180

Безопасность локального банка

Всем привет.
Приходится пользоваться картой центр-инвест банка (банк, работающий преимущественно в Ростовской области). Изначально, регистрируясь в онлайн приложении ЦИ, меня заставили придумать 8-значный цифровой пароль для входа в панель управления аккаунтом. Было очень неудобно каждый раз вводить 8 цифр, но что поделаешь...
И вот в чем, собственно, загвоздочка: с месяц - другой тому назад пришло обновление, в котором нужно вводить уже 4х символьный пароль. При этом, первые 4 цифры моего 8-значного пароля подходят!
Это что получается, банк хранит пароли в открытом виде? Я не вижу возможности сравнить контрольную сумму полного пароля, с КС обрезанного пароля на соответствие.
Мб, конечно, я что-то не понимаю в этом мире, но сейчас, как только на мой счет поступают денежные средства, я сразу их обналичиваю.

Дубликаты не найдены

+16

Есть три варианта. В порядке убывания вероятности.


1. Пароль от приложения хранится в базе Банка в открытом виде. Ну тут понятно.  


2. Правильность (уже) ПИН-кода от приложения расситывалась алгоритмом, делящим вводимой значение на две четырёхзначные сущности. Это нормально и безопасно.


3. Перед последним обновлением система аутентификации самостоятельно назначила новый ПИН-код на основании старого. Попахивает забиванием гвоздей банкой Пепси в анальное отверствие кадровички, но в теории такое может быть.

раскрыть ветку 40
+4
4. Пин хранится приложением на телефоне.
+1

На основании какого пароля система назначила новый пин, если они хранились как хеш?

раскрыть ветку 4
+3

На основании того, что это не пароль, а пин, например. В этом случае на сервере хранится не хеш, а алгоритм проверки корректности введёного пина. И тогда нет никаких проблем применять алгоритм только к первой половине нового пина, если предыдущий алгоритм рассчитывал корректность двух половин пина вместо восьмизнака как единого пина.

раскрыть ветку 3
0
Это нормально и безопасно

ну вообще, получив хеш, сбрутить 2 четырехзначные половинки намного проще чем целое.

правда, учитывая что новый пароль четырехсимвольный, разницы особой нет)

раскрыть ветку 2
+1

Верно. Поэтому в мобильном ПО используется пин-код, а не пароль.

раскрыть ветку 1
0

2 пункт -- это НЕ нормально и НЕ безопасно.

Чего бы тогда не рассчитывать алгоритмом, делящим вводимое значение на 8 сущностей по 1 цифре?
раскрыть ветку 30
+4

Это небезопасно только если ты знаешь результат аутентификации каждой из частей по отдельности. А если система на лету считает хэш двух частей, склеивает результаты и проверяет все значение, то в чем тут уязвимость?

раскрыть ветку 10
0

Почитай теорию криптографических алгоритмов. Например, про NTLM и как хешируется пароль от учётной записи на твоём компе.

раскрыть ветку 10
-2

А что не безопасного? Если из пароля делается два хеша, а не один, то очевидной проблемы тут нет. Стойкость системы двух хешей из двух отдельных половинок по сравнению с хэшем из целого пароля надо считать вдумчиво, но на первый взгляд заметного падения стойкости тут не видно.

раскрыть ветку 7
+11

А что такого? Набрали пограмистов по объявлению, вот и результат

раскрыть ветку 2
+12

Вы так говорите "по объявлению", будто приведённый "свой человечек" - величайшая панацея, готовая работать за десятерых и по качеству как сто выпускников кафедры математики. Как тут их называли... Жовлики, довлики и бовлики: https://pikabu.ru/story/realii_gospredpriyatiy_5204147

-2
Ничего нового, всё стабильненько
+4
Сейчас в голове родилось предположение, что они могли изначально заложить подобный функционал. Разделить введенный пароль на два по 4, посчитать КС и сохранить в два поля. А потом отказаться от второго.
раскрыть ветку 11
+13
Попахивает бредом, не так ли?
раскрыть ветку 6
раскрыть ветку 1
+1
Нет, всё верно сказал. Но врядли. Да и смысла хэшировать четырехначные числа с точки зрения безопасности - никакого. Помнится майки так же лажанули в Win XP хэшируя пароли пользователей разделив их пополам.
0

У нас в локальной сети так хранится пароль. Для активации учётки на почтовые ящики двух людей сбрасывают по половине пароля

раскрыть ветку 2
+4

Нахуя так сложно и мудрено, когда его можно хранить в открытом виде?

