查看完整版本 : 真係好憎的死蠢設計

死蠢無罪 2019-7-12 11:59 AM

真係好憎的死蠢設計

都什麼年代了,今日用上X銀行網上銀行,好耐冇用,原來錯三次Password就要落分行!

有冇hacker可以三次內就撞到人客password啊!不過肯定任何hacker都可以幫佢掃曬佢啲ID Password叫所有客人都去分行一趟:fst_013:

我哋寫啲program都係同一IP錯password就加時,咁好好多!

tungsingyiuyeu 2019-7-12 03:46 PM

你知唔知IP可以轉?

死蠢無罪 2019-7-12 04:38 PM

[quote]原帖由 [i]tungsingyiuyeu[/i] 於 2019-7-12 03:46 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=502691453&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你知唔知IP可以轉? [/quote]

梗可以,但同加時原理一樣,延長brute force attack時間。但如果唔check IP,user真身就可以被lock死或加長延遲。

fx360bx 2019-7-14 10:59 PM

[quote]原帖由 [i]死蠢無罪[/i] 於 2019-7-12 11:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=502679659&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
不過肯定任何hacker都可以幫佢掃曬佢啲ID Password叫所有客人都去分行一趟[/quote]

損人不利己喎,更何況咁做會 alert 到銀行同用戶。
仲有 hacker 都要有個 email list 先得,唔係就白撞,或者如果佢地喺 dark web 買到 list。

先生擔唔擔 2019-7-15 01:48 PM

如果在海外鎖左戶口 要返香港到分行先可以reset 仲頭痕 :smile_o10:

漆哥 2019-7-16 05:30 PM

設計明顯係你本人想撞PASSWORD都唔俾
呢個又去到一個位,SECURITY LEVEL是否容許用戶自己選擇?
現時大多銀行都用PASSWORD + DYNAMIC-TOKEN
應該加埋FACE DETECTION,出事既話起麻影到個賊仔個樣!

windows311 2019-7-16 06:17 PM

[quote]原帖由 [i]死蠢無罪[/i] 於 2019-7-12 11:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=502679659&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
都什麼年代了,今日用上X銀行網上銀行,好耐冇用,原來錯三次Password就要落分行!

有冇hacker可以三次內就撞到人客password啊!不過肯定任何hacker都可以幫佢掃曬佢啲ID Password叫所有客人都去分行一趟:fst_013:

我哋寫啲program都係同一IP錯password就加時,咁好好多! ... [/quote]


我用東x,錯3次lock1日,要reset password才要去分行

j4jerry 2019-7-16 07:22 PM

[quote]原帖由 [i]死蠢無罪[/i] 於 2019-7-12 11:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=502679659&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
都什麼年代了,今日用上X銀行網上銀行,好耐冇用,原來錯三次Password就要落分行!

有冇hacker可以三次內就撞到人客password啊!不過肯定任何hacker都可以幫佢掃曬佢啲ID Password叫所有客人都去分行一趟:fst_013:

我哋寫啲program都係同一IP錯password就加時,咁好好多! ... [/quote]
Fairly easy today and pls check this out what is meant by the credential stuffing technique?

We recently did IR to couples of FSI customers in this region bcoz of the issues aroused by this technique e.g. account takeover, fraud & etc. :loveliness:

狗餅人 2019-7-19 03:46 PM

這都是安全考量吧

tomickwan 2019-8-14 11:12 PM

[quote]原帖由 [i]狗餅人[/i] 於 2019-7-19 03:46 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=503140469&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
這都是安全考量吧 [/quote]


今時今日,呢個考量多餘

jackymad 2019-8-15 10:59 AM

你知唔知好多設計都唔係銀行話事,係金管局要求?

我的無比膏 2019-8-15 01:34 PM

[quote]原帖由 [i]jackymad[/i] 於 2019-8-15 10:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=504872715&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你知唔知好多設計都唔係銀行話事,係金管局要求? [/quote]


講出重點

我的無比膏 2019-8-15 01:35 PM

揸兜銀行唔洗落分行reset

死蠢無罪 2019-8-15 01:41 PM

[quote]原帖由 [i]jackymad[/i] 於 2019-8-15 10:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=504872715&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你知唔知好多設計都唔係銀行話事,係金管局要求? [/quote]
金管局俾嘅係原則,implement成點就各有不同,有啲蠢到無倫

java2 2019-8-15 05:09 PM

做銀行ebanking, mobile banking 最難搞唔係技術, 而係應付金管果堆政策.
指引要求入錯密碼要不給再login, 當然冇明確撞幾多次, LOCK 左又要點解返, 唯有銀行自行定, 通常都係security officer, 在安全和方便考慮下, 一定係保守以安全為重.

[quote]原帖由 [i]死蠢無罪[/i] 於 2019-7-12 11:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=502679659&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
都什麼年代了,今日用上X銀行網上銀行,好耐冇用,原來錯三次Password就要落分行!

有冇hacker可以三次內就撞到人客password啊!不過肯定任何hacker都可以幫佢掃曬佢啲ID Password叫所有客人都去分行一趟:fst_013:

我哋寫啲program都係同一IP錯password就加時,咁好好多! ... [/quote]

java2 2019-8-15 05:15 PM

唔算係, 金管係比一個指引, 實際要求係各銀行定, 所以好多時間間銀行做法都唔同

[quote]原帖由 [i]jackymad[/i] 於 2019-8-15 10:59 AM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=504872715&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你知唔知好多設計都唔係銀行話事,係金管局要求? [/quote]

jackymad 2019-8-15 08:54 PM

你地有冇人試過直接同hkma班senior manager交過手?

java2 2019-8-16 02:12 PM

EMAIL同上去IFC 開會都試過:smile_44:

[quote]原帖由 [i]jackymad[/i] 於 2019-8-15 08:54 PM 發表 [url=https://www.discuss.com.hk/redirect.php?goto=findpost&pid=504907841&ptid=28360567][img]https://www.discuss.com.hk/images/common/back.gif[/img][/url]
你地有冇人試過直接同hkma班senior manager交過手? [/quote]
頁: [1]
查看完整版本: 真係好憎的死蠢設計