Comments 59
Месяц назад был в HOFF в Московском Аффимоле (возможно такие терминалы есть не только там), там стоит терминал для оплаты без кассира, для добавления к заказу карты лояльности можно ввести просто номер телефона, внезапно после ввода номера телефона на экране, без всяких проверок типа смски на телефон, отобразились данные с карты лояльности, включая "фамилию имя отчество" вот вам и советский телефонный справочник в 2022 году
"Каждый год свиньи убивают больше людей, чем акулы, что показывает как хорошо люди умеют оценивать риски."
Hidden text
$(document).ready(function(){
dvr_camcnt = Cookies.get("dvr_camcnt");
dvr_usr = Cookies.get("dvr_usr");
dvr_pwd = Cookies.get("dvr_pwd");
if(dvr_camcnt == null || dvr_usr == null || dvr_pwd == null)
{
location.href = “/index.html”;
}
Что-то похожее на историю с антивирусным кабелем было. Прихожу я к юзеру, и вижу, что у него ПК проводом соединён с роутером, но в роутер ничего похожего на входящий канал не заведено. Зато этот самый входящий канал воткнут во вторую сетевую карту этого же ПК.
Оказалось, что юзер краем уха услышал, что роутеры защищают от хакеров. Это отчасти правда, но для этого роутер должен находится между оборудованием провайдера и компьютером, а вот этого юзеру уже никто не сказал... в итоге, роутер он воткнул просто как талисман, в свободный Ethernet-порт.
История по секретные вопросы не раскрыта. Это же еще один способ аутентификации, не более того. Спрашиваете столицу Калифорнии, отвечаете "творожок", в чем проблема...
Главное в этой фишке - вспомнить, каких же молочных изделий Ваш организм желал при регистрации лет этак 5-7 назад... ;)
И это было бы не проблемой, если бы не...
В один момент сервис просто в корне меняет список вопросов.
---
Я записываю всегда аут. данные, когда присоединяюсь к новому сервису. Но видать они находят способ сломать мозг. (Это было связано с площадкой для фотографов вроде)
Я недавно обнаружил что ни одного из этих секретных ответов сейчас уже не помню.
обычно это память детства - шоколад Аэрофлот
У меня была проблема с яндекс почтой. 20 лет назад заводил аккаунт - тоже вводил секретный вопрос от фонаря, но записывал себе в блокнот логин/пароль/ответ на секретный вопрос. За 20 лет блокнот потерялся, но логин/пароль всегда можно посмотреть в почтовом клиенте при переустановке винды и т.п., этого было достаточно, секретный вопрос не нужен был. А тут вдруг при очередной переустановке винды оказалось, что мало логина и пароля, яндекс вдруг ввели требование вводить ответ на секретный вопрос при восстановлении почты/логина. Больше я не использую яндекс почту. Хорошо там ничего важного не было.
Аналогичная ерунда была с Battle.net, но через 5 лет они одумались и разрешили мне снова играть в их игры...
Для таких борцунов за «безопасность» должен быть предусмотрен отдельный котел в аду, с турбонаддувом и 2 кнопками управления: жарче и горячее.
Никто не в курсе, не было ли сливов базы яндекса с этими вопросами?
Можно войти, перебросив хранилище с куками со старого компа. Даже если вошёл в аккаунт, сбросить контрольный вопрос без знания ответа на прежний вопрос нельзя. Можно только добавить альтернативные способы восстановления доступа (например, другой e-mail)
У меня такая же фигня. Завел несколько лет назад пару акков на яндексе. Недавно пересел за новый комп, ввел правильные логин пароль и тут пишут, что акк заблокирован и требуют ответ на контрольный вопрос - всё перепробовал - ни черта так и не вышло. Ладно бы я с другого IP адреса заходил, так ведь нет - с того же самого.
