Comments 60
То есть без 2fa? Тырим кейлоггером код, сливаем куки и слепок браузера - и прощай, денежки, здравствуй - долги по кредитам?
Да, судя по сайту, без логина и пароля, просто пять цифр. Не думаю, что вот так просто.
Это же не просто дыра, а чёрная дыра в безопасности. Должно быть ещё код из смс.
чёрная дыра в безопасности
Ну, хоть что-то у нас в безопасности.
Тут смешались в кучу кони, люди и непонимание того, как работает веб-версия у сбера.
Во-первых, для входа у сбера 2FA не является обязательной.
Во-вторых, для совершения платёжных операций 2FA является обязательной (без 2FA можно войти, посмотреть данные, попереводить деньги между своими счетами, но для перевода денег куда-то за пределы своих счетов, нужно подтверждение по смс).
Таким образом, то, что описано в новости - это всего лишь добавили больше вариантов для первого фактора. Если 2FA отключена, то первый фактор является единственным. Но это не проблема конкретного фактора.
люди и непонимание того, как работает веб-версия у сбера.
Все прекрасно понимают. Пока нет санкций, вопросы аутентификации волнуют банк лишь постольку-поскольку. Подумаешь зашёл кто-то посмотреть на ваши перс.данные, счета, историю платежей, контрагентов и что они ещё агрегируют в ЛК - но ничего же не взял.
Как будто стырить это так просто) Юзер то должен себе для начала загрузить какой то шлак на пк/телефон, где будет как то подмешан этот логер
Через веб можно поддержать сканер пальца. Чем это им не зашло?
А зачем вообще это нужно? Ну хотя бы он пропадает, а у Т-банка просто каждый раз вылазит при входе. 🤦♂️
Могли бы webauthn какой-нибудь прикрутить вместо костыля своего.
P.S. Проверил, "вход по отпечатку" это у них webauthn, но после этого подтверждения дополнительно отправляется ещё и СМС на номер телефона с кодом подтверждения. А по пятизначному PIN-коду - повторное подтверждение по СМС не требуется.
"Сотрудники центробанка" просто устали объяснять, какой код из смс и куда его вводить, с 5ти значным кодом будет гораздо проще и комфортнее!
Запускаем перебор всех комбинаций от 00000 до 99999 — и попадаем к кому-то в интернет-банк, так получается? И что будет, если два клиента одновременно придумают одинаковые коды?
Нет, это такой извращённый вариант галочки "remember me". При неактивности пользователь разлогинивается только частично, для повторного логина ему вместо ввода логина и пароля достаточно ввести свой пятизначный код. Насколько я понял из беглой проверки работоспособности этой функции.
пользователь разлогинивается только частично
Из серии «немного беременна»? :-)
для повторного логина ему вместо ввода логина и пароля достаточно ввести свой пятизначный код
Очередное извращение подгрефовников. Галочка «Remember me» придумана для того, чтобы вообще ничего не вводить, а тут получается, что надо опять вводить пароль, да еще и не тот, который используется для обычного входа. Больше паролей богу паролей — так получается. Кстати, как эту хрень отключить? При каждом входе появляется запрос на создание этого «местного» пароля, достало уже.
P.S. Сберовские, смотрю, минусатор включили. :-) Нет бы чем полезным занялись.
Очередное извращение подгрефовников.
Строго говоря, оно концептуально мало отличается от кодов восстановления. Там точно так же - код (основной пароль) сложный, где-то записан, мы его не помним, но можем им воспользоваться для входа в учетку.
При повседневном же использовании используются другие наборы буквы - попроще, которые мы можем запомнить.
Можно считать, что теперь вот те основные логин-параль, что есть - по функции соответствует коду восстановления.
Винда, кстати, так же делает со своим Hello - предлагает использовать не пароль (у сетевой учетки можно использовать на любом компе), а PIN(работает только на конкретном компьютере).
Строго говоря, оно концептуально мало отличается от кодов восстановления. Там точно так же - код (основной пароль) сложный, где-то записан, мы его не помним, но можем им воспользоваться для входа в учетку.
