Welcome to MyBlog_笑著流淚III

武男亂講-來討論一下HSBC Direct的線上安全

Autor 白目研究生

看一下公開資訊的聲明線上安全

第一：

堪稱全世界首創的隨機密碼輸入看起來很有效…

不過，每次登入的的隨機位元都是同一組

如果第一次錯誤的話，第二次輸入，也還是第一次輸入的順序

EX：

第一次輸入密碼為』第一碼、 第二碼、最後一碼』=錯誤

第二次輸入密碼為』第一碼、 第二碼、最後一碼』=有可能正確

當Cookie沒有變換的同時，隨機輸入其實不怎麼隨機，不怎麼符合隨機密碼輸入的定義

第二：

定義一下下面文章出現的名詞

帳號：使用者名稱(6-30字元組成，不接受空格字元，英文字母不分大小寫。)

電話服務密碼：第一重數字密碼(6-30位數字組成。第一重數字密碼的前六碼就是您的電話服務密碼。)

隨機輸入密碼：第二重文數字密碼(8-30位英數字組成，英文字母不分大小寫，不能與第一重數字密碼相同。)

那天這樣子發訊息向HSBC Direct專員詢問了這樣子的問題

———- Original Message ———-
From: <0886802529@twhred>
To: twhred@sem.hsbc.com
Sent: 08/03/08 11:08:10
Subject: Case 5119089 帳戶查詢

不好意思

想請問一下

針對于貴行的驗證系統

如何排除不當使用者的亂猜密碼的狀況

畢竟猜對的密碼很難

猜錯的密碼…卻很容易…

回應為

親愛的林武男先生您好：

感謝您於3月8日的來函。

首先感謝您對 HSBC Direct 的支持與愛護。

關於您詢問使用者名稱的問題，在此向您說明。

可能由於您的使用者名稱與其他客戶之使用者名稱相類似，而導致有時候會遭到其他客戶誤用之情況。但在匯豐銀行中所設之使用者名稱皆為全球唯一，因此於申請關戶前無法變更您之使用者名稱。造成您的困擾，在此向您致歉。

以上，我得到一個結論為，在登入驗證似乎沒有做到某種程度的防呆

再進一步測試這時這個想法好了…

測試分成兩個部分，一部份從登入頁面測試，一部份從申請帳號的頁面測試

帳號驗證連結：https://www.hsbcdirect.com.tw/1/2/ALL_SITE_PAGES/HUB_PIB/PIB_LOGON

輸入正確的使用者帳號，就等著輸入第二次的密碼驗證了。

注意，下圖馬賽克的連結，保守估計以帳戶作編碼加密

何以下此結論，因為我用FireFox Browser(以下簡稱FF)跟IE Browser(以下簡稱IE)都是相同的結果

我用FF過了第一次驗證得到這個連結：https://www.hsbcdirect.com.tw/1/2/!ut/xxx

我用IE過了第一次驗證也是得到這個連結：https://www.hsbcdirect.com.tw/1/2/!ut/xxx

沒錯，當這串連結遺失或者被人發現的同時會有什麼下場

在LOCAL的任何一個FF連結這個LINK都是進到帳號驗證過的畫面，也就是等待電話服務密碼與隨機密碼輸入的那個步驟

在LOCAL IE的話，則會連結到輸入帳號的頁面

異地的瀏覽器就不用多說了，不管怎麼樣，都請重新輸入一次帳號就對了

唉呀，怎麼沒有在加密多了一些random seed，這種資料重複可見的行為…嘖…

畢竟，https://www.hsbcdirect.com.tw/1/2/!ut/xxx隨手可得，網址列的history就有了

再來，當輸入錯誤的帳號時，會告訴你，你輸入的是錯誤的帳號，請你不要再猜這組帳號了

因為沒有人用，就算密碼都對了，裡面也是沒有錢的(JOHN01對不起，我用你的帳號錯了很多次…)

接下來，連怎麼猜帳號都幫你做好了

申請帳號的檢查使用者是否重複就可以知道了

結論：

以上條件達成，剩下的也僅是時間的問題…

或許我的想法跟作法是有問題的，不過這在我的認知下，我個人覺得這並不安全的

畢竟我想的到的，HSBC Direct也不是沒想過，只是我找不到驗證我疑惑的方法

目前，除了作者的帳號外，我沒有猜到任何人的帳號過，不過有錯超過三次密碼而導致帳號被鎖的經驗過

開通後，統一隔日早上的九點開通，真的是有一…的沒效率…(不過這是正規流程，沒明文表示在合約上，所以我也不能埋怨什麼)

僅提供給想申請HSBC Direct的用戶參考

本文發表的同時，也將透過HSBC Direct的簡訊平台告知相關專員

以上

–
我跟你說，我們老師會說『靠』喔…!!
–

Random Posts

• 2008/12/16 -- 武男亂講-總算跨入國際的一小步了 (0)
• 2012/01/09 -- 武男亂講-尾牙抽獎自己來的好典範(OGK FF5V 開箱測試) (0)
• 2008/02/29 -- uBuntu Zone-Webmin How to (2)
• 2007/08/20 -- 960820 (0)
• 2008/03/05 -- 武男亂講-ASUS V71 (0)
• 2007/08/19 -- 960818 (1)
• 2007/11/17 -- 武男亂講-最近的生活， (0)
• 2008/07/21 -- 武男亂講-假設孩子的教育 (0)
• 2007/07/23 -- Apache20 + Php5 + Php5-Extensions + PEAR + MySQL50 + PhpMyAdmin on FreeBSD How to (0)
• 2008/01/04 -- 武男亂講-上樑不正下樑歪 (0)

請留言