Пишу, по большей части, про историю, свою жизнь и немного про программирование.

Смените это немедленно!

«Альфа-банк» заставляет меня через какой-то срок менять пароли к банку. Я этого делать не хочу. Мне совершенно не нравится запоминать новый пароль, у меня их и так туча, я совершенно не разделяю мнение, что регулярная смена пароля решает какую-то проблему безопасности.

Ещё банк помнит последние несколько паролей, так что менять два пароля по кругу тоже не получается.

Меня не устраивает метод, которым пользуются некоторые ребята — менять в конце пароля цифру. Я уже пару раз запутывался. Кстати, когдя я работал в «Яндексе», там тоже действовала похожая схема с регулярной схемой и запоминанием пароля.

В веб-клиентах банков я пользуюсь одним и тем же трюком (кстати, в «Яндексе» я тоже его применял). Когда приходит время менять пароль, я его меняю. Потом звоню в техподдержку и говорю — ребята, я пароль забыл, мне жутко неудобно, сбросьте мне его, пожалуйста. Пароль сбрасывают (с ним почему-то всегда сбрасывается и история паролей), я ставлю прежний пароль, все довольны.

Банк меня «защитил», я пользуюсь тем же паролем.

Интересно, что все три веб-клиента банка, которыми я пользовался, не позволяли сделать с моей карточкой ничего серьёзного, используя только пароль на вход.

Максимум — посмотреть на что я трачу деньги. «Альфа» присылает мне одноразовый пароль платежа через СМС, «Райффайзен» разрешал платить только с использованием клиентского сертификата, «Ак барс» просит ввести одноразовый циферный код со специальной карточки.

Я выше писал, что банки сбрасывают мне пароль при обращении в техподдержку. Как же они узнают что я это я?

Самое смешное, что любые банки определяют мою личность по телефону, по данным, которые легко узнать в интернете, плюс некое ключевое слово, которое, внимание, никогда не меняется в отличие от пароля. Хотите меня ограбить? Узнайте ключевое слово, зачем вам пароль?

18 комментариев
nfrjtdjnbvz (nfrjtdjnbvz.livejournal.com) 2012

Хороший заголовок.

SunChaser (sunchaser.info) 2012

Интересно, что все три веб-клиента банка, которыми я пользовался, не позволяли сделать с моей карточкой ничего серьёзного, используя только пароль на вход.

строго говоря, альфа вообще ничего не позволяет. при входе же тоже смс-пароль

по теме да — overkill 100%

та же хрень в банке24

artuska 2012

«регулярная смена пароля решает какую-то проблему безопасности» — тоже бесит. Неужели в банках работают таки тупющие программисты? К тому же не дают в пароле использовать неалфавитные символы, только буквы да цифры. Учатся в университетах на всяких там специалистов по безопасности, но реально думают, что неалфавитные символы в пароле могут как-то взломать их систему. Откуда такие мудаки берутся?

Попрообую однажды попросить сбросить. Обычно же просто тупо меняю 3 раза пароль, а на 4-ый вписываю свой прежний.

andr.mp 2012

ну всё, теперь заставят и устный пароль регулярно менять :)

hayk 2012

Так в «Райффайзене» имея пароль можно войти в систему и сгенерить новый сертификат.

TATAPuH 2012

странно, за два года Альфа ни разу не попросила сменить пароль, возможно счётчик стоит не на время а на колличество логинов ? я логинюсь хорошо если раз в месяц

Suvit 2012

Комментарий для sunchaser.info:

В банке24 есть интернетбанк2 в котором не надо менять пароли и вводить каждый раз кодики

Евгений Степанищев (bolknote.ru) 2012

Комментарий для hayk:

Так в «Райффайзене» имея пароль можно войти в систему и сгенерить новый сертификат.

Разве для этого не нужно вводить ПИН, который не совпадает с паролем?

