Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Безопасность локального банка

Всем привет.
Приходится пользоваться картой центр-инвест банка (банк, работающий преимущественно в Ростовской области). Изначально, регистрируясь в онлайн приложении ЦИ, меня заставили придумать 8-значный цифровой пароль для входа в панель управления аккаунтом. Было очень неудобно каждый раз вводить 8 цифр, но что поделаешь...
И вот в чем, собственно, загвоздочка: с месяц - другой тому назад пришло обновление, в котором нужно вводить уже 4х символьный пароль. При этом, первые 4 цифры моего 8-значного пароля подходят!
Это что получается, банк хранит пароли в открытом виде? Я не вижу возможности сравнить контрольную сумму полного пароля, с КС обрезанного пароля на соответствие.
Мб, конечно, я что-то не понимаю в этом мире, но сейчас, как только на мой счет поступают денежные средства, я сразу их обналичиваю.

[моё] Информационная безопасность Мобильный банк Пароль Текст
86

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.
Вы смотрите срез комментариев. Показать все
5
Аватар пользователя akcaxupakcaxup
Автор поста оценил этот комментарий
как только на мой счет поступают денежные средства, я сразу их обналичиваю.

Самый лучший вариант. Будучи программистом, знаю как всё это пишется

раскрыть ветку (6)
5
Аватар пользователя yeksyeks
Автор поста оценил этот комментарий

В защите информации первичны все-же организационные мероприятия, а не технические средства. Самое дырявое ПО при должной организации можно эксплуатировать безопасно, а самое прекрасное бесполезно при общем бардаке. И на практике 99% инцидентов в банках происходят из-за человеческого фактора и только 1% по техническим причинам (и то вкупе с человеческим фактором).

раскрыть ветку (4)
chieftainyu
Автор поста оценил этот комментарий

Угу. Именно организационные.


Например, открыть для себя семейство СТО БР ИББС и начать, блендамед, включать требования по ИБ в ТЗ на создание АБС.

раскрыть ветку (3)
Аватар пользователя yeksyeks
Автор поста оценил этот комментарий

На любую созданную по ТЗ систему в процессе эксплуатации столько всяких костылей навешивается - я вас умоляю. Причем все аудиты оно всегда проходит, а если копнуть, то там такое...

В страховых компаниях, например (которые тоже ЦБ регулирует), какая бы ИС не была с какими бы требованиями к безопасности, все равно фотки договоров клиентов, их паспорта и все мыслимые и немыслимые персональные данные агенты менеджерам все равно шлют вотсапом, вайбером, яндекс-почтой, мейру, сваливают на яндекс-диски и гугл-драйвы и это у всех. Потому что иначе нужно как-то обеспечивать толпу неграмотных трехкопеечных агентов правильными СКЗИ, их обслуживать, обучать людей, ключи менять, и никому это не нужно нафиг. В головном офисе все красиво, все под камерами, электронными пропусками, паролями, смарт-картами и прочими прикольными штуковинами, а в филиале в Подзалупинске реестр клиентов в экселовском файле лежит у директора на ноутбуке под паролем "123" со всеми их персональными данными, суммами денег и чуть ли не номерами кредиток, а копии документов отправляются в мусорное ведро as is, потому что единственный шреддер пять лет назад подавился скрепками.

раскрыть ветку (2)
chieftainyu
Автор поста оценил этот комментарий

Ну то есть как бы - и принятые оргмеры - тоже не работают, да? :)


Этот апокалипсец с ИБ в филиалах все равно же не дает ответа на проблему ТСа. Тут явно в процессе создания/модернизадницы ИСа не подумали о чем-то.

раскрыть ветку (1)
Аватар пользователя yeksyeks
Автор поста оценил этот комментарий

Оргмеры всерьез и системно принимать никто не будет, в крайнем случае пару неугодных "козлов отпущения" накажут за то, что делают все остальные и все пойдет свои чередом. Сделать правильно означает повысить издержки и снизить рентабельность и конкурентоспособность бизнеса. На защиту данных клиентов всем искренне насрать, для сторонних аудитов и проверяющих органов есть красивый фасад и ладно. Так делают все.


Что касается "не подумали" - я одну возможную версию в другом комментарии написал, как могло быть.

DELETED
Автор поста оценил этот комментарий

Вот и крайний нашёлся!

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку