Rose debug info
---------------

Смените это немедленно!

«Альфа-банк» заставляет меня через какой-то срок менять пароли к банку. Я этого делать не хочу. Мне совершенно не нравится запоминать новый пароль, у меня их и так туча, я совершенно не разделяю мнение, что регулярная смена пароля решает какую-то проблему безопасности.

Ещё банк помнит последние несколько паролей, так что менять два пароля по кругу тоже не получается.

Меня не устраивает метод, которым пользуются некоторые ребята — менять в конце пароля цифру. Я уже пару раз запутывался. Кстати, когдя я работал в «Яндексе», там тоже действовала похожая схема с регулярной схемой и запоминанием пароля.

В веб-клиентах банков я пользуюсь одним и тем же трюком (кстати, в «Яндексе» я тоже его применял). Когда приходит время менять пароль, я его меняю. Потом звоню в техподдержку и говорю — ребята, я пароль забыл, мне жутко неудобно, сбросьте мне его, пожалуйста. Пароль сбрасывают (с ним почему-то всегда сбрасывается и история паролей), я ставлю прежний пароль, все довольны.

Банк меня «защитил», я пользуюсь тем же паролем.

Интересно, что все три веб-клиента банка, которыми я пользовался, не позволяли сделать с моей карточкой ничего серьёзного, используя только пароль на вход.

Максимум — посмотреть на что я трачу деньги. «Альфа» присылает мне одноразовый пароль платежа через СМС, «Райффайзен» разрешал платить только с использованием клиентского сертификата, «Ак барс» просит ввести одноразовый циферный код со специальной карточки.

Я выше писал, что банки сбрасывают мне пароль при обращении в техподдержку. Как же они узнают что я это я?

Самое смешное, что любые банки определяют мою личность по телефону, по данным, которые легко узнать в интернете, плюс некое ключевое слово, которое, внимание, никогда не меняется в отличие от пароля. Хотите меня ограбить? Узнайте ключевое слово, зачем вам пароль?

Поделиться
Отправить
 15   2012  
18 комментариев
nfrjtdjnbvz (nfrjtdjnbvz.livejournal.com) 2012

Хороший заголовок.

SunChaser (sunchaser.info) 2012

Интересно, что все три веб-клиента банка, которыми я пользовался, не позволяли сделать с моей карточкой ничего серьёзного, используя только пароль на вход.

строго говоря, альфа вообще ничего не позволяет. при входе же тоже смс-пароль

по теме да — overkill 100%

та же хрень в банке24

artuska 2012

«регулярная смена пароля решает какую-то проблему безопасности» — тоже бесит. Неужели в банках работают таки тупющие программисты? К тому же не дают в пароле использовать неалфавитные символы, только буквы да цифры. Учатся в университетах на всяких там специалистов по безопасности, но реально думают, что неалфавитные символы в пароле могут как-то взломать их систему. Откуда такие мудаки берутся?

Попрообую однажды попросить сбросить. Обычно же просто тупо меняю 3 раза пароль, а на 4-ый вписываю свой прежний.

andr.mp 2012

ну всё, теперь заставят и устный пароль регулярно менять :)

hayk 2012

Так в «Райффайзене» имея пароль можно войти в систему и сгенерить новый сертификат.

TATAPuH 2012

странно, за два года Альфа ни разу не попросила сменить пароль, возможно счётчик стоит не на время а на колличество логинов ? я логинюсь хорошо если раз в месяц

Suvit 2012

Комментарий для sunchaser.info:

В банке24 есть интернетбанк2 в котором не надо менять пароли и вводить каждый раз кодики

Евгений Степанищев (bolknote.ru) 2012

Комментарий для hayk:

Так в «Райффайзене» имея пароль можно войти в систему и сгенерить новый сертификат.

Разве для этого не нужно вводить ПИН, который не совпадает с паролем?