Евгений Степанищев (bolknote.ru) 2012

Комментарий для sunchaser.info:

строго говоря, альфа вообще ничего не позволяет. при входе же тоже смс-пароль

Я его отключил :) Это в настройках можно сделать.

SiMM 2012

Комментарий для artuska:

Неужели в банках работают таки тупющие программисты?

Складывается ощущение, что они НИКОГДА не пользуются своими продуктами.

Анатолий Буров 2012

Неужели в банках работают таки тупющие программисты?

Программисты-то тут причём!?

Orcinus Orca (www.orcinus.ru) 2012

Комментарий для Евгения Степанищева:

Спасибо за наводку, не знал, что СМС на вход можно отменить.

hayk 2012

Комментарий для Евгения Степанищева:

Разве для этого не нужно вводить ПИН, который не совпадает с паролем?

Да, действительно. Я почему-то был уверен что для этого достаточно иметь доступ в Коннект.

artuska 2012

Программисты-то тут причём!?

А кто, если не они?

radiognome (radiognome.livejournal.com) 2012

Самое смешное, что любые банки определяют мою личность по телефону, по данным, которые легко узнать в интернете, плюс некое ключевое слово, которое, внимание, никогда не меняется в отличие от пароля. Хотите меня ограбить? Узнайте ключевое слово, зачем вам пароль?

 
http://www.smbc-comics.com/comics/20120220.gif

Stac (stacmv.ya.ru) 2012

Неужели в банках работают таки тупющие программисты?

Просто там другой уровень ответственности у людей.
Это вам лень использовать программу типа Keepass и не страшно потерять свои деньги в случае взлома. Наверняка еще рассчитываете, что банк во всем разберется и деньги вернет.

Для банка все выглядит по-другому: ослабление политики безопасности может привести к массовым злоупотреблениям. Уж лучше пусть несколько блогеров позлословят.
Я тут на стороне банков.

artuska 2012

Комментарий для stacmv.ya.ru:

Мдяяя… вижу, вы, видимо, и есть тот программист из банка (вы поняли, что я имею ввиду).

Это вам лень использовать программу типа Keepass

Ну дак ведь наоборот — это сам банк препятствует её использованию, так как программка генерирует нормальные пароли, с всевозможными неалфавитными символами, а банк же разрешает использовать только ущербные пароли из букв и цифр. Ну не тупость?

может привести к массовым злоупотреблениям

Ну каким-таким злоупотреблениям? Не будут менять пароль каждые три месяца? Ну так наоборот хорошо. Вот я лично не могу каждые три месяца выдумывать новый пароль, я хочу пользоваться своим старым. Дак нет жеж, насильно заставляют. В результате человек (тетенька какая-нибудь) вообще записывает пароль на стикер и наклеивает на монитор, ибо ну не может ничего выдумать, ну нет у нее в запасе сложных ключевых слов.

Stac (stacmv.ya.ru) 2012

Комментарий для artuska:

а банк же разрешает использовать только ущербные пароли из букв и цифр. Ну не тупость?

Думаю, нет. Очевидно, пароли должны быть такими, чтобы их удобно было вводить или хотя бы просто можно было бы ввести с любого устройства.
Не знаю всех деталей, но на это же указывает переход с буквенных кодов подтверждения в sms на цифровые. Такие коды вводить на телефонах гораздо удобнее.
A KeePass может создать случайный пароль для вас с учетом требований банка — множество используемых символов и их количество в пароле настраивается.

...я хочу пользоваться своим старым ...
... человек (тетенька какая-нибудь) вообще записывает пароль на стикер и наклеивает на монитор ...

И я бы не отказался воспользоваться вашим старым паролем.
К счастью, его принудительная смена немного защищает вас ... если кто-то найдет ваш стикер с паролем в мусорке,возможно он уже окажется недействительным.
И кстати, запись пароля на бумажке это не проблема в цифровую безбумажную эпоху — торояны и прочие зловреды не имеют доступа к бумажкам на вашем столе.