И да. На безопасность всем похуй

+1

Как вариант, изначально были именно 4 цифры (по аналогии с пин-кодом), потом решили усилить безопасность и что-бы не ломать совместимость добавили еще столько и стали хранить второй хэш. Потом сообразили, что длинные числовые пароли плохо запоминаются и откатили назад, убрав 4 цифры и дополнительный хэш. Это, в частности, объясняет скачок с 8 на 4 (а не 5 или 6 или буквенный пароль).


Это фантазия, естественно. Может и действительно хранят пароль в открытую или шифруют обратимым алгоритмом. К сожалению, второго в финансовых системах тоже навалом. Правда, это очень редко вызывает проблемы на практике, чаще срабатывает человеческий фактор в других местах.

раскрыть ветку 2
0

Есть вариант - всегда хранили хэш только от первых четырех цифр, а остальные введенные просто не учитывали.

раскрыть ветку 1
+3

GlebObodovsky. Пароль в мобильное приложение был всегда 6 символов. На вашей картинке не пароль, а пин код, который могли добавить только Вы сами. Зайдите в настройки приложения после авторизации и снимите галочку - использовать мобильный ПИН. При следующем входе после ввода корректного 6-ти значного пароля Вам предложат использовать touch id (если телефон поддерживает touch id)  либо мобильный ПИН, который вы вводите сами (с подтверждением), при желании можете отказаться и от первого и от второго. Когда Вам несколько месяцев назад было предложено использовать ПИН, Вы ввели свой пароль и теперь используете первые 4-ре цифры своего пароля в качестве ПИНа.

раскрыть ветку 1
+1
Мне не было ничего предложенно. Просто вместо положенного количества символов (видимо все-таки было 6, а не 8), запросило 4. Что не может не настораживать. Но принцип я теперь понял. И в настройки залез, проверил. Извините за переполох. И спасибо за разъяснения.
+2
как только на мой счет поступают денежные средства, я сразу их обналичиваю.

Самый лучший вариант. Будучи программистом, знаю как всё это пишется

раскрыть ветку 6
+5

В защите информации первичны все-же организационные мероприятия, а не технические средства. Самое дырявое ПО при должной организации можно эксплуатировать безопасно, а самое прекрасное бесполезно при общем бардаке. И на практике 99% инцидентов в банках происходят из-за человеческого фактора и только 1% по техническим причинам (и то вкупе с человеческим фактором).

раскрыть ветку 4
-1

Угу. Именно организационные.


Например, открыть для себя семейство СТО БР ИББС и начать, блендамед, включать требования по ИБ в ТЗ на создание АБС.

раскрыть ветку 3
0

Вот и крайний нашёлся!

+1
Комментарий удален. Причина: данный аккаунт был удалён
+1

Тоже являюсь клиентом банка и пользуюсь мобилкой. Речь идет о мобильном коде, который предназначен для упрощенной авторизации, для тех у кого нет touch id, например. Только вот этот код нужно придумать самому, а не не вводить первые четыре символа ПИН-кода. Не надо вводить людей в заблуждение.

Скрины из мобилки:

https://yadi.sk/i/82GGEgG13aXxy6

https://yadi.sk/i/VK6IBuqK3aXxvD

0
Я так и не понял про что пост: если все же про безопасность, то что 8-значный цифровой пароль, что 4-х значный подбираются перебором менее, чем за минуту
0

А в чем проблема? Просто хеш восьмизначного разделили на 2.

раскрыть ветку 2
+1

Смысл хеширования в том, что так сделать нельзя.

раскрыть ветку 1
-2
Иллюстрация к комментарию
-1

Я один прочитал название банка как центр-инцест банк?

-1

Сменить банк?

-2

Если бы мой банк ввёл 4-значные, то я бы сразу закрыл счёт. Кто-то может получить пароль, посмотреть статистику, узнать дату поступления на счёт и увести деньги до того, как владелец снимет.

-3

Пост проплачен конкурентами?


Во-первых, никогда не было 8 символов и нет сейчас 4, всегда было и есть 6 символов для входа в приложение.

Во-вторых, помимо этого приходит смс с кодом, который нужно ввести для входа/или touch id


Вы обналичиваете деньги, который вам платит банк-конкурент за этот лживый пост?

раскрыть ветку 9
+3
Сколько символов для ввода пароля ты видишь?
Иллюстрация к комментарию
раскрыть ветку 8
-1

Судя по виду, его писали студенты. И дизайном тоже.

-1

Я вижу шесть, у меня обновленное приложение, существующее в этой реальности https://yadi.sk/i/jbrVvUAk3aXtWx

А где вы взяли свое изображение?

раскрыть ветку 6
-5

Какой банк?

раскрыть ветку 1
+2
Написано же, "Центр-инвест"
ещё комментарии
Похожие посты