Jump to content

  • הצטרפו למשפחה

    היי, היי אתה (או את) שם!

    אנחנו יודעים, נחמד להיות אנונימי, ולמי בכלל יש כוח להירשם או להיות עכשיו "החדשים האלה".

    אבל בתור חברי פורום רשומים תוכלו להנות ממערכת הודעות פרטיות, לנהל מעקב אחרי כל הנושאים בהם הייתם פעילים, ובכלל, להיות חלק מקהילת הרכב הכי גדולה, הכי מגניבה, וכן - גם הכי שרוטה, באינטרנט הישראלי. 

    אז קדימה, למה אתם מחכים? בואו והצטרפו ותהיו חלק מהמשפחה הקצת דפוקה שלנו.
     

למה הבנק שלי אוהב ססמאות חלשות?

איל לוין

מאת איל לוין
בתוך אוף-טופיק

 שיתוף
dir="rtl" style="text-align:right;"> שימו לב! השרשור הזה בן 3924 ימים, שזה ממש ממש הרבה ולכן הוא ננעל.

אם אתם פותחי השרשור ו/או יש לכם עדכון רלוונטי לנושא - פנו לאחד המנהלים ונפתח את השרשור חזרה לתגובות.

פוסטים מומלצים

איל לוין נהג נמרץ

איל לוין

פורסם
פורסם

שלום חבר'ה,

 

להלן קריטריונים לססמת כניסה לחשבון בבנק שלי.

"6-8 תווים, אותיות ומספרים"

אי אפשר יותר מ8 תווים, ואי אפשר להשתמש בסמלים ( @ # $ % _ - , ושות' )

יוצא מצב שהססמא לפייסבוק חזקה יותר מהססמא לכספים שלי.

 

האם עליי לחשוש לביטחון החשבון שלי? גם כרום לא נראה מעודד מדי. הפקרות!?

 

adsf.jpg

oryo פורמוהוליק

oryo

פורסם
פורסם

אם אתה מכניס סיסמא רנדומלית, נניח לאחר פונקציית האש כלשהי, אזי שיש משהו כמו 36 בחזקת 8 אפשרויות, שזה כמעט 3,000 מיליארד.

ובכל מקרה,אני מניח שתוך מס' נסיונות מסויים משעים את האפשרות להכנס לחשבון.

 

אז וואלה לא יודע עד כמה זה חמור...

 

that being said- לא יודע למה יש הגבלה על מס' תווים כה קטן, כנראה בגלל שהמערכת שלהם ארכאית.

“Never wrestle with a pig - you'll both get dirty, but the pig likes it"

Model 3 P | Atom 3 | Palisade Calligraphy | Sportster Iron 883 | Scout Bobber 1100 | Monster 1200

sperial ראש למגובבים

sperial

פורסם
פורסם

זה לא 36 כי אם 62 בחזקת 8 (הבחנה בין אותיות קטנות וגדולות), שזה למעלה מ-200 טריליון צירופים. יתכן שזה קצת פחות אם אתה מחויב לבחור גם באותיות גדולות וגם בקטנות.

לפני 5 שעות, David32 כתב:

מה שאתה לא מבין זה שאתה מבזבז את הזמן שלך, את תעבורת האינטרנט שלך ואת אורך החיים של סוויצים במקלדת שלך.

 

DrorZi נהג צעיר

DrorZi

פורסם
פורסם

תבחר סיסמה של 8 תוים מהם לפחות אות אחת גדולה (שאיננה בהתחלה) אות אחת קטנה וספרה אחת, הסיכוי לנחש אותה ב 10 נסיונות שואפים לאפס ולזכות בלוטו ובטוטו באותו שבוע כבר יותר סביר.

אחרי 10 נסיונות (או פחות) ממילא יופעל מנגנון חסימה על נסיון שנקרא brute force attack וינעל את החשבון עד שמישהו (אתה או התוקף) יתקשרו לבנק לשיחרור

לדעתי אין מה לדאוג, אם אתה רוצה להתחיל לדאוג אני יכול לתת לך עוד כמה התקפות פשוטות עליך ספציפית או על הבנק כדי שתישן בלילה פחות טוב (למשל csrf זה נסיון גניבה נחמד שרוב הבנקים למדו כבר להתמודד איתו)

יש לנו כישראלים יתרון יחסי, יש מעט מידי משתמשים יחסית והם בשפה בעייתית, לא כדאי להשקיע בהתקפות שכאלה שהולכות על סטטיסטיקה, אם ההנחה שאחד ל 10 מיליון נסיונות CSRF יעבדו עדיף לתקוף בנק של 20 מיליון משתמשים בשפה מוכרת ולקוות לטוב.

אתר הבישולים שלי:

DrorZi.com

discoTD5 כותב. הרבה.

discoTD5

פורסם
פורסם

מה זה csrf?

www.car-pad.co.il - טיפים, חדשות, השקות, מבחנים, ועוד. על מכוניות. רק על מכוניות. 

כתב רכב וצרכנות רכב - אתר ומגזין 'אוטו'

 

לשעבר:

עורך פודקאסט הרכב 'דרייב' . מגיש יחד עם בועז קורפל וקינן כהן.

כתב הרכב של ביזפורטל, אתר הפיננסים. 