В аналогичной ситуации написал в техподдержку Яндекса, потом нашёл старую трубку с живым входом в тот самый ящик, продолжил переписку уже из той самой почты, в которую не мог зайти с ПК - и всё равно они отказались сбросить секретный вопрос, так как "не могут меня идентифицировать - вы не заполнили персональные данные и блаблабла". Проблему при этом я всё равно решил - привязка почты для восстановления сбрасывает эту проверку. Ответ на секретный вопрос, к сожалению, так и не вспомнил - мина не убрана :)
Просто некомпетентность. Азбука инфосека, триада "целостность, конфиденциальность, доступность". Почти всегда достигая одного, приходится жертвовать другим. Поэтому, нужно ставить приоритеты. Какая-то моя тайная переписка пусть лучше сгорит, если кто-то три раза введет неверный пароль (а то вдруг он с двадцатого раза угадает?). А какая-то другая - наоборот, если я не смог войти - публикуйте ее хоть на главной странице. Там рецепт оладушек как бабушка готовила, он очень ценный, его нельзя потерять, но не страшно, если кто-то его узнает.
Соответственно, и ресурсы-сервисы я подбирают с учетом этого. Что-то на ресурсе "который невозможно взломать", а что-то на ресурсе "который невозможно забыть" (забыл пароль? восстановить можно и через телефон, и через другую почту, и через секретный вопрос и как угодно)
А вот менять эти приоритеты - нельзя. Потому что нельзя хранить бабушкин рецепт по тем же правилам, как план военного переворота, и наоборот.
У меня так погиб ящик который регистрировался еще в другом сервисе, а потом мигрировал на Яндекс.
Попытки обратится в техподдержку ни к чему не привели ибо они редиректят на форму восстановления пароля, которая спрашивает секретный вопрос и предлагает угадать дату регистрации почты, после чего выкидывает меня из этой формы.
ха, у меня так было с paypal! я забыл пароль от длительного не использования, а тут понадобился. Раньше всегда сброс был без проблем - есть почта, есть телефон... а тут они вдруг обновились... и стали спрашивать номер карточки кот я уже и не помню и секретный вопрос, на который я принципиально трэш рандомный пишу... звонок в техподдержку не помог, там им тоже не хватало почты и телефона... но потом они вдруг решили спросить как я оцениваюх их поддержку... ну я и написал все что я думаю обо всем этом... ответа разумеется не последовало, но через месяц я проверил и они вернули взад сброс пароля без этой лабуды. сбросил только чтоб удалить аккаунт... уж лучше никак чем вот так..
Уже давно обнаружил и сообщил мегафону о небольшом их сервисе, который позволяет легко проверить баланс любого абонента мегафона по номеру телефона:
https://money.megafon.ru/money-transfers/mobile-to-mobile
Откуда - вводите номер абонента мегафона, Куда - любой другой номер, а дальше в сумме подбираете циферки, пока не перестанет писать "недостаточно средств на счёте".
Мегафон на моё сообщение пожал плечами и забил.
И реально работает а не влетает бан по IP на x часов после y попыток?
Я же ссылку оставил, можете сами попробовать. Тут же не "взлом" какой-то формы, а её штатное поведение, как в примере с аутентификацией по адресу электронной почты кто-то подумал, давайте пользователю сообщать, что у него денег на счёте недостаточно для перевода, чтобы он не получал отказ в транзакции после ввода кода из смс. Удобно же? Ну а то, что сервис не требует аутентификации и номер можно вбить любой, мелочи же? =) Да и кому он нужен, ваш баланс, да? =)
Если для перевода денег всетаки требуется физически иметь доступ к номеру и нет атаки позволяющей получить его так же перебором то это всетаки не очень опасно.
Мм, мне казалось это очевидным. Давайте поясню. Чем больше у вас информации об объекте атаки, тем проще её провести. Например можно повысить уровень доверия для мошеннического звонка - "Алло, здравствуйте Иван Иванович, на вашем счёте столько-то денег, а вы знаете ....".
