Грустная сказка с повисшим концом.
Есть фирма, есть счет в банке, есть десятки операций в неделю. Конечно, есть Клиент-Банк. Он жутко защищенный, крутой и серьезный, с ключами, ЭЦП, двусторонним шифрованным транспортом и т.п.
У нас бухгалтер обслуживает 3 фирмы, все в одном банке, все банк-клиенты на 1 компе, на всех (внимание!) одинаковый пароль из трех букв. Из соображений вашей и моей безопасности писать его не буду.
Получив банк-клиент в банке, я сразу поинтересовался у сотрудника техподдержки по поводу смены пароля. Сотрудник с видом оскорбленной невинности принес мне, как блондинке, распечатку из помощи, где написано «В меню Сервис выберите пункт Сменить пароль, введите старый и новый».
Ну здорово, подумал я, и забыл на время.
Но вот под новый 2010 год я собрался сменить пароль. Проверил 31 декабря 2009 года в последний раз счет и нажал ту самую кнопочку из меню Сервис.
Ввел старый пароль, ввел новый. Два раза ввел. Все отлично, работает.
Думаю, выйду-войду.
Вхожу с новым паролем. Выдается ошибка драйвера БД, что пароль к DBA не опознан и вообще проверьте пароль (скрин не сохранил к сожалению). Все такое системное и латинское. Повторил, повторил дважды с тем же эффектом.
Думаю, ну значит не сменился пароль.
Ввожу старый. Система выдает ДРУГОЕ сообщение об ошибке, цивильное, клиент-банковское, мол пароль неверный.
Пробую ввести 123456 в окно пароля, вижу опять цивильное русское сообщение что пароль не тот.
Какие выводы? Что БД банк-клиента хранится отдельно, что она защищена паролем (слава Творцу), но при смене пароля в софтине пароль к БД не меняется (иначе как объяснить разные сообщения об ошибке?).
Ну новый год настает, банк-клиент не работает, иду праздновать, уверенный что никто не вломится на счет точно, раз оба пароля не подходят.
11 января звоню в банк тому самому товарищу из саппорта. Что выясняется:
1. Все мои гипотезы верны. Московская техподдержка банка (или даже разработчика) «не рекомендует менять пароль».
2. Сменить пароль можно «напрямую в DBA» (умные люди с Хабра, вы понимаете что это заклинание значит?).
3. Нашу проблему с доступом можно решить ТОЛЬКО получив свежий дистрибутив с вшитым старым паролем.
Конец немного предсказуем. Так и вышло — привез я свежий дистрибутив.
Резюме.
1. Если за комп бухгалтера может сесть посторонний и увидеть знакомый ярлычок банк-клиента, он смело может писать пароль из трех букв и оперировать вашим счетом.
2. На мои настойчивые просьбы решить вопрос мне прислали инструкцию из 5 строк по факсу.
3. На мои описания угроз, вытекающих из ситуации, ругательства, перечисление рисков, которые они создают своей системой, ничего внятного мне не ответили.
Закончить хотелось бы строками из описания банк-клиента:
Секурная, кошерная, грамотная, защищенная система. ЭЦП, транспорт…
Просто пароли у всех одинаковые. Для удобства.
Просто сменить их нельзя. На всякий случай.
Для интересующихся — BS-Client, версия 3.15.6.270
PS. Не забудьте снять крыжик.
Есть фирма, есть счет в банке, есть десятки операций в неделю. Конечно, есть Клиент-Банк. Он жутко защищенный, крутой и серьезный, с ключами, ЭЦП, двусторонним шифрованным транспортом и т.п.
У нас бухгалтер обслуживает 3 фирмы, все в одном банке, все банк-клиенты на 1 компе, на всех (внимание!) одинаковый пароль из трех букв. Из соображений вашей и моей безопасности писать его не буду.
Получив банк-клиент в банке, я сразу поинтересовался у сотрудника техподдержки по поводу смены пароля. Сотрудник с видом оскорбленной невинности принес мне, как блондинке, распечатку из помощи, где написано «В меню Сервис выберите пункт Сменить пароль, введите старый и новый».
Ну здорово, подумал я, и забыл на время.
Но вот под новый 2010 год я собрался сменить пароль. Проверил 31 декабря 2009 года в последний раз счет и нажал ту самую кнопочку из меню Сервис.
Ввел старый пароль, ввел новый. Два раза ввел. Все отлично, работает.
Думаю, выйду-войду.
Вхожу с новым паролем. Выдается ошибка драйвера БД, что пароль к DBA не опознан и вообще проверьте пароль (скрин не сохранил к сожалению). Все такое системное и латинское. Повторил, повторил дважды с тем же эффектом.
Думаю, ну значит не сменился пароль.
Ввожу старый. Система выдает ДРУГОЕ сообщение об ошибке, цивильное, клиент-банковское, мол пароль неверный.
Пробую ввести 123456 в окно пароля, вижу опять цивильное русское сообщение что пароль не тот.
Какие выводы? Что БД банк-клиента хранится отдельно, что она защищена паролем (слава Творцу), но при смене пароля в софтине пароль к БД не меняется (иначе как объяснить разные сообщения об ошибке?).
Ну новый год настает, банк-клиент не работает, иду праздновать, уверенный что никто не вломится на счет точно, раз оба пароля не подходят.
11 января звоню в банк тому самому товарищу из саппорта. Что выясняется:
1. Все мои гипотезы верны. Московская техподдержка банка (или даже разработчика) «не рекомендует менять пароль».
2. Сменить пароль можно «напрямую в DBA» (умные люди с Хабра, вы понимаете что это заклинание значит?).
3. Нашу проблему с доступом можно решить ТОЛЬКО получив свежий дистрибутив с вшитым старым паролем.
Конец немного предсказуем. Так и вышло — привез я свежий дистрибутив.
Резюме.
1. Если за комп бухгалтера может сесть посторонний и увидеть знакомый ярлычок банк-клиента, он смело может писать пароль из трех букв и оперировать вашим счетом.
2. На мои настойчивые просьбы решить вопрос мне прислали инструкцию из 5 строк по факсу.
Передайте вашему директору. В меню… надо снять крыжик ..., потом зайти в окошко… etcМы догадались что такое «крыжик», хотя довести процедуру до конца не смогли. Естественно, что инструкция была писана специально для меня и в помощи отсутствует.
3. На мои описания угроз, вытекающих из ситуации, ругательства, перечисление рисков, которые они создают своей системой, ничего внятного мне не ответили.
Закончить хотелось бы строками из описания банк-клиента:
Поскольку система BS-Client предназначена для работы с финансовыми документами, вопросам безопасности в ней уделяется повышенное внимание. В системе используется криптографические стойкие шифрование и электронно-цифровая подпись (ЭЦП) всех данных, которыми Клиенты обмениваются с Банком. Шифрование защищает данные от перехвата злоумышленником, ЭЦП однозначно удостоверяет авторство данных.
Секурная, кошерная, грамотная, защищенная система. ЭЦП, транспорт…
Просто пароли у всех одинаковые. Для удобства.
Просто сменить их нельзя. На всякий случай.
Для интересующихся — BS-Client, версия 3.15.6.270
PS. Не забудьте снять крыжик.