Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Сбербанк хранит код CVC2/CVV2, а не его хэш?

Проверено на Android (функционал в приложении доступен давно, но только сейчас обратил внимание). Открываем карту, нажимаем "Показать данные":

Сбербанк хранит код CVC2/CVV2, а не его хэш? Сбербанк, Безопасность, Длиннопост

"Показать CVC2/CVV2":

Сбербанк хранит код CVC2/CVV2, а не его хэш? Сбербанк, Безопасность, Длиннопост

И вместо трех точек видим код...

В web ни в старом, ни в новом интерфейсе функционала не нашел. Работает для Visa, MasterCard, Мир.

Мало того что саму карту не известно как хранят и доставляют в отделение тоже скорее всего без особой секьюрности, так еще и в отделении ее через весь офис могут нести так что любой заинтересованный с нее информацию может получить. А тут контрольный в голову...

Сбербанк Безопасность Длиннопост
47
Вы смотрите срез комментариев. Показать все
1
Аватар пользователя SantusSantus
Автор поста оценил этот комментарий

У них ещё и логин+пароль не зависят от регистра. Попробуй в онлайн зайди и вмесло LoGiN / pAsSwOrD набрать просто login /password - всё прокатит. И все ещё хотят пользоваться сбербанком после этого? Даже если это не хранение логина/пароля в чистом виде, а просто хэширование в лоуэркэйс - это же всё равно полнейший пиздец - вместо единственно верной связки мы получаем тысячи и тысячи равнозначных вариантов, даже до такого абсурда, что у кого-нибудь они вообще могут совпасть.

раскрыть ветку (11)
4
DobroMax1
Автор поста оценил этот комментарий

Да не, это нормальная практика. Техподдержку разгружают от бабок, нажавших капс лок.

раскрыть ветку (2)
Аватар пользователя SantusSantus
Автор поста оценил этот комментарий

Это может и нормальная практика для какого-нибдуь забытого в 2000ых форума, на котором сейчас три калеки пасётся, но никак не для банка.

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Хуйню несешь. Про регистр написано в правилах создания пароля, не читал - сам виноват. На безопасность же это никак не влияет.

Аватар пользователя r257r257
Автор поста оценил этот комментарий

Да достаточно потерять телефон с подключенным мобильным банком. Потом злоумышленник может выяснить номер карты и запросить новый логин, далее пароль и привет всему баблу на всех счетах и вкладах.

раскрыть ветку (7)
3
Аватар пользователя SantusSantus
Автор поста оценил этот комментарий

Так надо настраивать безопасность на телефоне, чтоб любой прохожий не мог его разблокировать, звонить с него и читать СМСки.

раскрыть ветку (2)
2
Аватар пользователя zoom100zoom100
Автор поста оценил этот комментарий
Надо тогда еще пароль от телефона хранить на бумажке в чехле
sir0ta
Автор поста оценил этот комментарий

В конкретном случае вопрос не в этом. Грубо говоря чисто теоретически из хэша получить пароль не возможно, ибо функция односторонняя. Т.е. нет алгоритма позволяющего взять хэш и получить пароль. Можно зная алгоритм перебирать по очереди пароли чтобы получить такой же кэш. и как бы обычно разработчики не афишируют этими алгоритмами. В данном случае есть 3 варианта:
1. Либо алгоритм вот он открыт в самом приложении и просто происходит перебор в приложении и сервер отвечает что хэш совпал;
2. Перебор происходит на сервере и в приложение прилетает код (это очень не надежно);

3. Сбер хранит код в виде в котором он на карте...

Аватар пользователя Phenomenon.FoxPhenomenon.Fox
Автор поста оценил этот комментарий
Для этого надо а) суметь обойти блокировку телефона. б) знать логин-пароль от приложения банка.
раскрыть ветку (3)
Аватар пользователя r257r257
Автор поста оценил этот комментарий

а - блокировка не у всех стоит

б - приложение вообще не нужно чтоб получить новый логин пароль. только номер карты.

раскрыть ветку (2)
2
Аватар пользователя Phenomenon.FoxPhenomenon.Fox
Автор поста оценил этот комментарий
Как он посмотрит номер карты в приложении без приложения?
sir0ta
Автор поста оценил этот комментарий

Номер карты есть в приложении.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку