Сообщество банковских клиентов
Друзья банка «Авангард»
Подписаться на идею
Аватар Илья Вильниц (Vvv_)
02.02.2011 01:31 #
Реализовано

Запретить вход в Интернет-банк по номеру карты и кодовому слову

На текущий момент в Интернет-банк можно войти по номеру любой выпущенной карты и кодовому слову к ней. Общепринятой практикой систем доступа является аннуляция временных(предыдущих) пар логин/пароль при генерации клиентом новых.
41

Комментарии 41

alif
#
Я бы сделал очень просто - вход не по кодовому слову, а по номеру карты и переменному коду с карточки. И волки сыты, и овцы целы.
alif
#
Подразумевается, что пользователь не пишет пин-код на карте и не носит карту доступа и кредитки в одном кошельке....
Vvv_
#
alif,

В чем сытость овец при таком подходе, я не понял. А вот безопасность уменьшится максимально возможным способом, если вместо пары постоянный/одноразовый останется только одноразовый пароль. Суть как раз в том, что постоянный логин/пароль на вход никто кроме автора (включая работающих и уволившихся сотрудников банка), знать не должен.
Mikel
#
вход не по кодовому слову, а по номеру карты и переменному коду с карточки

alif
Нет уж, этого точно делать нельзя! Никаких, кодов с карточки, при входе!
bugnut
#
Общепринятой практикой систем доступа является

Vvv_
С практикой понятно. А смысл-то в чём? Пояснили бы.
Вот то, что код с карточки переменных кодов на входе нельзя - это уже понятно на фоне ВТБ 24 (ЗАО), где мошенники таким оброзом выудили у некоторых клиентов по несколько кодов сначала, а ними и все деньги из интернет-банка.
А чем Вам данный способ входа не угодил, Vvv_? Без карты переменных кодов и/или сетификата вход в ИБ имеет чисто ознакомительный характер.
Вот протокол входов в ИБ показывать (ip и mac адреса) - другое дело!
Vvv_
#
А чем Вам данный способ входа не угодил, Vvv_?

bugnut


Чем мне не угодило то, что уйма нынешних и уже уволившихся сотрудников банка, а также неопределенный круг их знакомых, могут в любой момент времени с любого компьютера иметь доступ к моим финансовым данным ?! Да если бы я на форуме об этом не прочитал, мне бы никогда в голову не пришло, что так может быть устроено, что войдя первый раз по временному логину/паролю и сменив их, этот временный доступ продолжает действовать. Это моя конфиденциальная информация. По служебным обязанностям со служебных компьютеров у работников к ней, конечно же, есть доступ, но подобный доступ, я все же надеюсь, протоколируется. Доступ же с неслужебных компьютеров к информации о состоянии моих счетов должен быть только у меня!

P.s. Если абсолютно не боитесь распространять свою финансовую информацию, то как только у Вас на счете окажутся значительные деньги напишите об этом объявление на своем подъезде, там же укажите, что ключи к деньгам лежат в такой-то квартире. Только не удивляйтесь, если однажды на подходе к этой самой квартире Вас будут поджидать добрые дядечки и вежливо попросят поделиться.
alekseybed
#
Только нужно предложить способ восстановления пароля.
Самый безопасный - "ножками" в отделение. Его, по желанию клиента, можно делать единственным.
Есть предложение высылать временные логин/пароль в СМС на выбранный заранее номер телефона. Инициация этого процесса - или какая-нибудь кнопка в разделе "Забыли пароль?" (например, по номеру карты/счета) или по звонку в колл-центр.
bugnut
#
Конечно, если у тебя мания преследования, то это вовсе не гарантия того, что за тобой не следят ("уйма нынешних и уже уволившихся сотрудников банка, а также неопределенный круг их знакомых").
Но лучше обратиться к специалисту по полиморфным психическим расстройствам и попытаться облегчить свое существование.
Vvv_, не подумайте, я не про Вас, а в общем, гипотетически. smile;)
Vvv_
#
bugnut,

Вот поэтому я и не распинался в описании идеи. Решил, что у кого с воображением хорошо сам поймет угрозы, исходящие от имеющейся дыры с возможной утечкой финансовой информации, а прочих лучше не пугать, нечего специалистам работу подкидывать и создавать мне очереди smile;)
Zmei Gorinich
#
поддерживаю. Кодовое слово приходится называть по телефону при каждом звонке в банк. И не всегда можно быть уверенным в безопасности такого "называния".
АлексСпб
#
После долгих раздумий решил - VVV_ абсолютно прав.

А учитывая, то часто кодовое слово это девичья фамилия матери, прав втройне.
rdc
#
+1 к мнению Vvv_
bugnut
#
А учитывая, то часто кодовое слово это девичья фамилия матери, прав втройне.

АлексСпб


Кто ж Вас заставляет такое простое кодовое слово устанавливать? Этой информацией кто только не владеет, особенно разные официальные лица (управдомы, военкоматы и проч.). И все знают, что в банках именно это слово требуется по умолчанию. Меняйте, пока не поздно! ))
АлексСпб
#
#14 bugnut

Большое спасибо за заботу - тронут, приятно.

Но я имел ввиду не себя, а то что Вы написали -
И все знают, что в банках именно это слово требуется по умолчанию


Докладываю любопытную информацию:
- вы можете войти в свой Инет-банк по любому номеру/слову карты.
- у вас может быть сколько угодно логинов и паролей, но не больше числа карт у вас. Например 5 разных логинов и 5 разных паролей.
Пароль от одной пары не подходит к логину от другой smile:D
- вы всегда попадаете в свой Инет-банк - он один на клиента, независимо от числа и вида карт, паролей и логинов.

Таким образом у нас всех есть масса возможностей играть со входами в ИБ когда скучно smile:D

ЗЫ.
Такого изобилия "ключей" от Инет-банка я даже не ожидал. smile:o
Это уже из разряда анекдотов.
АлексСпб
#
Vvv_,

мое Вам персональное спасибо за идею.

Мне и в голову не могло придти, что к моему Инет-банку может существовать 10 разных паролей о которых я даже и не догадываюсь.

smile:o smile:D smile:evil: smile:D smile:wall: smile:o smile:o smile:o
trytrytry
#
Я эту проблему поднимал на форуме, скорее всего Vvv_ в этот момент и узнал о возможности такого доступа.

Проблема здесь не только в том, что злоумышленник сможет посмотреть все остатки и движения средств (например, то что каждое начало месяца клиент кладёт ЗП на счёт в одном и том же отделении примерно в одно и то же время; всех контрагентов; переводы на свои счета в других банках*).

У меня есть привычка ставить сложные пароли - я их хорошо запоминаю. Сразу после оформления карточки я с большой радостью установил себе 12 символьный пароль из цифр, букв разного регистра и спец. символов... а потом банк мне молча и открыто показал этот сложный неломаемый 12 символьный пароль при вводе номера карты и кодового слова. Слава богу, что а) у меня во всех банках (да и на других ресурсах) стоят разные пароли; б) во всех банках разные кодовые слова. Но не все так дисциплинированы. Если вдруг бывший сотрудник захочет поиграть с законом и зайти в мой ИБ в Авангарде, то, во-первых, я об этом даже не узнаю - при восстановлении пароля не генерируется новый пароль, а просто показывается текущий; во-вторых, знание пароля от ИБ в Авангарде может помочь совершить в том числе финансовые операции от имени данного человека. Если человек более беспечен, чем я, то такой же пароль у него может стоять на почте, на кошельке в ЭПС (номер кошелька будет в истории операций в ИБ Авангарда), на ИБ в других банках и т. д. Самое безобидное - это вконтактик и одноклассники. smile:)

