МТС-Банк с головой поссорился⁠⁠2

Прошу прощения, но ПОЧЕМУ такой странный выбор - МТС !!! БАНК ???!!!!!!!

(тут уж без восклицательных знаков не обойтись)

Периодическая смена пароля - хорошая добавка к надёжности.

Я как разработчик подобных систем, пусть и не платежных просто в ахуе - небольшие онлайн системы делаются без хранения пароля и даже хеша на сервере, двухфакторная авторизация и кругом защита и проверка - а тут банк(!) шлет пароль для входа(!!) в ОТКРЫТОМ ВИДЕ(!!!!!111) по СМС БЛЯТЬ(!!!!адынсгорел нахуй)

Браво, дропнули, разослали. Теперь они хранятся в открытом виде не в БД системы, а в БД оператора связи полгода.

Т.е. вообще в сервисе третьих лиц xD

Когда-то писал бэк для одного немецкого банка, там разослать пароль по смс - вообще норм практика. Не раз замечал что у нас считается дикостью и прошлым веком - в Европе норма. В плане ИТ у нас всё гораздо быстрее внедряется.

А по сабжу, они могли отсылать, а потом хэшировать его. Другое дело, что хранят они его в md5(pass + salt), хотя мд5 давно уже перебирается радужными таблицами

ответ от банка был? чем закончилось?

Ну, тем более странно. нахуй такой банк. даже не поинтересоваться, почему это клиент внезапно закрывает счета и выводит деньги.

Базу спиздили, единственное что можно сделать, и молодцы если успели с минимальными потерями.

Не забудьте помимо карт счета закрыть. Иначе на абонентскую плату все равно попадёте... есть горький опыт.

В данном случае я не имел ввиду смену пароля самим банком. Это хуита какая-то несусветная со стороны безопасности, тем более с отправкой смс. Смс, блядь!

Изменять пароль должен только сам пользователь. Не важно, как организована причина смены - по желанию или принуждению.

По работе над было менять пароль каждые 2 месяца, когда моя фантазия иссякла, я начала играться с вариациями zaebaliSpar0lem

Я все понимаю, но зачем банки от операторов связи?

ВТБ забыли. Эти же скрепа!

Тоже работаете в этой АФК? Обычные люди про это не знают, только посвященные.

Банк не лез в пароли, была неисправность приложения. Через браузер всё работало.

При попытке зайти в приложение, появлялось сообщение о технических работах, и приходила смс со ссылкой на сайт банка, личный кабинет.

ТС пишет, что ему прислали пароль в смс, но это неправда. Хотя тогда плюсцов-бы не срубил.

Вот смс, которая пришла вчера

Первое

Не забывайте.Чтоб вы там себе не думали, у админа нет вашего пароля.
Его вообще, физически, нет в системе. Он нигде не записан. 
Айтишник, даже с самым полным-приполным доступом,

не может его посмотреть и оценить сложный он или нет. Может только заменить.

Второе

Ох. Как же часто наши мелкие обсрамсы принимают за заговоры, происки конкурентов, глобальные катастрофы. А часто даже вовсе и не обосрамсы

--- АйТишник.

Третье
Может и не ваш случай, но все же.
Не думайте что ваши Qwe123ewq, VjqGfhjkm34, BlbntYf[eq3 и даже "Cjhjrgmzys[j,tpmzyd;jgeceyekb,fyfy" (© "Глубина") - это очень редкие пароли

Ну вот, вы меня погрузили еще на 1 уровень глубже ))) Не знал.

Тогда поделюсь: я тоже в АФК, в корпорации, которая делает самолеты)))
"МТС делает самолеты!" Сейчас многие воспламенятся от этой информации.

Имхается, что мошенники, связанные с клерками сабжевого банка, в одной руке держали перевыпущенную сим-карту, к которой привязан МТС-Банк, а другой рукой отправляли код СМС. Чтобы сэмулировать, организовать "сбой сети" и получить код из СМС на доступную им сим-карту. Но ТС успел перехватить инициативу, зашёл в Интернет с другого канала, не МТС, и поменял пароль снова.

Нет , не был скомпрометирован. Сбой произошел, под дураков и закосили!

И в любом случае получается, что периодическая смена пароля (особенно принудительная) - путь к снижению безопасности. Особенно при наличии проверки "вы уже использовали данный пароль одним из 15 последних, придумайте ещё".

Может у них база утекла?

Если пароли шлются в СМС, то да.
Ну так при входе в таком случае обязывает сменить его при входе. Это такой же стандарт работы как и не хранить пароль.

В системе пароли просто не хранятся. Хранится результат некой операции над парой Логин-Пароль
т.е.
[Логин] (*) [Пароль] = [Результат]

В БД хранится Логин и Результат. Когда вы вводите в форму Логин и Пароль, их также "перемножают"(*), и полученный результат сравнивают с хранимым в БД.

Если совпало, все ок. Заходите

(*) - это такая операция для которой нет обратной.

Нельзя, условно говоря, Результят(/)Логин и получить [Пароль]

-
Зачем я описал еще раз то, что уже и так сотни раз изложено более грамотно и понятно, ХЗ. Простите что множу сущее.

Ну это нормально. Мелких сотовых часто поглощают. Тот же Теле2 давно уже Ростелеком.

и номер перенести из мтс