Код восстановления — по уму — одноразовый и имеет ограниченный срок действия.
При повседневном же использовании используются другие наборы буквы - попроще, которые мы можем запомнить.
Опять же, простые комбинации типа слова из словаря для пароля не рекомендуются.
Винда, кстати, так же делает со своим Hello - предлагает использовать не пароль (у сетевой учетки можно использовать на любом компе), а PIN(работает только на конкретном компьютере).
А кто сказал, что технические решения «Микрософта» — это образец для подражания?
А кто сказал, что технические решения «Микрософта» — это образец для подражания?
Аргумент был про то, что то что сделали - это эквивалент более-менее распространенной практики, которая слишком много проблем с точки зрения безопасностью до сих пор не доставляла, несмотря на повсеместную распространенность.
несмотря на повсеместную распространенность.
Вы это в реальной жизни видели? Я везде только нормальные комбинации логин/пароль встречал. Хотя я не показатель, я только по нормальным конторам хожу...
Я пользуюсь пин-кодом. Потому что требования к сложности пароля чрезмерные, да ещё менять раз в 3 месяца, и чтобы не повторялся. А тут назначил то, что тебе самому нравится, и хорошо. Лайф-хак: в пин-код Windows можно писать не только цифры, а вообще любые знаки. Удачи хакерам подбирать, если они ожидают там только цифры ))
А тут назначил то, что тебе самому нравится, и хорошо. Лайф-хак: в пин-код Windows можно писать не только цифры, а вообще любые знаки.
А обычный пароль нельзя самому поставить? И там всегда можно было не только цифры использовать...
Можно. Но например я хочу только lowercase + знаки. А мне навязывают lowercase + uppercase + цифры.
Дык это надо админа пинать, он требования задает.
Он задаёт обоснованные требования к паролю, который могут брутфорсить через сеть. Требования к пину гораздо ниже, потому что по сети не побрутфорсишь.
Также, я считаю, два разных пароля на разные сценарии безопаснее, чем один. И доменный пароль нет необходимости светить, когда начинаешь работу в офисе.
Смысл PIN-кода в том, что он выступает не ключом для шифрования, а одобряет расшифровку при помощи TPM. Потому вариант с перебором не подойдёт: есть "мягкий" лимит на количество неудачных попыток, после исчерпания которых попросит перезагрузить компьютер, чтобы попытаться снова. И "жёсткий" лимит, после исчерпания которого TPM окажется заблокирован на какое-то время (если я правильно понимаю). Командой Get-TPM в PowerShell можно посмотреть лимиты.
Страсти-то какие... У меня Windows 10 без TPM.
Без TPM PIN-код не даст безопасность, напротив, очень уязвим.
https://blog.elcomsoft.com/2022/08/windows-hello-no-tpm-no-security/
Ахах, атакующие перебирают цифры, а у меня пин построен как пароль, с разными знаками.
Ну и в принципе, если получили доступ к offline-системе, чтобы скачать хеши, могут скомпрометировать любые компоненты Windows. Так что, даже с TPM, поставят кейлоггер, который по сети сольёт все набранные пароли/пины/что-угодно.
Для Windows это имеет смысл. Доменный пароль можно было подглядеть, когда коллега/начальник разблокирует рабочую станцию, и использовать этот пароль откуда угодно, даже в нерабочее время. А подсмотренный пин-код привязан к компьютеру и пользоваться им будет довольно рискованно.
Просто эффективные решили оптимизировать затраты на рассылку СМС.
Каждый раз при пользовании банком отправлять СМС - дорого. Поэтому будут впаривать эту фичу, чтобы как можно больше людей включило.
У сбера есть уведомление по смс о каждом входе, пожалуй все равно не буду отключать...
Все гораздо правильнее чем предположили комментаторы сверху.
При первом логине, по паролю и СМС как полагается, в браузер ставится кука. Дальше из того же браузера с кукой можно логиниться по 5 значному коду. Удобно и безопасно.
Тинек давно так сделал. Пользуюсь. Не вижу проблем, на самом деле удобно.
Вероятно на это все накручен антифрод. Который может решить что куку украли и потребовать полного логина.
