... by byl taky zajímavý téma. A týká se to i profesionálů. Viz moje zkušenost s bankou, kde mám hypotéku (proto zatím nebudu jmenovat.
1. Poštou došel normální (!) dopis, kde jsou přihlašovací údaje k portálu. Našel jsem tam jenom čtyřmístný PIN a bylo uvedeno, že jako přihlašovací jmén mám použít číslo účtu. Číslo účtu bylo v záhlaví (rok 2011).
2. Po přihlášení hned naběhla historie transakcí a osobní údaje. Změnu hesla ani jinou konfiguraci jsem nikde nenašel, natož pak nějaký požadavek na dvoufaktorovou autentizaci. Takže klienti mají množinu 10^4 hesel a jako user name devítimístný násobky čísla 11.
3. Proti brute force je to chráněno dočasným zablokováním po několika špatných PINech.
Docela rád bych věděl, co by banka dělala, kdyby někdo napsal bota, který zvolí náhodný PIN a z několika IP adres na něho začne střílet náhodně generovaný čísla účtů s fixním PINem... Prolomení jednoho účtu by sice s blokací po špatným PINu trvalo dlouho, ale skenování osobních údajů to nezpomalí. Při 100 requestech/s a obsazených 10% čísel účtů je to v průměru 3,6 prolomených účtů za hodinu. A při jejich blbosti je možný, že čísla účtů generují popořadě...
Při 50k klientů a pětiminutové blokaci stačí ani ne 170 spojení po TCP za sekundu. Na lince se to hádám ani nepozná... A když je bot s 300 neudržovanýma IoT krámama, každý posílá paket 1x za 2s... A 50 000 lidí se nedostane na účet. Jenom díky predikovatelnýmu login name...