"Иван Иванович, мы взломали ваш телефон и слили все ваши фотки, а еще записали с камеры телефона разные интересные видео. Чтобы вы не сомневались, баланс вашего телефона 525р. Если вы не переведете нам биткоинов <инструкция>, мы всё это разошлем в ваши контакты и соц.сети".
Можно повысить аккуратность всяких зловредов или зло-подписок, чтобы оставляли пару копеек на счёте, и пользователь замечал, что что-то пошло не так, не сразу после снятия денег, а в конце расчетного периода.
Ну и мало ли что еще придумают, чем больше приватной информации известно, тем больше вариаций можно придумать.
Уже давно обнаружил и сообщил мегафону о небольшом их сервисе, который позволяет легко проверить баланс любого абонента мегафона по номеру телефона:
У них с Yota это семейное.
В чате с их поддержкой не происходит авторизации, кода из смс или чего-то подобного, поэтому можно узнать, например, баланс любого абонента, сказав, что деньги не дошли и назвав номер интересующего абонента.
Служба поддержки Ancestry.com (которая работает, сюрприз, через SMS, а не через веб-чат или email) сходу при обращении с технической проблемой (bug report-ом) требует личные данные (имя, телефон, часть адреса). А потом, внимание, инициирует доступ к вашему аккаунту (даже если проблема не связана с конкретным пользователем) и требует сказать им одноразовый пароль, пришедший вам по SMS, запрошенный ими от вашего имени.
USPS.com позволяет отключить двухфакторную аутентификацию без авторизации (повторного ввода credentials) этого действия.
Ок, поделюсь )
Работал в одной аутсорсинговой конторе. К нам обратилась одна немелкая компания занимающейся прогнозированием и всякой аналитикой для бизнеса, а также выполняющей некоторые госсаказы на туже тему. Вот именно в такой госзаказ для одного министерства меня и угораздило.
Вначале пришло паническое письмо от менеджера проекта, что-то в духе того, что у них дедлайн через 10 дней, что все нужно сделать еще вчера, и, что сейчас админы дадут мне доступ к TFS, и к концу недели нужно закончить, т.к. у них начнется тестирование.
Потом, пришло грозное письмо от тамошней СБ (службы безопасности) где мне расписали свои требования к безопасности и заодно постращали разными карами в случае разглашения и т.п. Впечатлился, проникся, осознал, о чем и написал им в ответном письме.
Далее выяснилось, что в целях безопасности, сервер БД у них изолирован от интернета и работает на на виртуальной машине в их дата центре, поэтому я не могу работать на своем компьютере, а также должен работать на виртуалке через rdp (удаленный рабочий стол). Мои робкие возражения, что я нахожусь вообще в другой стране за 1000 км и из-за лагов кодить будет невозможно, были сходу отметены, - мол, канал у виртуалки 100 Мбит и никаких лагов быть не может! И у них все разработчики так работают... [Пошел за фейсплмовым маслом].
(Причем тут вообще толщина канала, когда речь идет о пинге? И зачем было так прятать сервер БД, неужели это копия боевой базы с реальными данными?) На вопрос "чем не устроил VPN?", ответили что, мол, руководство так решило. Ну, ладно, хозяин - барин.
Жду url/логин/пароль от rds. Наконец, приходит письмо с docx вложением с длиннющей инструкцией в картинках. Оказывается, в виртуалку меня так просто не пустит, нужно поставить на своей машине сертификаты (пароль от файла с сертификатом прилагается), затем через их шлюз (еще один логин/пароль) нужно подключиться к виртуальной машине (третий логин пароль), а уже на виртуалке нужно снова поставить сертификаты и только тогда через прокси сервер (четвертый логин/пароль) можно подключиться к tfs (пятый логин/пароль) и скачать, наконец, исходники. [Вылил на голову бутылку с фейспалмовым маслом].
