Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Безопасность локального банка

Всем привет.
Приходится пользоваться картой центр-инвест банка (банк, работающий преимущественно в Ростовской области). Изначально, регистрируясь в онлайн приложении ЦИ, меня заставили придумать 8-значный цифровой пароль для входа в панель управления аккаунтом. Было очень неудобно каждый раз вводить 8 цифр, но что поделаешь...
И вот в чем, собственно, загвоздочка: с месяц - другой тому назад пришло обновление, в котором нужно вводить уже 4х символьный пароль. При этом, первые 4 цифры моего 8-значного пароля подходят!
Это что получается, банк хранит пароли в открытом виде? Я не вижу возможности сравнить контрольную сумму полного пароля, с КС обрезанного пароля на соответствие.
Мб, конечно, я что-то не понимаю в этом мире, но сейчас, как только на мой счет поступают денежные средства, я сразу их обналичиваю.

[моё] Информационная безопасность Мобильный банк Пароль Текст
86

Информационная безопасность IT

1.4K постов25.5K подписчик

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.
Вы смотрите срез комментариев. Показать все
5
Аватар пользователя GlebObodovskyGlebObodovsky
Автор поста оценил этот комментарий
Сейчас в голове родилось предположение, что они могли изначально заложить подобный функционал. Разделить введенный пароль на два по 4, посчитать КС и сохранить в два поля. А потом отказаться от второго.
раскрыть ветку (11)
15
DELETED
Автор поста оценил этот комментарий
Попахивает бредом, не так ли?
раскрыть ветку (6)
2
tipochek
Автор поста оценил этот комментарий

отнюдь. https://xakep.ru/2012/11/08/wifi-key-with-wps/

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий
Сейчас один из 50 рутаков можно "открыть" программой скачанной с гуглплея, безопасность?!
1
Аватар пользователя TimkoNztTimkoNzt
Автор поста оценил этот комментарий
Нет, всё верно сказал. Но врядли. Да и смысла хэшировать четырехначные числа с точки зрения безопасности - никакого. Помнится майки так же лажанули в Win XP хэшируя пароли пользователей разделив их пополам.
Vivonchik
Автор поста оценил этот комментарий

У нас в локальной сети так хранится пароль. Для активации учётки на почтовые ящики двух людей сбрасывают по половине пароля

раскрыть ветку (2)
DELETED
Автор поста оценил этот комментарий
И это норм, считается?
раскрыть ветку (1)
tipochek
Автор поста оценил этот комментарий

а почему нет, если это не критичные данные?

5
4m41
Автор поста оценил этот комментарий

Нахуя так сложно и мудрено, когда его можно хранить в открытом виде?

И да. На безопасность всем похуй

1
Аватар пользователя yeksyeks
Автор поста оценил этот комментарий

Как вариант, изначально были именно 4 цифры (по аналогии с пин-кодом), потом решили усилить безопасность и что-бы не ломать совместимость добавили еще столько и стали хранить второй хэш. Потом сообразили, что длинные числовые пароли плохо запоминаются и откатили назад, убрав 4 цифры и дополнительный хэш. Это, в частности, объясняет скачок с 8 на 4 (а не 5 или 6 или буквенный пароль).


Это фантазия, естественно. Может и действительно хранят пароль в открытую или шифруют обратимым алгоритмом. К сожалению, второго в финансовых системах тоже навалом. Правда, это очень редко вызывает проблемы на практике, чаще срабатывает человеческий фактор в других местах.

раскрыть ветку (2)
chieftainyu
Автор поста оценил этот комментарий

Есть вариант - всегда хранили хэш только от первых четырех цифр, а остальные введенные просто не учитывали.

раскрыть ветку (1)
Аватар пользователя yeksyeks
Автор поста оценил этот комментарий

Такое тоже не исключено, более того подобные "технические решения" иногда встречаются :)

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку