it-swarm-tr.com

Bazı siteler (örneğin çevrimiçi bankalar) şifreyle yalnızca belirli karakterleri düz metin olarak saklamadan nasıl ister?

Düşündüm Bir sistem minimum sayıda değiştirilmiş karakteri nasıl zorlayabilir ... soruma cevap verecekti, ama bu farklı bir durum gibi görünüyor.

Çevrimiçi bankacılık hesabımda oturum açtığımda, dört basamaklı bir PIN kodundan üç rastgele basamak ve uzun (rastgele) şifremden üç rastgele karakter girmem isteniyor.

Tüm bunları anladığımdan, banka bu girişten şifre karmamı oluşturamıyor çünkü tüm şifremi bilmiyorlar. Yani şifremi açık metin olarak saklıyor ve karakterleri karşılaştırıyorlar mı? Uygunluk/güvenlik arasında iyi bir denge var mı?

Bu soruyu bu blog yazısı ile sormak isteniyor: Şifre güvenliğini kim önemsiyor? NatWest don't

66
alexmuller

Bankaların bu gereksinimi nasıl ele aldıklarını tam olarak bilmesem de, @rakhi'nin bahsettiği işleme alternatif bir işlem HSM ve geri dönüşümlü şifreleme kullanmak olacaktır.

Buradaki fikir, tam parolanın simetrik bir şifre (ör. AES) kullanılarak şifrelenmiş veritabanında depolanmasıdır. Daha sonra şifre karakterleri uygulamaya geçirildiğinde, şifrelenmiş parola ile birlikte HSM'ye beslenirler.

HSM daha sonra parolanın şifresini çözebilir ve 3 karakterin beklendiği gibi olduğunu onaylayarak uygulamaya başarılı/başarısız yanıtını verebilir. Yani hiçbir noktada şifre açık tutulmaz (güvenli kabul edilen HSM dışında).

Bu, PIN şifrelemenin ATM ağları (örneğin, simetrik şifreleme ve HSM'ler) tarafından yönetilme yöntemiyle bağlantılıdır.

30
Rory McCune

Parolanız hakkında tam parolanın karması dışında bir şey bilmenin gerekli olduğu bir durumda, parolanın karma olmadığını varsayabilirsiniz. PCI-DSS'den bahsedilmesine rağmen, şifre bilgilerini şifreleyen veya özetleyen bankalar için geçerli olduğunun farkında olmadığım bir düzenleme yoktur. PCI-DSS, PIN veya bazı varyasyonları ile giriş yapmak dahil) banka hesap bilgilerinizi kapsamaz.

İyi durumdalarsa, şifre şifreleme kullanılarak saklanır. Çok iyi değillerse, gerçekten düz metin olarak saklanabilir.

Buradaki takası tercih ettiğimi itiraf ediyorum. Tüm şifre veritabanı tehlikeye girerse daha büyük bir saldırı riskine maruz kalabilir, ancak bankalardaki güvenliğin daha yüksek seviyede olması gerektiğine karşı çıkardım. Veritabanının güvenliğinin ihlal edildiğinden şüpheleniliyorsa, karma veya şifrelenmiş olsun her şeyin değiştirilmesi gerekir. Her iki durumda da Bu özel yöntemle, bir saldırganın bir keylogger ile saldırı yapmak için yeterli yararlı bilgi edinmesi çok daha uzun ve daha karmaşıktır.

Teğetsel olarak ilişkili bir şey: http://projecteuler.net/index.php?section=problems&id=79

17
Jeff Ferland

NatWest'in planı şüpheli bir değerden dolayı bana çarpıyor. NatWest'in şemasında, bir kimlik avı saldırısı büyük olasılıkla PIN ve şifrenizin tamamını veya çoğunu çalabilir. Kimlik avı saldırısı nasıl çalışır?).

  1. Kimlik avı sitesi, sahte bir giriş ekranı sunarak, PIN ve şifrenin 3 karakteri) 3 basamak ister.

  2. Kullanıcı yanıtını yazacaktır.

  3. Kimlik avı sitesi artık girişin yanlış olduğunu belirten bir yanıt sunacak ve kullanıcıyı yeniden soracaktır.

  4. Birçok kullanıcı muhtemelen yanlış bir şey girdiklerini varsayar ve tekrar dener.

Kimlik avı zekiyse, kimlik avı sitesinden ikinci Sor, farklı bir rakam ve karakter kümesi ister. Kullanıcı ikinci kez denerse, kimlik avı sitesi, kullanıcı şifresinin PIN ve 6 karakterinin 6 hanesinin tümünü) öğrenebilir. (NatWest, kullanıcıların 6- 8 karakter, bu yüzden 6 karakterin şifresinin tamamı veya neredeyse tamamı olduğu garanti edilir.) Bu noktada oyun biter.

Sonuç olarak, NatWest'in planının size bir şey satın aldığı net değil.