Тот факт, что это письмо со всеми сертификатами, логинами и паролями пришло обычным мэйлом и это был где-то 5-й форвард (админ->начальник СБ->руководитель проекта->менеджер->мой начальник->я) через кучу ящиков, в том числе gmail и yandex, их службу безопасности почему-то не смущало.
Пытаюсь подключиться - не пускает. Оказывается меня еще не авторизовали на шлюзе, о чем и пишу им в скайпе. Через часа три (которые, видимо, понадобились чтобы добраться до админов по цепочке из кучи начальников) наконец, прошел первый рубеж обороны - шлюз пустил, но теперь не могу зайти в виртуалку. Снова пинаю по скайпу. Начались пляски с бубном: а попробуйте так, а попробуйте эдак. На следующий день админы дали новую виртуалку, в которую вошел с первого раза.
Вообще-то я ожидал, что дадут клон виртуалки с уже установленой средой, либами и т.п. и можно будет сразу приступить к работе. Ага! [Пошел за губозакатачной машинкой] Дали девственно чистую виртуалку со свежеустановленной триальной Win7. Причем ни дистрибутивов среды IDE, ни гита, ничего. И, видимо, для абсолютной безопасности отключенную от сети вообще. [Открыл новую бутылку с фейспалмовым маслом].
Наконец, в конце недели (помним о дедлайне, да?), админы настроили сеть, залили дистрибутивы и даже некоторые из них поставили. Весь оставшийся день ушел на доустановку и настройку.
Сервер tfs также без админского пинка не пускал, как, собственно, и сервер БД (кстати, шестой логин/пароль). И наконец, за 3 дня до дедлайна, все откомпилилось, запустилось и получилось войти (седьмой логин/пароль) в их систему.
О дальнейшей работе, я уж умолчу, там тоже было немало "веселого". Скажу лишь, что все полимеры (читай "дедлайн"), естественно, проколебали, и я получил гневное письмо от тамошнего начальства с требованием отчитаться чуть ли не за каждый час. Данный текст и есть тот самый, немного приукрашенный, отчет. После него, менеджер внезапно пропал из скайпа и 2 недели на мои письма вообще никто не отвечал.
Дальнейшее мне неизвестно, однако, больше никаких претензий в мою сторону высказано не было, и, в конце-концов, договор с этой конторой был расторгнут.
Upd: Спустя 4 месяца. Случайно узнал, что этот проект таки дорос до продакшена. Из любопытства заглянул. Зашел с девелоперским логином паролем на продакшен! А это, на минуточку, внутренний сайт одного из министерств со всей их внутренней документацией! Быстро вышел. Но похоже, никто и не заметил. [Срочно куплю крупную партию фейспалмового гуталина!]
PS: По понятным причинам название компании, министерства и страну не указываю.
Это заслуживает отдельной статьи, это намного больше, чем просто комментарий!
Моих нервов не хватило бы.
Да, лааадно! Это мне напомнило, как к нам разраб-подрядчик пробивался во внутренний контур совсем не министерства, чтобы настроить дебаг web-приложения 1С (извне оно не дебажиться не умеет, а своей "тестовой среды" у них нет) - тоже доступ к VPN по сертификату, тоже доступ на виртуалку в DMZ с триальной семёркой, тоже общение через трёх "договорщиков", и тотальное взаимонепонимание двух оконечных исполнителей (нашего админа и "ихнего" разраба), могущих общаться только через "испорченный телефон"... ну, а с dev-учётками и авторизацией по статичным токенам какого довелось насмотреться - жуть - "разработчики" на Битриксе, например, любят "авторизовываться" открывая файл с "$USER->Authorize(1);"...
Работал на государственную контору.
Все ваши приключения объясняются ровно одним - глубоким наплевательским непрофессионализмом сотрудников гос. контор, причём это какой-то воинственный непрофессионализм, знаете даже с каким-то налётом лихости «да мы не знаем и знать не хотим, и что ты нам сделаешь?».
