauster

    Гуру

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 12 Май 2010 - 09:37

Да, это фейк, на Хабре обсуждалось
  • 0

#4 Bars Master

Bars Master

    Постоянный участник

  • Members
  • PipPipPip
  • 178 сообщений
  • ФИО:Фролов Борис
  • Город:Volgograd, Moscow

Отправлено 12 Май 2010 - 12:17

Но, смысл от этого все равно не меняется, все-таки контрольные вопросы это своеобразная дыра в секьюрити.
  • 0

#5 Clauster

Clauster

    Гуру

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 12 Май 2010 - 13:35

Но, смысл от этого все равно не меняется, все-таки контрольные вопросы это своеобразная дыра в секьюрити.

Дыра не контрольные вопросы, а человеческий фактор, об этом ещё Митник говорил.
  • 0

#6 Bars Master

Bars Master

    Постоянный участник

  • Members
  • PipPipPip
  • 178 сообщений
  • ФИО:Фролов Борис
  • Город:Volgograd, Moscow

Отправлено 12 Май 2010 - 14:39

Согласен, но если смотреть относительно среднестатистического пользователя, который регистрируется и ему сознательно предлагают как метод восстановления - контрольные вопросы, не учитывая столь распрастраненный человеческий фактор - это антисекьюрно :)
Еще недостаток само представление этого метода(не везде конечно): "Восстановление пароля", т.е. не предупреждают о том, что данная функция может быть использована злоумышленниками. Человек, устанавливая вопрос, не принимает во внимание возможность взлома.
  • 0

#7 Clauster

Clauster

    Гуру

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 12 Май 2010 - 15:13

Согласен, но если смотреть относительно среднестатистического пользователя, который регистрируется и ему сознательно предлагают как метод восстановления - контрольные вопросы, не учитывая столь распрастраненный человеческий фактор - это антисекьюрно :)
Еще недостаток само представление этого метода(не везде конечно): "Восстановление пароля", т.е. не предупреждают о том, что данная функция может быть использована злоумышленниками. Человек, устанавливая вопрос, не принимает во внимание возможность взлома.

У вас на банковской карточке какое кодовое слово - девичья фамилия матери? :)
  • 0

#8 Bars Master

Bars Master

    Постоянный участник

  • Members
  • PipPipPip
  • 178 сообщений
  • ФИО:Фролов Борис
  • Город:Volgograd, Moscow

Отправлено 12 Май 2010 - 15:24

Непомню кстати :)
Но банковская карточка - это немного не та аналогия, т.к. акромя кодового слова, которое кстати можно предоставлять только лично сотруднику банка, необходимы еще паспорт, который будет идентичен копии паспорта, находящейся в базе банка.
Интернет и телефонный банк, защищены: пароль+смс валидация+привязка к симкарте(не к номеру), в особо больших транзакциях требуется подтвердить свою личность по параметрам, который спросит оператор банка, позвонив хозяину карты. Принудительная смена пароля по истечению периода жизни оного.
Более того, блокировка счета от транзакций происходит в течении 2-3 минут после звонка в банковскую службу и ответов на несложные вопросы, т.е. самое плохое что мне смогут сделать, если узнают личные данные человека - заблокировать счет, но вот сами транзакции защищены надежно.
Вообщем, банковские карты - не та аналогия. :biggrin:
  • 0

#9 Clauster

Clauster

    Гуру

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 12 Май 2010 - 16:21

Непомню кстати :)
Но банковская карточка - это немного не та аналогия, т.к. акромя кодового слова, которое кстати можно предоставлять только лично сотруднику банка, необходимы еще паспорт, который будет идентичен копии паспорта, находящейся в базе банка.
Интернет и телефонный банк, защищены: пароль+смс валидация+привязка к симкарте(не к номеру), в особо больших транзакциях требуется подтвердить свою личность по параметрам, который спросит оператор банка, позвонив хозяину карты. Принудительная смена пароля по истечению периода жизни оного.
Более того, блокировка счета от транзакций происходит в течении 2-3 минут после звонка в банковскую службу и ответов на несложные вопросы, т.е. самое плохое что мне смогут сделать, если узнают личные данные человека - заблокировать счет, но вот сами транзакции защищены надежно.
Вообщем, банковские карты - не та аналогия. :biggrin:

Я не интересовался достаточно глубоко, но, зная кодовое слово, номер карты, ФИО, дату рождения и позвонив в центр поддержки держателей карт моего банка, можно обеспечить хозяину карты очень много геморроя. Можно и в интернете что-нибудь оплатить и счет заморозить. Транзакции конечно можно будет оспорить и вернуть деньги, но для этого придется убить много времени и нервов, а денежки сразу никто назад не вернет. Смысл не обязательно должен быть в том, чтобы что-то украсть.
  • 0

#10 Bars Master

Bars Master

    Постоянный участник

  • Members
  • PipPipPip
  • 178 сообщений
  • ФИО:Фролов Борис
  • Город:Volgograd, Moscow

Отправлено 12 Май 2010 - 16:32

Ну тут мы, как мне кажется, приходим к выводу что все зависит от конкретного банка, думаю это вполне приминимо и к ситуацией, которая обсуждалась вначале.
Все зависит от конкретного "реализатора".
Можно было-бы сильно обезопасить пользователя, указывая ему на возможность взлома на основе кодового слова, т.е. пользователь сознательно будет знать, что слово, которое он использует, не должно быть доступным для других и должно быть простым для конкретно него.


PS: Кстати сильная секьюрность моего банка имеет побочный эфект в слабой юзабельности счета, т.к. для того что-бы положить денег на телефон необходимо затратить некоторое время, проходя все процедуры подтверждения хозяина счета.
  • 0

#11 Clauster

Clauster

    Гуру

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 13 Май 2010 - 09:56

Можно было-бы сильно обезопасить пользователя, указывая ему на возможность взлома на основе кодового слова, т.е. пользователь сознательно будет знать, что слово, которое он использует, не должно быть доступным для других и должно быть простым для конкретно него.

Простого пользователя это не спасет.
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

Яндекс.Метрика
Реклама на портале