Если это параноя, то прошу Авангард защитить от неё. Иначе - прошу повысить безопасность, убрав возможность восстановления пароля по номеру карты и кодовому слову.
trytrytry
#
+ Соц. инженерию никто не отменял, а из ИБ Авангарда о человеке можно узнать очень многое.
A_1
#
Кто ж Вас заставляет такое простое кодовое слово устанавливать?
bugnut
А у меня кодовые слова имеют исключительно неоднозначный спеллинг.
Таким образом у нас всех есть масса возможностей играть со входами в ИБ когда скучно
АлексСпб
Убил час, чтобы зайти так в свой интернет банк. Ни одно кодовое слово так и не угадал...

Но причины не закрывать эту дыру не вижу.
Можно в документах на интернет-банк ввести галочку - заблокировать доступ по номерам карт после первого входа.
И предупредить, что восстановление пароля в этом случае возможно лишь через личный визит в офис.
В ближайшее время будет реализована отправка СМС по любому входу в Интернет-Банк. Таким образом, все входы в ИБ будут под контролем клиента.
Vvv_
#
Представитель Банка,

Знать это хорошо.

Не знаю, предусматривает ли здешний формат дискуссию, но мне не ясен один момент. Если я с помощью смс узнаю, что кто-либо кроме меня входит в ИБ, то как мне этому в дальнейшем восприпятствовать при текущей системе. Менять кодовое слово, мягко говоря, не хотелось бы, да это может и не решить проблему.
rdc
#
Кстати, тогда назревает ещё и необходимость информирования, по какому именно логину вошли.
Чтобы знать, что менять - собственный пароль или кодовое слово.
АлексСпб
#
В ближайшее время будет реализована отправка СМС по любому входу в Интернет-Банк.

Это очень хорошо.

Таким образом, все входы в ИБ будут под контролем клиента.

А вот с этим не соглашусь.
1. СМС может и не придти.
2. Контроль будет постфактум - это означает, что злоумышленник по крайней мере информацию все равно получил.
3. Непонятно, что делать с этой СМС и вообще как поступить в таком случае.

- Блокировать и перевыспускать все карты?
- Банк в "ручном режиме" может закрыть вход по № конкретной карты?
.....
АлексСпб
#
В силу того, что я ни разу не слышал о реальной ситуации такого "взлома", то очень надеюсь, что наши обсуждения носят теоретический характер и страхи сильно преувеличены.
Vvv_
#
АлексСпб,

После ввода смс-инфо мы об этом очень быстро услышим. Правда, в подавляющем большинстве случаев окажется, что это входы в ИБ любопытных и всезнающих жен, мужей и отпрысков smile;)
АлексСпб
#
Правда, в подавляющем большинстве случаев окажется, что это входы в ИБ любопытных и всезнающих жен, мужей и отпрысков

Vvv_


"Эти" проблема держателя карты. Я их вообще не учитываю - от них защиты нет smile:)
Vvv_
#
"Эти" проблема держателя карты. Я их вообще не учитываю - от них защиты нет

АлексСпб


Э, нет. Если банк не подготовит решение закрытия множественных входов в ИБ к моменту ввода смс-инфо, то все, возможно, будет примерно как с анонсом новых тарифов Связного при отсутствии процедуры закрытия карты - шквал звонков в СКП и много возмущения здесь smile;)
АлексСпб
#
Если банк не подготовит решение закрытия множественных входов в ИБ к моменту ввода смс-инфо, то все, возможно

Vvv_


Драматизируете и излишне smile:)

Эта категория лиц при желании может не только в ИБ зайти. Она может и деньги из банкомата изьять. И даже будет знать с какой из n карточек это можно сделать.

Ну нет защиты от "инсайдера" - нет.
Vvv_
#
Эта категория лиц при желании может не только в ИБ зайти. Она может и деньги из банкомата изьять. И даже будет знать с какой из n карточек это можно сделать.

