ВТБ Бизнес-онлайн или безопасники курят бамбук⁠⁠

Очередной акт дефекации от безопасников ВТБ:

В связи с обновлением платформы всех клиентов принудительно перевели на новый сайт обслуживания vtbbo.ru, и теперь пароль для входа там всегда нужно вводить в ручную.

То есть копировать\вставить (ctrl+c\ctrl+v) не работает.

На мой вопрос в службу поддержки "зачем это?" мне ответили, что это новые требования службы безопасности банка, и с этим ничего уже сделать нельзя.

Но это еще не все. Вместе с функцией запрета вставки пароля в поле пароля появилась экранная клавиатура:

ВТБ Бизнес-онлайн или безопасники курят бамбук Банк ВТБ, Обслуживание, Безопасность

Поняли, да? То есть теперь пароль можно вводить так, что бы стоящий за спиной человек наверняка его увидел. Отличное решение для повышения безопасности!

Вот так, а вместе с запретом на копирование\вставку пароля, безопасность ВТБ теперь находится на непостижимом уровне (нет).

Так и хочется им сказать "Вы или крестик снимите или трусы наденьте".

И пользуясь случаем хотел бы передать привет тому гению кто это придумал и тому кто это утвердил, так как теперь бумажки с паролями будут висеть на очень многих мониторах.

Да ё-моё, я только только приучил бухгалтерию работать с криптоблокнотом, и криптостойкими паролями, а теперь опять будет "да здравствует пароль 1234"...

В общем как мне сказали в бухгалтерии — "что б они обосрались и воды рядом не было."

Вы смотрите срез комментариев. Показать все

Exlibris

1 год назад

То есть теперь пароль можно вводить так, что бы стоящий за спиной человек наверняка его увидел.

Не вводи пароль когда за спиной стоит человек.

появилась экранная клавиатура

Не пользуйся экранной клавиатурой.

То есть копировать\вставить (ctrl+c\ctrl+v) не работает.

Вообще хранение паролей в блокнотах ну такое себе, это мб даже хуже листика на компе.

---

Экранная клавиатура случаем не для планшетов завезена?

---

В общем введение нормального пароля при входе и авторазлогинивание это не плохо.
Почему безопасность должна быть подстроена под куриц неспособных запомнить слово из 8 символов и иногда при вводе слова нажимать шифт+цифра?

раскрыть ветку (14)

xN0D

1 год назад

Не вводи пароль когда за спиной стоит человек.

Бди! Постоянно оборачивайся и проверяй! Закрой шторы и запри кабинет на замок!

Не пользуйся экранной клавиатурой.

Не очень то и хотелось, но логика по прежнему вышла из чата.

Вообще хранение паролей в блокнотах ну такое себе, это мб даже хуже листика на компе.

Не просто в блокноте, а в криптоблокноте. Это огромная разница.

Почему безопасность должна быть подстроена под куриц неспособных запомнить слово из 8 символов и иногда при вводе слова нажимать шифт+цифра?

Потому что это их основная аудитория.

Но если следовать вашей логикой, то сделали бы уже тогда ввод пароля телепатически, а всем недовольным сказать:

"Почему безопасность должна быть подстроена под куриц неспособных вводить пароль телепатически?"

раскрыть ветку (13)

Exlibris

1 год назад

Бди! Постоянно оборачивайся и проверяй! Закрой шторы и запри кабинет на замок!

А у вас там постоянно за спиной злоумышленники стоят? Посадите бухгалтеров не в клиентской зоне, а в отдельном помещение спиной к стене.

Те же банковские терминалы, когда вводят пинкоды на глазах у очереди прям на 50" экране, или ввод пинкода на терминалах в магазине. Вы же всегда курткой накрываетесь в этот момент?

Не очень то и хотелось, но логика по прежнему вышла из чата.

я выше дописал про планшеты. Вполне возможный сценарий когда дефолтная клавиатура не открылась.

Не просто в блокноте, а в криптоблокноте. Это огромная разница.

Да особо ни какой, если хакнули комп в сети, то стянут этот файл и по тихому взломают файлы, там ещё и файлик поди с названием "!Важно пароль от втб".