Я общался с людьми, которые проработали 10-15 лет с одной и той же системой и понятия не имели как она работает. Меня такая упертая ограниченность вводит в глубокую и печальную озадаченность.
И оправдывать такое положение вещей низкими зарплатами никак нельзя.
А знаете, что самое ужасное? Те жильцы этого болота, кто высидел достаточно, становятся начальниками и начинают на большую площадь распространять свои унылые криворукие флюиды. Только теперь флюиды имеют форму указаний, положений, инструкций, регламентов и, следовательно, становятся обязательны к исполнению.
По поведению безопасников, страну угадать несложно, на Б начинается =)
Году примерно в 2013-14 побывал в одном гос.учреждении некоторой страны.
Секьюрность здания требовала согласования моей персоны где-то наверху.
Задача была простая - "установить одинэс на предоставленную виртуалку". Работы выполнил под присмотром сотрудника за спиной.
Самое веселое случилось месяца через два, когда "что-то где-то сломалось и перестало работать", со мной созвонились и продиктовали номер teamviewer и пароль для удаленного доступа...
Еще через месяц, соблюдая предельную осторожность, я проверил, что teamviewer доступен и пароль валиден...
Ситуация на КПДВ не фотошоп, я натыкался на такое, как минимум дважды.
По безопасному входу, честно говоря, перечитал трижды не мог поверить глазам. Я такое тоже делал, в 2012 году на мобилках начиная с c100, но там был миллиард проблем в виде отсутсвия куков, аггрессивного кеширования итд итп И то все делалось с полным осознанием глупости и безысходности и с пачкой лекарств для сглаживания проблем, но в 2022 году...
Я бы в любой такой список добавил политику обязательной смены паролей раз в n дней. Обсуждали уже миллиард раз но народ все равно очень любит это дело
Справедливости ради "секретные" вопросы не так плохи если использовать их как key:value, а не отвечать на них честно.
Так же плохи, зачастую никто же не беспокоится о безопасном хранении ответов? Это же не пароль?
Тут просто нужно понимать, что есть проблема "забывания паролей". Нужно как-то уметь их сбрасывать. Для этого нужно как-то валидировать инициатора сброса, когда у нас нет никаких персональных данных, мы должны их эмулировать. Вот тут и были придуманы вопросы. И когда вы используете их правильно, а именно: давая пользователю ввести свой вариант вопроса, храня ответы так же как пароли, безопасно и в виде хеша; ограничивая возможность перебора, N попыток и велком в саппорт; а самое главное - используя этот способ, только когда у вас нет никаких других вариантов установить подлинность владельца аккаунта. Ну или, если это просто еще один "заборчик" для доп.защиты в многоуровневой проверке (например как "кодовое слово" в банках).
Тут нужно понимать, что проблема не столько в методах, сколько в том где и как их реализуют и используют.
Вспоминается грустный анекдот, как парень решил проверить почту девушки, решил "восстановить" пароль (ну он же о ней знает почти все)....
Но там был очень хитрый кастомный вопрос, ответ на который могла знать только она сама. "Изменяла ли я Сереже?".
Именно. Бонусом идет еще и знание этого факта.
Хотя, хитрая девушка могла бы иметь специально "белый" почтовый ящик с безупречными письмами, а ответом на вопрос поставить "конечно же нет!". Люди ведь гораздо более склонны доверять не тому, что им прямо говорят, а тому, что они своей хитростью смогли вызнать.
Много, где видел такое. Например, и на google и на microsoft акаунтах просят ввести резервные почты и номера телефонов.
Мне кажется, правильное решение тут - сторонние сервиса аутентификации. При желании чтобы можно было через google зайти. Или через ВК. Или через Госуслуги (а Госуслуги всегда можно восстановить, придя лично с мордой лица и паспортом). А пользователь сам выбирает, какой сервис ему использовать для аутентификации, где меры безопасности наиболее актуальны для его ситуации.