АлексСпб


Могут, но не делают, если им этого не положено, т.к. знают, что владелец карты тут же будет проинформирован смс-кой, а вот смс-инфо о банальном любопытствовании сюрпризом для обеих сторон станет smile;)
Pif
#
После ввода смс-инфо мы об этом очень быстро услышим. Правда, в подавляющем большинстве случаев окажется, что это входы в ИБ любопытных и всезнающих жен, мужей и отпрысков

Vvv_

А мне кажется, что это будут входы СКП. Но, как я думаю, банк сможет не рассылать СМС в этом случае, и мы ничего не узнаем.

Очень хорошо, что будет СМС-информирование о входе. И очень жаль, что так и не было пояснения, почему идея не принята именно в первоначальной постановке. Ну узнаю я, что входили в ИБ. Ну созвонюсь с банком. Ну выясним, что это действительно левый вход. Пароль и логин я поменяю. Что дальше-то? А ничего, жди следующий вход. Пока номера карт не изменены - дырка осталась.
trytrytry
#
А мне кажется, что это будут входы СКП. Но, как я думаю, банк сможет не рассылать СМС в этом случае, и мы ничего не узнаем.

Очень хорошо, что будет СМС-информирование о входе. И очень жаль, что так и не было пояснения, почему идея не принята именно в первоначальной постановке. Ну узнаю я, что входили в ИБ. Ну созвонюсь с банком. Ну выясним, что это действительно левый вход. Пароль и логин я поменяю. Что дальше-то? А ничего, жди следующий вход. Пока номера карт не изменены - дырка осталась.

Pif

Именно так.

Даже если о любой попытке ВОССТАНОВИТЬ пароль по номеру карты будет приходить СМС (я так понимаю, этого планируемый СМС-инфо не предусматривает?), это позволит только узнать, что кто-то пытается войти в ИБ, но помешать этому кому-то никак не получится - разве только прийти в офис и отказаться от ИБ вообще, что абсурдно.

ПБ, не могли бы объяснить, почему банк так рьяно не хочет реализовать хотя бы опциональную возможность отказа от восстановления пароля по номеру карты? Боятся, что много людей откажутся, а потом возрастет нагрузка на офисы и коллцентр? Или почему? Я не могу даже придумать ни одной веской причины, почему бы не дать клиентам эту маленькую опциональную возможность, если они просят.
trytrytry
#
И еще меня с самого начала дискуссии интересует смежный вопрос.

При восстановлении пароля по номеру карты показывается старый пароль, а не генерируется новый. Это однозначно указывает на то, что пароль хранится в лучшем случае обратимо зашифрованным (слава богу если с солью), в худшем случае - в открытом виде, тогда как мировой стандарт хранения паролей - необратимое шифрование (хэширование).

Почему так? Есть ли на это объективные причины?
Объективные причины на генерацию нового пароля при восстановлении и на хранение пароля методом необратимого шифрования у мирового сообщества разработчиков ПО есть.
Pif
#
Я не могу даже придумать ни одной веской причины

trytrytry

А я могу smile:) Например, СКП этим пользуется, чтобы при звонках клиентов квалифицированно отвечать на вопросы smile:) Да, я параноик !!! smile:evil: smile:oops:
trytrytry
#
А я могу Например, СКП этим пользуется, чтобы при звонках клиентов квалифицированно отвечать на вопросы Да, я параноик !!!
Pif

Я эту причину отмел как абсурдную. smile:) В моём понимании банк, который в некоторых областях чуть ли не передовой (для нашей страны), не может так косячить.
ProstoFilia
#
В силу того, что я ни разу не слышал о реальной ситуации такого "взлома", то очень надеюсь, что наши обсуждения носят теоретический характер и страхи сильно преувеличены.