Логика страдает. У пользователя должно быть два варианта: либо полный логин-пароль-смс-прочий-фарш, либо вообще ничего, авторизационная кука лежит, и по ней входим. Во втором случае пользователь должен понимать, что одновременно с повышением удобства резко падает безопасность. Половинчатое решение и неудобно (надо что-то вводить), и небезопасно (куку можно угнать, а короткий код — подбрать).
Вероятно на это все накручен антифрод. Который может решить что куку украли и потребовать полного логина.
Не будет. Не удивлюсь, если в куке окажется MD5(новый_короткий_пароль). Только что звонил им, и служба поддержки меня уверяла, что эти «быстрые» пароли гораздо безопаснее обычного входа, а перебрать все комбинации из 5 цифр физически невозможно. Видимо, они проблему переводов денег на «безопасный счет» решают вот таким образом — типа «клиент сам все сделал, его честно взломали, а мы не виноваты и у нас лапки».
То есть, небезопасное решение с долгоживущей кукой вам нравится.
Полубезопасное решение категорически не нравится.
Но три варианта лучше, чем два. Если пользователя устраивает безопасность 0.5, но не устраивает 0.1, то почему бы и нет.
То есть, небезопасное решение с долгоживущей кукой вам нравится.
Лично мне — нет. Но она дает пользователю простой и понятный выбор — либо полная безопасность, либо полное удобство.
Полубезопасное решение категорически не нравится.
Больше всего не нравится его навязывание. Каждый раз при входе появляется предложение создать этот недо-пароль из пяти цифр, и надо нажимать кнопку «Пропустить». Сделать галочку «Больше не показывать» грефанутые на всю голову не в состоянии.
Это уже не проблема самого подхода, а проблема UX и манагеров, которые специально делают вариант, выгодный компании и не выгодный пользователю, самым простым в выборе, чтобы задолбать и пользователь согласился. Как пример - попробуйте добиться от зелёного банкомата печати чека при внесении/снятии наличных. А ведь он обязан это делать, но добраться до этой опции очень непросто.
Как пример - попробуйте добиться от зелёного банкомата печати чека при внесении/снятии наличных. А ведь он обязан это делать, но добраться до этой опции очень непросто.
Банкоматы Сбера — это отдельная боль. Чеки они два года не печатают вообще, их можно получить только у живого сотрудника через три рабочих дня после операции. Самое интересное, что они ссылаются на инструкцию ЦБ для инкассаторов банкоматов — типа банкомат инкассатору может не давать документ, если банкомат подключен к информационной системе банка. На мое предложение дать мне доступ к ящикам с деньгами в банкомате, раз они ссылаются на эту инструкцию для инкассаторв и считают меня таковым, они ответили тотальным молчанием.
Может, в нашей деревне ещё не обновили ПО на банкоматах, но вопрос о том, печатать ли чек, всегда есть на одном из экранов 🤔я это помню, потому что каждый раз приходится нажимать Нет. Там на экране ещё есть текст про сохранение деревьев
Вот я тоже помню этот текст про деревья, но сейчас не вижу вообще никакого варианта напечатать чек. Т.к. по закону они обязаны выдавать чек, я ожидал, что эта опция куда-то глубоко запрятана. Но комментатор выше написал, что сейчас вообще убрали.
Скорее всего, Вы столкнулись с каким-то уникальным банкоматом, на который все забили. Потому что во всех деревнях чеки Сбер уже отключил.
Всякие малополезные финтифлюшки к веб-морде прикручивают, а редактирование автоплатежей на карту другому пользователю так и не починили. За этим надо лезть в приложение.
А кто-нибудь знает, в банкоматах сейчас можно распечатывать одноразовые коды для входа? 🤔
Уже с десяток лет не видел такого ни у кого :(
Видимо, речь об этом https://www.sravni.ru/banki/info/kak-podklyuchit-sberbank-onlayn/
Несколько лет назад работало, как сейчас, не знаю.
Вход в веб-версию приложения «СберБанк Онлайн» стал доступен с помощью пятизначного цифрового кода