Безопасность в банке
Я хочу, чтобы вы знали, как работает один банк, где я храню деньги.
Началось все с того, что поменял в личном кабинете логин и пароль. Вышел, чтобы зайти под новыми. Не могу залогиниться, пароль не подходит. Ясно видел зеленую плашку, что пароль изменен. Последовательность генерил программой 1Password и вставлял копипастой, так что ошибки быть не может.
Звоню на бесплатный номер банка. Девушка включает тупняк и уверяет, что виноват я. Пароль сбросят только при личном обращении в банк. На крайний случай предлагает поговорить с техподдержкой. Хорошо, давайте.
– Здравствуйте, я такой-то, поменял логин и пароль, не могу зайти под новыми.
– Назовите ИНН.
Удивляюсь, но диктую цифры. Для идентификации больше ничего не потребовалось, что очень странно, ведь ИНН везде публикуется открыто. Девушка на саппорте спрашивала все реквизиты паспорта вплоть до кода отделения. Ну да ладно. Пауза, клацает по клавашам.
– Ого, ну и пароль у вас!
Чел видит мой пароль. Все 32 символа с решетками, подчеркиваниями. Безопасность на высоте. Боюсь спугнуть невежливым вопросом.
– Да, он не подходит.
Клацает, подозреваю, что ломится с моими кредами в интернет-банк.
– Действительно… А у вас сколько символов в пароле?
– 32.
– А у меня 26. Ваш пароль усечен, вы вводите лишние символы.
Вставляю в поле пароль, стираю 6 последних символов. Попадаю в личный кабинет.
– Почему система позволила сменить пароль, не выдав ошибку?
– Ошибки не было, в поле ввода лимит на число символов, браузер их автоматом отбросил.
– Хорошо, почему над полем не написан лимит на длину?
– Эти претензии не ко мне, оформляйте жалобу.
– Хорошо, позвольте нескромный вопрос. Как вы увидели мой пароль? Разве он не должен хешироваться?
– Я смотрю в логах.
– То есть в логах фигурирует мой пароль?
– Да, написано, с какого на какой вы поменяли.
– Превосходно. А что если логи утекут? Я доверяю вам деньги, подбираю сложный пароль, а вы пишете пароли в лог.
– Слушайте, до свидания…
– До cвидания.
Вот так работают банки. Право, лучше этого не видеть и не слышать. Сразу после звонка поделился рассказом с коллегой, который пользуется услугами того же банка. Диалог получился следующий.
– …то есть пароли у них открытые, понимаешь?
– Блин, вот отстой. Пойду пароль сменю.
– =)
– Бля-я-я-я…
Занавес.
Нашли ошибку? Выделите мышкой и нажмите Ctrl/⌘+Enter
Aleksandr Zhuravlev, 5th May 2016, link
А смысл такое писать, без указания конкретного банка?
Mitya, 13th Jun 2016, link
У меня похожая ситуация была с райфайзеном. А очень давно, когда был р/с в ПриватБанке, я авторизовался по своей учетке, а попал в ЛК другого ИП, со всеми правами и вытекающими и в колл центре сказали, что у них выходной, перезвоните завтра :)
Ivan Grishaev, 13th Jun 2016, link , parent
вам скорей всего пришли куки коллеги или кого-то из другого из смежной сети