Strona główna> Blog practice>Słowa, słowa, słowa, czyli ambaras z hasłem w tle.

05.201429

safe_is_safe

Słowa, słowa, słowa, czyli ambaras z hasłem w tle.

Są takie rzeczy, które trudno nam zaakceptować. Niedobra kawa, niewygodne krzesła… Niezrozumiała polityka bezpieczeństwa haseł. Zmieniliśmy konto bankowe i dreszcze niepokoju przebiegły nam po plecach.

Wolelibyśmy rozliczać się w BugCoinach, jednak każda spółka musi posiadać konto bankowe. Wybraliśmy Deutsche Bank. Przy pierwszym logowaniu zapanowała w firmie mała konsternacja. Zarząd stał się być nieobecny. Oczy zaszły mgłą, ruchy wydawały się spowolnione, dało się wyczuć nieprzyjemny zapach niepokoju. W końcu jeden z nas nie wytrzymał. Podzielił się małą zmorą, która trapiła nas wszystkich.

Przy pierwszym logowaniu do konta w Deutsche Banku system prosi o zmianę hasła. Bardzo dobrze. Trochę gorzej, że informuje nas jakoby od 365 dni nie byliśmy zalogowani. Ale to nie problem. Naprawdę zaskoczyła nas polityka bezpieczeństwa. Hasło musi mieć osiem znaków. Nie „co najmniej”. DOKŁADNIE OSIEM. Znaki specjalne czy cyfry nie są wymagane. Wystarczy po prostu osiem małych liter.

Niby nic strasznego. Hasło jak hasło. Dlaczego więc poczuliśmy się jak w mrocznym śnie? Bo to nie hasło do portalu społecznościowego. To paszport do konta spółki, droga do pieniędzy. Konto bankowe to coś, co powinno być naprawdę bezpieczne. Poniższa grafika z sekurak.pl pokazuje jak szybko można złamać atakiem brute force różne hasła.

Whitepixel pracujący z czterema radeonami HD 5970 - via sekurak.pl

Whitepixel pracujący z czterema radeonami HD 5970 – via sekurak.pl

Wynik dla ośmiu znaków? Natychmiastowy. Oczywiście typowy brute force nie spenetruje systemu bankowego. Po  kilku kolejnych nieudanych próbach logowania konto użytkownika zostanie zablokowane (przynajmniej mamy taką nadzieję). To w teorii powinno rozwiać wątpliwości. Jednak nasze hasło ma dokładnie OSIEM znaków i nie musi mieć cyfr. Jakby tego było mało, znaki obok siebie nie mogą się powtarzać, więc możliwych kombinacji jest jeszcze mniej.

Sam proces logowania też nie wzmacnia bezpieczeństwa. Podajemy parę pełny login plus pełne hasło. Logowanie mogłoby na przykład następować przy podaniu 5 losowych znaków. Wtedy system mógłby uchodzić za dostatecznie bezpieczny. W obecnej jednak formie czujemy, że normy bezpieczeństwa nie zostały spełnione w wystarczającym stopniu. Dlatego wysłaliśmy prośbę do Deutsche Bank o komentarz oraz przedstawienie polityki bezpieczeństwa.

Być może jesteśmy zbyt wyczuleni na punkcie bezpieczeństwa. Być może. Na razie czekamy na odpowiedź!

  • Franek Dolas

    To trochę jak zostawiać drogi rower niezabezpieczony przed wejściem do centrum handlowego.

  • zgryźliwy_hieronim

    Niby przesada, niby nie. W przypadku gdy podaj się całe hasło przy logowaniu, łatwo sobie wyobrazić sytuację w której na komputerze ofiary znajduje się key logger… to wystarczy, żeby poznać hasło do usługi…

    • Franek Dolas

      Uważam, że w tak istotnym przypadku (bankowość internetowa), powinno się jednak zostawić użytkownikowi wybór – nie chcesz długiego i skomplikowanego hasła, to nie, ale niech to będzie twoja decyzja.

  • Michał

    Habib zapomniał dodać ważną rzecz która nastąpiła przed zmianą hasła. Mianowicie, hasło i login do konta przyszły jedną (tak JEDNĄ) niepoleconą przesyłką. Zakładałem już kilka kont w różnych bankach i zawsze albo przychodziły te dane osobno albo były przekazywane użytkownikowi w innym kanałem. Ciekawe czy jak zamówię kartę to dostanę ją też w tej samej niepoleconej przesyłce z PINem.

    • Andrzej Poniedziałek

      Mnie nie dziwi cała sytuacja. Polacy pracujący dla DEUTSCHE Banku sabotują niemieckie interesy :P

  • Lenny Petrayko

    Dla kontrastu na niejednym forum proszono mnie o wyposażenie hasła w:
    - conajmniej jeden duży znak
    - cyfrę
    - znak specjalny (!@#$%^%…)

  • Pingback: Co wolno, a czego nie wolno – czyli walidacja formularzy rejestracji. | Testspring - Testowanie oprogramowania

testowanie oprogramowania | outsourcing testów | software testing | testerzy