Евгений Степанищев (bolknote.ru) 2012

Комментарий для sunchaser.info:

строго говоря, альфа вообще ничего не позволяет. при входе же тоже смс-пароль

Я его отключил :) Это в настройках можно сделать.

SiMM 2012

Комментарий для artuska:

Неужели в банках работают таки тупющие программисты?

Складывается ощущение, что они НИКОГДА не пользуются своими продуктами.

Анатолий Буров 2012

Неужели в банках работают таки тупющие программисты?

Программисты-то тут причём!?

Orcinus Orca (www.orcinus.ru) 2012

Комментарий для Евгения Степанищева:

Спасибо за наводку, не знал, что СМС на вход можно отменить.

hayk 2012

Комментарий для Евгения Степанищева:

Разве для этого не нужно вводить ПИН, который не совпадает с паролем?

Да, действительно. Я почему-то был уверен что для этого достаточно иметь доступ в Коннект.

artuska 2012

Программисты-то тут причём!?

А кто, если не они?

radiognome (radiognome.livejournal.com) 2012

Самое смешное, что любые банки определяют мою личность по телефону, по данным, которые легко узнать в интернете, плюс некое ключевое слово, которое, внимание, никогда не меняется в отличие от пароля. Хотите меня ограбить? Узнайте ключевое слово, зачем вам пароль?

 
http://www.smbc-comics.com/comics/20120220.gif

Stac (stacmv.ya.ru) 2012

Неужели в банках работают таки тупющие программисты?

Просто там другой уровень ответственности у людей.
Это вам лень использовать программу типа Keepass и не страшно потерять свои деньги в случае взлома. Наверняка еще рассчитываете, что банк во всем разберется и деньги вернет.

Для банка все выглядит по-другому: ослабление политики безопасности может привести к массовым злоупотреблениям. Уж лучше пусть несколько блогеров позлословят.
Я тут на стороне банков.

artuska 2012

Комментарий для stacmv.ya.ru:

Мдяяя… вижу, вы, видимо, и есть тот программист из банка (вы поняли, что я имею ввиду).

Это вам лень использовать программу типа Keepass

Ну дак ведь наоборот — это сам банк препятствует её использованию, так как программка генерирует нормальные пароли, с всевозможными неалфавитными символами, а банк же разрешает использовать только ущербные пароли из букв и цифр. Ну не тупость?

может привести к массовым злоупотреблениям

Ну каким-таким злоупотреблениям? Не будут менять пароль каждые три месяца? Ну так наоборот хорошо. Вот я лично не могу каждые три месяца выдумывать новый пароль, я хочу пользоваться своим старым. Дак нет жеж, насильно заставляют. В результате человек (тетенька какая-нибудь) вообще записывает пароль на стикер и наклеивает на монитор, ибо ну не может ничего выдумать, ну нет у нее в запасе сложных ключевых слов.

Stac (stacmv.ya.ru) 2012

Комментарий для artuska:

а банк же разрешает использовать только ущербные пароли из букв и цифр. Ну не тупость?

Думаю, нет. Очевидно, пароли должны быть такими, чтобы их удобно было вводить или хотя бы просто можно было бы ввести с любого устройства.
Не знаю всех деталей, но на это же указывает переход с буквенных кодов подтверждения в sms на цифровые. Такие коды вводить на телефонах гораздо удобнее.
A KeePass может создать случайный пароль для вас с учетом требований банка — множество используемых символов и их количество в пароле настраивается.

...я хочу пользоваться своим старым ...
... человек (тетенька какая-нибудь) вообще записывает пароль на стикер и наклеивает на монитор ...

И я бы не отказался воспользоваться вашим старым паролем.
К счастью, его принудительная смена немного защищает вас ... если кто-то найдет ваш стикер с паролем в мусорке,возможно он уже окажется недействительным.
И кстати, запись пароля на бумажке это не проблема в цифровую безбумажную эпоху — торояны и прочие зловреды не имеют доступа к бумажкам на вашем столе.