»

Novi standardi informacijske varnosti v bančništvu

Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.

Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).

Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko...

97 komentarjev

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Slo-Tech - Nobena skrivnost ni, da je protokol SS7, ki ga uporabljajo mobilni operaterji za komunikacijo z napravami in ki omogoča gostovanje, ranljiv. Že več let vemo, da lahko obveščevalne agencije izkoriščajo ranljivosti v tem protokolu in spremljajo tako lokacijo telefonov kakor tudi komunikacijo. V zadnjem času pa postaja jasno, da to ni tuje niti hekerjem. Dvostopenjsko preverjanje pristnosti (2FA), kjer uporabljamo sms-sporočila, ne prinaša nobene dodatne varnosti, le nekoliko zakomplicira življenje tatovom.

Motherboard je tako že identificiral prvo britansko banko, ki je bila žrtev napada na SS7. Tudi britanska obveščevalna agencija GCHQ je potrdila, da se ranljivosti v SS7 že uporabljajo za prestrezanje bančnih šifer. Metro Bank, ki je...

18 komentarjev

Google bi se znebil gesel. Kaj je alternativa?

Uporaba dvostopenjske prijave v Gmailu je po objavi članka Mata Honana o izkušnji vdora poskočilo.

Wired News - Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob...

46 komentarjev

Hotmail gesla kar po domače rezal na 16 znakov

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...

80 komentarjev

Nov, tehnično dovršen napad na nemške spletne banke

SMS sporočilo s skritim in digitalno podpisanim mobilnim trojancem

Slo-Tech -

Raziskovalci pri podjetju F-Secure poročajo o novem, tehnično dovršenem napadu na uporabnike spletnega bančništva. V normalnih okoliščinah se uporabnik prijavi v spletno banko kar z uporabniškim imenom in geslom, ko pa želi opraviti transakcijo, jo rabi posebej avtorizirati z vpisom posebne številke (mTAN), ki jo v ta namen obliki SMS-a prejme na svoj mobilni telefon. Ta sistem dvojnega preverjanja preprečuje, da bi napadalec zgolj z prestrezanjem uporabniškega imena in gesla (npr. s keyloggerjem) spraznil račun.

Napad poteka v več fazah. Najprej rabijo lopovi na spletno stran banke nastaviti opozorilo, da je uporabnikovo digitalno potrdilo poteklo in da rabi dobiti novega (nič od tega seveda ni res). Opozorilo...

23 komentarjev

Večina gesel ni varnih

RockYou celo ni dovoljeval posebnih znakov

vir: HotHardware
HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):
  • 123456 (290,731)
  • 12345 (79,078)
  • 123456789 (76,790)
  • Password (61,958)
  • iloveyou (51,622)
  • princess (35,231)
  • rockyou (22,588)
  • 1234567 (21,726)
  • 12345678 (20,553)
  • abc123 (17,542)
Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

46 komentarjev