Но если следовать вашей логикой

Мне кажется вы мою логику своей подменили. Моя логика в том что они пытаются ликвидировать слабые места. И если ранее люди могли хранить пароль в блокнотике и копипастить его, при этом оставляя терминал не заблоченным, то теперь это устранено. Вот вы приучили в криптоблокноте хранить пароль, а кто-то не приучил. Почему должны за эталон брать именно вашу ситуацию? То что вам и вашим бухгалтерам стало неудобно, это не значит что системе от этого хуже, я чёт уверен если там сделают вход с виндовс авторизацией ваши бухгалтеры будут вообще визжать от восторга.

Но если следовать вашей логикой, то сделали бы уже тогда ввод пароля телепатически

А у вашей конторы хватит денег на обеспечение бухгалтеров, сидящих в клиентской зоне, девайсами способными считывать телепатические пароли? Это уже есть, гуглить "нейроинтерфейс".

раскрыть ветку (12)

xN0D

1 год назад

Да особо ни какой, если хакнули комп в сети, то стянут этот файл и по тихому взломают файлы, пам ещё и файлик поди с названием "!Важно пароль от втб".

Видимо Вы не особо изучали функционал современных криптоблокнотов. Кроме того, что файл зашифрован взломостойким алгоритмом, так он еще и привязан к произвольной аппаратной части компьютера или токену, и его похищение становится абсолютно бессмысленным.

Посадите бухгалтеров не в клиентской зоне, а в отдельном помещение спиной к стене.

Была бы такая возможность так бы наверное и поступили бы, но реальность нас немного корректирует. Да и что такое бухгалтерия Вы тоже себе слабо представляете.

А у вашей конторы хватит денег на обеспечение бухгалтеров, сидящих в клиентской зоне, девайсами способными считывать телепатические пароли?

Вы же понимаете что это была ирония?

раскрыть ветку (11)

Exlibris

1 год назад

Была бы такая возможность так бы наверное и поступили бы, но реальность нас немного корректирует. Да и что такое бухгалтерия Вы тоже себе слабо представляете.

опять проецируете на свои условия.

Вы же понимаете что это была ирония?

а вы?

----

Вот ответь на простые вопросы.

Безопаснее когда система просит ввода пароля руками или когда его можно вставить и хранить где угодно?

Безопаснее когда есть автовыход при бездействие или когда можно оставить банкинг на сколько угодно времени?

раскрыть ветку (10)

xN0D

1 год назад

Безопаснее когда система просит ввода пароля руками или когда его можно вставить и хранить где угодно?

Безопаснее всего когда его никто не знает, даже тот кто его вводит. Потому как главной проблемой всех утечек является человеческий фактор.

В идеале это должен быть крипто-токен с авторизацией по отпечатку, и уже потом выполнять вход и подписывать документы по токену, и никаких логинов и паролей.

Логины и пароли существуют уже не один десяток лет и всем уже давно известны все их недостатки, всем кроме ВТБ. А именно проблемы запоминания, удобства ввода, и безопасности. Для паролей эти условия как лебедь рак и щука, и этого никто учитывать даже не собирался.

Безопаснее когда есть автовыход при бездействие или когда можно оставить банкинг на сколько угодно времени?

Думаю самым лучшим способом при бездействии будет появление окна с предупреждением о бездействии, и уже потом при отсутствии реакции на него делать выход. Или таймер бездействия в углу экрана со звуковым сигналом.

раскрыть ветку (9)

Exlibris

1 год назад

Сейчас вместо ответа на мой вопрос ответили на какой то условный вопрос с описанием минусов паролей, так всё же?)

Так, и насколько эта система будет реально удобнее? Вот уверен начнутся разговоры о том что слишком рано появляется и слишком мало времени на реакцию дают, а звуковой сигнал не тот и вообще бесит остальных)

раскрыть ветку (8)

xN0D

1 год назад

Сейчас вместо ответа на мой вопрос ответили на какой то условный вопрос с описанием минусов паролей

Потому как оба предложенных Вами варианта не очень корректны.

Перефразирую их по своему:

Что будет удобнее\безопаснее?