DrorZi נהג צעיר

DrorZi

פורסם
פורסם

נגיד ואתה מחובר לאתר הבנק שלך X, כל מה שצריך כדי להעביר כסף מהחשבון שלך לחשבון שלי זו פקודת אינטרנט מאוד פשוטה וידועה מראש, אני מפגיז את האינטרנט בתמונות של "החתונה של בר רפאלי, תמונות בלעדיות", כשאתה לוחץ על אחת מהן בטאב אחר של הדפדפן, חוץ מהתמונה של החתונה שהיא לגיטימית לגמרי לחצת גם בלי לדעת על קישור שמעביר כסף מהחשבון שלך לשלי (וזה פשוט כמו התיאור של זה ורק צריך שהלינק יהיה מכוון לבנק X)

אם לא היית מחובר לבנק שלך באותו רגע, הכל בסדר, זה יגיע לשרתים של הבנק והם יראו שאתה לא מחובר, אם היית מחובר בטאב אחר לבנק, הצלחתי לגנוב לך כסף

כל מה שצריך שתהיה מחובר לבנק X והלינק שלי יהיה בנוי לבנק X

עכשיו, הרבה יותר קל יהיה לכוון ש X יהיה CITI ולא בנק יהב מבחינת יכולת לדוג.

עכשיו תשאלו איך מגינים על זה בטח...

אתר הבישולים שלי:

DrorZi.com

סאמי נהג צעיר

סאמי

פורסם
פורסם
נגיד ואתה מחובר לאתר הבנק שלך X, כל מה שצריך כדי להעביר כסף מהחשבון שלך לחשבון שלי זו פקודת אינטרנט מאוד פשוטה וידועה מראש, אני מפגיז את האינטרנט בתמונות של "החתונה של בר רפאלי, תמונות בלעדיות", כשאתה לוחץ על אחת מהן בטאב אחר של הדפדפן, חוץ מהתמונה של החתונה שהיא לגיטימית לגמרי לחצת גם בלי לדעת על קישור שמעביר כסף מהחשבון שלך לשלי (וזה פשוט כמו התיאור של זה ורק צריך שהלינק יהיה מכוון לבנק X)

אם לא היית מחובר לבנק שלך באותו רגע, הכל בסדר, זה יגיע לשרתים של הבנק והם יראו שאתה לא מחובר, אם היית מחובר בטאב אחר לבנק, הצלחתי לגנוב לך כסף

כל מה שצריך שתהיה מחובר לבנק X והלינק שלי יהיה בנוי לבנק X

עכשיו, הרבה יותר קל יהיה לכוון ש X יהיה CITI ולא בנק יהב מבחינת יכולת לדוג.

עכשיו תשאלו איך מגינים על זה בטח...

בבנק לאומי לפני כל העברה צריכים להכניס עוד פעם הסיסמא, אפילו שאתא כבר בתוך האתר, כנראה בגלל הבעיה שציינת.
DrorZi נהג צעיר

DrorZi

פורסם
פורסם

יפה :-) אקראי ממש לא הכי טוב, כי אקראי גם הבנק לא ידע מי יצר אותו :-P אבל כן, בסגנון של טוקן מתחלף שרק הדפדפן שהתחבר לבנק יכול לייצר והבנק יכיר בו ולא סתם לינק קבוע בלי הטוקן

אתר הבישולים שלי:

DrorZi.com

איל לוין נהג נמרץ

איל לוין

פורסם
  • פות"ש
פורסם

אבל רגע, אתה לא פורץ לי לחשבון. אתה פשוט מנצל את העובדה שהדפדפן שלי כרגע מחובר לבנק.

למה שיחסר לך הטוקן במקרה הזה?

הפקודה להעביר אליך כסף מגיעה מהמחשב שלי, לא?

DrorZi נהג צעיר

DrorZi

פורסם
פורסם

אני צריך לגלות את כל הסודות של העבודה שלי הא?

נו טוב, זה דווקא מוכר, אז הוא כבר נחשב בלמ"ס

יחסר הטוקן כי

בתמונות של "בר רפאלי - החתונה" (נראה כמה חיפושים בגוגל על בר רפאלי יובילו לטרד הזה...)

הלינק הוא סטטי

הטוקן שאני (הבנק) דורש הוא חלק משורת הלינק (לא ממש אבל להמחשה זה מספיק קרוב) ולכן הלינק הסטטי לא יהיה תקין ואילו בהעברה אמיתית שהמשתמש הלגיטימי עושה הדפדפן שלו מייצר את הטוקן הנכון לתוך הלינק והלינק נהיה לגיטימי

 

התקפה שממש משתמשת לך בדפדפן כדי להכנס לטאב של הבנק ולדמות לחיצות אמיתיות באתר כדי ליצר העברה נכונה כדי לחמוק מגלאי CSRF היא התקפה אחרת לגמרי, כמו שאמרתי העולם מלא בחולרות, שימו קונדום.

אתר הבישולים שלי:

DrorZi.com

hgilad123 נהג שודים

hgilad123

פורסם
פורסם

אצלנו (אירלנד) יש קורא כרטיסים שמכניסים לו את הכרטיס אשראי, מכניסים את ה pin code ומקבלים קוד רנדומלי לאישור ההעברה. לפני זה צריך להכנס לחשבון עם שלושה מזהים שונים: מספר חשבון אינטרנטי, סיסמא, וכמה ספרות מהקוד האישי (נגיד ראשונה שלישית וחמישית, זה משתנה בכל לוגין).

:turn-l:מכונאי וחשמלאי אופנועים מוסמך :turn-l:

 שיתוף
לרשימת הנושאים
×
×
  • תוכן חדש...