"Вы не можете поставить этот пароль, так как его уже поставил себе user123", просто смешно. Они бы ещё рассылку в сообщения бы устроили. Ваш друг сменил пароль, теперь его пароль: ... Не хотите ли вы тоже его сменить???
Было бы интересно
Иногда сильно бесят конторы, которые диктуют юзеру, какой именно у него должен быть пароль, тем самым давая подсказку злоумышленникам.
Например - гипотетический злоумышленник, являющийся клиентом моего банка, АБСОЛЮТНО ТОЧНО знает максимальную длину паролей в интернет-банкинге, т.к. мой банк в невообразимой мудрости своей решил ограничить длину пароля для всех клиентов. Ещё злоумышленник АБСОЛЮТНО ТОЧНО знает список разрешённых символов и что в любом пароле есть КАК МИНИМУМ одна цифра, одна строчная и одна заглавная буква. Причём логины (которые невозможно поменять) банк раздаёт сам по одному и тому же принципу...что-то вроде "первые четыре буквы имени + год рождения".
И это крупный международный банк. Я по началу отказывался в это верить. Но вот как есть.
И это крупный международный банк. Я по началу отказывался в это верить. Но вот как есть.
"Недопустимый пароль. У вас в пароле есть 2 повторяющихся подряд символа", - это то, что восхитило из последнего. Мелкий банк.
Ни и хит всех времён - пароль, нечувствительный к регистру. Это самый большой банк в мире по количеству отделений.
У меня есть несколько "не очень безопасных паролей" для не очень важных сервисов. Допустим, "dArtagnan-666". И это не такой уж и плохой пароль на самом деле (два регистра, цифры, спецсимвол). Пароль точно достаточен для форума собаководов.
Но потом их безопасник "ломается" и требует еще спецсимволы. Причем дефис ему не кажется таким уж специальным. Ему подавай что-то странное, типа доллара, решетки, крышечки или звездочки.
И получается, что у меня везде dArtagnan-666, а здесь d'Artagnan-666. А к черту, давайте везде буду d'Artagnan-666 ставить, а то запутаюсь, где какой!
А на другом сайте тоже безопасник странный, но там еще и про SQL injection прочитали, и решили, что жизнь будет проще без всяких там скобочек и апострофов, и символ ' использовать нельзя. (ты что, хакир что ли, зачем тебе апостроф в пароле)
Угадайте, к чему на самом деле приводят эти уродские требования (да еще и в разнобой)? К тому, что для всех таких сайтов со странными паролями, они где-то записаны. На бумажке, в интернет-заметках и так далее....
Было это году так в 2008. Сотрудник пытался залогиниться в citrix.com, но пароль никак не подходил от аккаунта. Нажав на "забыл пароль" сайт попросил вбить e-mail для отправки ссылки на сброс пароля, что и было сделано. На вписанный адрес прилетела ссылка на сброс, пароль был сброшен и оказалось, что это совсем чужой аккаунт.
Восстанавливал пароль от Одноклассников. Мне предложили угадать по фото моих друзей. (ну, немного разумно, если это твой акк, твои друзья - ты их явно знаешь!). Такая, своего рода "капча", которую пройдет только реальный владелец аккаунта.
Ну... некоторых я легко опознал. А вот других... Но у меня аддон для поиска по картинке, ПКМ на незнакомом портрете, поиск, и в яндексе вижу, да это же Иван Петрович Кузнецов, 1981 года рождения из Калуги!
Однажды разработчик онлайн-сервиса для хранения паролей забыл собственный пароль и не смог войти в аккаунт, потому что хранил пароль только в голове.
Он сделал вывод, что это не самый надежный способ хранения паролей.
Информационная безопасность и глупость: необычные примеры