13
D.W.

Bir benzer sor , @captaincomic tarafından yapılan bir yorum bu makaleye bağlanmıştır: Kısmi Parolalar - Nasıl? (Archive.org'dan) Bu işlevselliğe nasıl izin verileceği açıklanmaktadır Shamir gizli paylaşım şemasını kullanarak şifreyi geri kazanılabilir bir formda saklamak veya her karakteri ayrı olarak karmaksızın.

Bu sadece teğetsel olarak ilgili, ancak David Aspinall (Edinburgh Üniversitesi) ve Mike Just (Glasgow Caledonian Üniversitesi) 2013'te kısmi şifreler hakkında bir makale yayınladılar: "Bana 2, 3 ve 6 numaralı Mektupları Verin!": Kısmi Şifre Uygulamaları ve Saldırılar .

Kağıtları, arka uç depolama mekanizmasının alakasız olduğu çevrimiçi saldırılara bakar, ancak sorunuza almanca geçen bir açıklama yapar:

Kısmi protokolü desteklemek için uygulamanın parola için düz metin depolaması veya sorgulanabilecek tüm kombinasyonlarda (uzun parolalar için çok sayıda olabilir) tek yönlü kontroller yapmak için bir mekanizma tasarlaması gerekir. Bu saldırı modunu burada araştırmıyoruz.

6
sampablokuper

Yaptıkları hiçbir şey, her bir karakteri hash etmek ve bunu saklamak ya da şifreyi umarım güvenli bir cihazda açık bir şekilde saklamak değildir. HSM.

Kötü bir yaklaşım değil; banka kullanıcıdan bir dizi karakter girmesini ister (ör. HSBC rastgele konumlardan 3'tür). Bu, bir truva atı, anahtar kaydedici veya kimlik avı sitesi bu 3 karakteri yakaladığında tam parolaya sahip olmadıkları anlamına gelir.

Ayrıca, bankanın, gizli sorulara veya farklı bir şifreye dayanmadan, yine çağrı merkezi personeli tam şifreyi bilmeden, kullanıcıların telefon üzerinden vb. Kimlik doğrulaması için kısmi şifreyi kullanmasına izin verir.

Birkaç sorun, bu yüzden muhtemelen daha yaygın olarak kullanılmamaktadır:

  • Önemli olan, şifreyi açık bir şekilde saklamak istememenizdir (aslında PCI-DSS gibi düzenlemeleri yasaklar). Bu yüzden yaklaşım, şifrenin tek yönlü bir karmasını oluşturmak ve saklamaktır. Kullanıcı parolayı girdiğinde, bu karma hale getirilir ve kullanıcı ile eşleşirse kayıtlı karma ile karşılaştırılır. Kısmi bir parola ile, parolayı en iyi uygulama olmayan tersine çevrilebilir şifrelemeyle veya çok sayıda karmayı depolamanız gerekir; doğum günü artı HSBC için şifrenin her karakteri ayrı bir karma gerektirir. Ayrıca, veritabanındaki alanları tüm karma'ları saklamak için ayırabilmeniz için bir maksimum parola uzunluğu dayatmanız gerekir (şimdi bu sorunu çözecek daha akıllı veritabanı ve uygulama teknolojileri olsa da)

  • Kullanıcıları zayıf şifreler seçmeye teşvik eder, ör. 8 karakterlik karmaşık bir parolam varsa: tpEz% e2S. Bunun 2., 4. ve 5. karakterlerinin zor olduğunu hatırlamaya çalışmak, kullanıcıları basit bir sözlük Word'ü seçmeye teşvik ediyor.

  • Ayrıca, hesap kilitleme tipi özellikleri yoksa 8 karakterden 3 karakterden 3 karakter tahmin etmek veya kaba kuvvet uygulamak katlanarak daha kolaydır.

  • Parolanın tam olarak bilinmediğine dair güven yanlış yerleştirilebilir; Eğer şifre Fulham ise ve F, l, h biliyorsanız, tam şifre ile iyi bir tahmin yapabilirsiniz

  • Sadece 1, 3, 5'i isteyen bir kimlik avı sitesi daha sonra şifrenin yanlış olduğunu söyledi ve 2, 4, 6'yı istemek için değiştirildi, kullanıcı muhtemelen iki kez düşünmeden önce gireceği için tam şifreyi alabilir.

  • Kullanıcı kolaylığı açısından tarayıcıların şifreyi veya Lastpass veya 1Password gibi bir şifre yöneticisini hatırlayamadıkları anlamına gelir

Çoğu banka bir kullanıcı adı ve şifreye güvenmekten kaçınır. HSBC, ticari müşteriler için bir RSA tokeni sunar, Barclays EMV akıllı kart okuyucusuna sahiptir, neredeyse hepsi pasif kimlik doğrulama ve yetkisiz kullanım tespiti için tarayıcı, konum, kullanım profili, hız vb. Temel oluşturmak için RSA uyarlanabilir kimlik doğrulama gibi algılama teknolojisini kullanır.

2
Rakkhi