A
когда-то было иначе?
есть старая, но хорошая статья про реализацию хэширования.
упомянутые в ней алгоритмы уже устарели (есть лучше и новее), но суть подходов особо не изменилась
https://crackstation.net/hashing-security.htm
Size: a a a
2020 September 08
SB
А это не нарушает PCI DSS:
To prevent passwords from being easily guessed, every secure and PCI DSS compliant password should include 3 of the following 4 character types:
Upper Case Letters
Lower Case Letters
Numbers
Special Characters – non-alphanumeric characters such as: ! @ # $ % ^ & *
Ведь вроде как спец символы не обязательны.
To prevent passwords from being easily guessed, every secure and PCI DSS compliant password should include 3 of the following 4 character types:
Upper Case Letters
Lower Case Letters
Numbers
Special Characters – non-alphanumeric characters such as: ! @ # $ % ^ & *
Ведь вроде как спец символы не обязательны.
SK
кстати, скорее всего, это просто делали два разных человека - один выполнил требования безопасников по составу пароля на фронте, а другой выполнил требования бизнеса про "чтоб юзеры не путались в строчных и заглавных буквах" )
Или один, но он был хорош!
A
Sergey Baranov
А это не нарушает PCI DSS:
To prevent passwords from being easily guessed, every secure and PCI DSS compliant password should include 3 of the following 4 character types:
Upper Case Letters
Lower Case Letters
Numbers
Special Characters – non-alphanumeric characters such as: ! @ # $ % ^ & *
Ведь вроде как спец символы не обязательны.
To prevent passwords from being easily guessed, every secure and PCI DSS compliant password should include 3 of the following 4 character types:
Upper Case Letters
Lower Case Letters
Numbers
Special Characters – non-alphanumeric characters such as: ! @ # $ % ^ & *
Ведь вроде как спец символы не обязательны.
реален ли сценарий, когда у сбера отбирают PCI DSS лицензию, или хотя бы штрафуют за нарушение с требованием исправления?
SB
реален ли сценарий, когда у сбера отбирают PCI DSS лицензию, или хотя бы штрафуют за нарушение с требованием исправления?
Я вопрос задал, подразумевая иное 🙂 В частности — если это является нарушением, то нет гарантии, что нет и других нарушений, а это, в свою очередь, снижает доверие с точки зрения безопасности. Только и всего)
AG
А сбер онлайн по PCI DSS или PA-DSS сертифицируется?
RT
обычно системы обработки данных карт и фронтальные системы разделяют, так чтобы в периметр PCI-DSS заносились только системы процессинга карт и платежей по ним
F
формально да, но есть такая штука, как rainbow table
Именно про него, тут бы зшала статья с хабра (сейчка не найду), как работать с паролями. И вы поймете что сейчас u или l case, почти не играют роли.
F
rainbow table будет неприменимы, если используются уникальные случайные соли (salt) для каждой записи о пароле и случайная соль сервиса как секрет (pepper). Современные хэш-функции для хранения паролей сразу имеют в аргументах параметры salt & pepper
Знаете, как то консультант один предлагал необратимое шифрование, для обеспечения безопасности. Оно же круто, необратимое). Можно и так ухищряться, но по факту был вопрос про uc и lc и по ним - это не дырка и ничего в среднем не дает по безопасности.
F
На самом деле не забывайте, что социальная инженирия создает больше дырок. Сложный пароль, но на бумажке что бы не забыть, или простой на память? По соц. инженерии - второй лучше.
AG
Объясните-ка бабушке, чем отличается буква l от I
F
Если они ЦА, то tolowercase(string) отличный метод, главное что бы он обрабатывался без доступа из вне.
AL
На самом деле не забывайте, что социальная инженирия создает больше дырок. Сложный пароль, но на бумажке что бы не забыть, или простой на память? По соц. инженерии - второй лучше.
Захоти я стать мошенником, пошёл бы в продавцы Кирби...
F
Зачем сразу мошенником, есть ребята которые называются "пентестеры". Веселая работенка, правда сильно зависит от личной силы и репутации. Ну и без стальных нервов там долго не протянешь.
PD
Sergey Baranov
А это не нарушает PCI DSS:
To prevent passwords from being easily guessed, every secure and PCI DSS compliant password should include 3 of the following 4 character types:
Upper Case Letters
Lower Case Letters
Numbers
Special Characters – non-alphanumeric characters such as: ! @ # $ % ^ & *
Ведь вроде как спец символы не обязательны.
To prevent passwords from being easily guessed, every secure and PCI DSS compliant password should include 3 of the following 4 character types:
Upper Case Letters
Lower Case Letters
Numbers
Special Characters – non-alphanumeric characters such as: ! @ # $ % ^ & *
Ведь вроде как спец символы не обязательны.
Так у сбера и нет сертификации PCI DSS.
Но конкретно эти пункты в требованиях, конечно, идиотские )
Но конкретно эти пункты в требованиях, конечно, идиотские )
PD
Но вообще в данном случае lowercase не опасен (если все остальное сделано более-менее нормально, а скорее всего там есть и счетчики попыток и хэши и соли и 2FA).
RT
в PCI-DSS требования к аутентификации относятся к сотрудникам, работающим с системами, содержащими данные карт