ВТБ Бизнес-онлайн или безопасники курят бамбук⁠⁠

Да особо ни какой, если хакнули комп в сети, то стянут этот файл и по тихому взломают файлы, пам ещё и файлик поди с названием "!Важно пароль от втб".

Видимо Вы не особо изучали функционал современных криптоблокнотов. Кроме того, что файл зашифрован взломостойким алгоритмом, так он еще и привязан к произвольной аппаратной части компьютера или токену, и его похищение становится абсолютно бессмысленным.

Посадите бухгалтеров не в клиентской зоне, а в отдельном помещение спиной к стене.

Была бы такая возможность так бы наверное и поступили бы, но реальность нас немного корректирует. Да и что такое бухгалтерия Вы тоже себе слабо представляете.

А у вашей конторы хватит денег на обеспечение бухгалтеров, сидящих в клиентской зоне, девайсами способными считывать телепатические пароли?

Вы же понимаете что это была ирония?

Не вводи пароль когда за спиной стоит человек.

Бди! Постоянно оборачивайся и проверяй! Закрой шторы и запри кабинет на замок!

Не пользуйся экранной клавиатурой.

Не очень то и хотелось, но логика по прежнему вышла из чата.

Вообще хранение паролей в блокнотах ну такое себе, это мб даже хуже листика на компе.

Не просто в блокноте, а в криптоблокноте. Это огромная разница.

Почему безопасность должна быть подстроена под куриц неспособных запомнить слово из 8 символов и иногда при вводе слова нажимать шифт+цифра?

Потому что это их основная аудитория.

Но если следовать вашей логикой, то сделали бы уже тогда ввод пароля телепатически, а всем недовольным сказать:

"Почему безопасность должна быть подстроена под куриц неспособных вводить пароль телепатически?"

Да, это несложный(но не простой) пароль и его таки запомнили, его небольшая сложность скомпенсирована вышеупомянутыми функционалом.

Да, блокнот можно не закрывать, хотя предписано обратное.

Стоит блокировка экрана по бездействию.

Считаю это наименьшим злом.

Вернемся к ВТБ что с ними не так? Почему копипаста пароля в других банках не вызывает проблем?

И вот ок криптоблокнот, он защищен паролем, где хранится этот пароль и какого он вида?

Пароль + привязка к токену. Т.е. что бы открыть файл нужно подключить токен и ввести пароль.

Есть еще защита "привязка к оборудованию", т.е. на другом компьютере открыть не получится даже при наличии токена и знании пароля.

Давайте у вас же поменяем криптоблокнот на блокнот

А карету на тыкву.

Криптоблокнот мной упоминается мной не просто так, а как практический выход(хоть и не полный) из проблемы хранения паролей.

Вы серьезно думаете кто то из бухгалтерии будет заучивать взломостойкий пароль наизусть? Им через два-три года на пенсию. А раз не запомнят то запишут и запишут на самом видном месте — это точно повысит безопасность.

уберите это из массового кейса. добавим сюда удалённую работу с разных машин, а возможно и разные терминалы и тп.

Не вижу в этом проблемы, давно есть мультиплатформенные решения, даже бесплатные или с открытым исходным кодом.

И я прекрасно осознаю, что предложенное мной решение не панацея а лишь компромисс, но это рабочий компромисс.

И да, мы отошли далеко от темы почему ВТБ запретил копипасту пароля, хотя в других банках в этом не видят проблемы и там копипаста работает.

Безопаснее когда система просит ввода пароля руками или когда его можно вставить и хранить где угодно?

Безопаснее всего когда его никто не знает, даже тот кто его вводит. Потому как главной проблемой всех утечек является человеческий фактор.

В идеале это должен быть крипто-токен с авторизацией по отпечатку, и уже потом выполнять вход и подписывать документы по токену, и никаких логинов и паролей.

Логины и пароли существуют уже не один десяток лет и всем уже давно известны все их недостатки, всем кроме ВТБ. А именно проблемы запоминания, удобства ввода, и безопасности. Для паролей эти условия как лебедь рак и щука, и этого никто учитывать даже не собирался.

Безопаснее когда есть автовыход при бездействие или когда можно оставить банкинг на сколько угодно времени?

Думаю самым лучшим способом при бездействии будет появление окна с предупреждением о бездействии, и уже потом при отсутствии реакции на него делать выход. Или таймер бездействия в углу экрана со звуковым сигналом.

Вот теперь бухгалтер, тетенька почтенного возраста, будет сидеть и набирать эти пароли. И она очень этому рада (нет).

Сейчас вместо ответа на мой вопрос ответили на какой то условный вопрос с описанием минусов паролей

Потому как оба предложенных Вами варианта не очень корректны.

Перефразирую их по своему:

Что будет удобнее\безопаснее?

1) вводить по памяти критостойкий пароль из 12 знаков включая специальные символы без возможности его контроля посредством бухгалтера предпенсионного возраста.

2) скопировать вставить этот пароль из криптоблокнота тем же бухгалтером.

Что скажете?

А ответил я выше так потому что проблема вроде известная всем, всем кроме ВТБ.

Токен то есть, но вход у них по логину-паролю. Токен только для подписи.

Ну если это очень их беспокоило можно же было просто очищать буфер после ввода.