АлексСпб


Когда услышим,то будет поздно рвать на себе волосы,мошенники тоже ,наверное, совершенствуют свои технологии. Одна надежда,что они эту ветку не читают smile:|
munkustrap
#
А почему "отклонено" то?
1154
#

<p>В силу того, что я ни разу не слышал о реальной ситуации такого "взлома", то очень надеюсь, что наши обсуждения носят теоретический характер и страхи сильно преувеличены.
<br>
<br>АлексСпб</p>
<p>
<br>
<br>Когда услышим,то будет поздно рвать на себе волосы,мошенники тоже ,наверное, совершенствуют свои технологии. Одна надежда,что они эту ветку не читают [img]/bitrix/images/forum/smile/bl.gif" alt="smile:[/img]</p>

null

+1
euga11
#
Очень странно, что такие серьёзные вопросы с безопасностью не вызывают интереса у представителей банка, кроме "отклонено".
Пользователи выше указали на ряд проблем в текущей реализации:

1. Хранение и показ паролей: банк не должен хранить пароль пользователя в открытом виде, только его хэш (с солью smile:) ). Это правило безопасности действует даже на самых примитивных форумах, странно, что банк им пренебрегает. Ни одна уважающая себя онлайн-система никогда не показывает забытый пароль, только позволяет его сбросить на новый. Если банку не хочется, чтобы постоянно звонили в колл-центр, пусть новый пароль приходит в виде СМС.

2. "СМС по факту" никак не спасает: если бы по СМС приходил разовый пароль (как у "Русского стандарта", а теперь и у "Ситибанка"), без которого операции онлайн были бы ограничены или запрещены, то это было бы оправданно. А так, любой может, зная номер карты (а его можно нередко увидеть даже на обычном чеке: например, некоторые терминалы Сбербанка печатают его целиком) и "девичью фамилию" (её можно узнать из "вконтакте" или любым аналогичным способом) войти в интернет-банк и увидеть пароль. Причём, подбирать пароль можно достаточно долго, его знают (могут знать) практически все сотрудники банка и т.д.
rdc
#
Зная номер карты и "девичью фамилию", можно и так войти в ИБ, даже если бы пароль при этом не показывался smile:D
И то, что злодеи увидят пароль, опасно только для тех, кто использует этот пароль ещё на каких-либо ресурсах.
LogicDaemon
#
ПБ, не могли бы объяснить, почему банк так рьяно не хочет реализовать хотя бы опциональную возможность отказа от восстановления пароля по номеру карты? Боятся, что много людей откажутся, а потом возрастет нагрузка на офисы и коллцентр? Или почему? Я не могу даже придумать ни одной веской причины, почему бы не дать клиентам эту маленькую опциональную возможность, если они просят.


У меня есть одно подозрение на грани (или за гранью) абсурдности.

Возможно, IT-шники и безопасники в банке – разные группы людей, слабо связанные. И поскольку «проблемы индейцев шерифа не волнуют», безопасники устанавливают правила, которые не дают нормально работать IT-шникам, и IT-шникам эти правила приходится обходить, создавая лазейки, которые не противоречат правилам безопасников.

Например, может быть у них в инструкции по ИБ указано, что сотрудники банка не могут просматривать операции клиентов под своей учётной записью.
Значит, чтобы сделать поддержке возможность просмотра операций клиентов, поддержка должна заходить, используя номер карточки и пароль клиента.
Поэтому пароли и не зашифрованы (а на этот счёт в инструкции по ИБ ничего нет).


Вообще-то это не самое странное/страшное, или как минимум не единственное очень странное.
Дело в том, что у банка есть закрытые ключи клиента. Таким образом банк от имени клиента может подписывать документы ЭЦП, и соответственно эти закрытые ключи тоже могут утечь (из банка).
Даже после перегенерации ключевой пары необходимо в банк отнести и открытый, и закрытый ключ. Да, это противоречит всей концепции криптосистемы с открытым ключом, но так работает Авангард.
VEI
#
14.12.2012 в 10:36 статус идеи изменен с «Отклонено» на «Реализовано»
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.