1) вводить по памяти критостойкий пароль из 12 знаков включая специальные символы без возможности его контроля посредством бухгалтера предпенсионного возраста.

2) скопировать вставить этот пароль из криптоблокнота тем же бухгалтером.

Что скажете?

А ответил я выше так потому что проблема вроде известная всем, всем кроме ВТБ.

раскрыть ветку (7)

Exlibris

1 год назад

Вы подтасовываете, везде криптоблокнот, токены и тп., уберите это из массового кейса. добавим сюда удалённую работу с разных машин, а возможно и разные терминалы и тп. Давайте у вас же поменяем криптоблокнот на блокнот и вы сами ответите на ваш вопрос.

раскрыть ветку (6)

xN0D

1 год назад

Давайте у вас же поменяем криптоблокнот на блокнот

А карету на тыкву.

Криптоблокнот мной упоминается мной не просто так, а как практический выход(хоть и не полный) из проблемы хранения паролей.

Вы серьезно думаете кто то из бухгалтерии будет заучивать взломостойкий пароль наизусть? Им через два-три года на пенсию. А раз не запомнят то запишут и запишут на самом видном месте — это точно повысит безопасность.

уберите это из массового кейса. добавим сюда удалённую работу с разных машин, а возможно и разные терминалы и тп.

Не вижу в этом проблемы, давно есть мультиплатформенные решения, даже бесплатные или с открытым исходным кодом.

И я прекрасно осознаю, что предложенное мной решение не панацея а лишь компромисс, но это рабочий компромисс.

И да, мы отошли далеко от темы почему ВТБ запретил копипасту пароля, хотя в других банках в этом не видят проблемы и там копипаста работает.

раскрыть ветку (5)

Exlibris

1 год назад

Криптоблокнот мной упоминается мной не просто так, а как практический выход(хоть и не полный) из проблемы хранения паролей.

Выход для престарелой бухгалтерии досижевыющий до пенсии и не способной запомнить 12 символов?) Нууу да, безопасность обязана ровняться на таких пользователей)) Там же школа, универ, и после получения диплома сразу получается престарелый бухгалтер лет 62х.

А что б не оставляли пароли на видном месте за такое надо дрюкать) несколько штрафов быстро восстанавливают память, при этом пускай носят у себя в бумажнике и пт, главное что б не на столе лежал.

И вот ок криптоблокнот, он защищен паролем, где хранится этот пароль и какого он вида?) Про пароль для учётки спрашивать не буду, я понял что он на стикере к монитору приклеен.

раскрыть ветку (4)

xN0D

1 год назад

И вот ок криптоблокнот, он защищен паролем, где хранится этот пароль и какого он вида?

Пароль + привязка к токену. Т.е. что бы открыть файл нужно подключить токен и ввести пароль.

Есть еще защита "привязка к оборудованию", т.е. на другом компьютере открыть не получится даже при наличии токена и знании пароля.

раскрыть ветку (3)

Exlibris

1 год назад

нужно подключить токен и ввести пароль

Этот пароль где, где записан этот "qwerty123"?) При этом я так понимаю что криптоблокнот, для удобства копирования можно и не закрывать

раскрыть ветку (2)

xN0D

1 год назад

Да, это несложный(но не простой) пароль и его таки запомнили, его небольшая сложность скомпенсирована вышеупомянутыми функционалом.

Да, блокнот можно не закрывать, хотя предписано обратное.

Стоит блокировка экрана по бездействию.

Считаю это наименьшим злом.

Вернемся к ВТБ что с ними не так? Почему копипаста пароля в других банках не вызывает проблем?

раскрыть ветку (1)

Exlibris

1 год назад

и его таки запомнили

Да не возможно, это бабки! Ищи стикер!))

Да, блокнот можно не закрывать, хотя предписано обратное.

Ну вот и ушёл пароль)

Стоит блокировка экрана по бездействию.

А перед этим уведомление и звуковой сигнал есть? Службу в винде то прописать не сложно)

Вернемся к ВТБ что с ними не так? Почему копипаста пароля в других банках не вызывает проблем?

Очень может быть другие тоже так сделают, всегда бывает кто-то первый.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку