Комментарии 26
Шел 2020-й год… Крупным корпорациям было все также плевать на клиентов. Потому что конкурентов нет. Государство может быть штраф вкатит, а может и нет, но компания все равно очень тесно связана с властными структурами. Поэтому пофиг. Так и живем
Согласен, сам иногда захожу в акк с мобильного интернета. Но есть же компромиссный вариант. Например, по умолчанию оставить возможность входа отовсюду только по номеру телефона с принудительной 2fa через смс.
Можно. Но впн не решает проблему доступа в кабинет при отсутствии интернета дома.
Я так понимаю это обход полной блокировки клиента, который вдруг забыл пароль и лишился интернета. Но ЛК ему остаётся доступным. Однако, у моего провайдера, во времена ADSL для обхода этой ситуации был бесплатный логин/пароль, через который доступен только ЛК.
Это же секрет Полишинеля. Могу добавить, что:
- этот же пароль (от личного кабинета) используется, как правило, для аутентификации в беспроводной сети, которую настраивают инженеры при подключении клиента;
- этот же пароль часто используется для входа на роутер, который ставят клиенту;
- часто логин-пароль состоят только из цифр (привет, перебор паролей Wi-Fi).
Такие дела.
С другой стороны — разве в обязанности провайдера входит обучение компьютерной гигиене?
С другой стороны — разве в обязанности провайдера входит обучение компьютерной гигиене?
В корпорациях и больших организациях, где работает множество людей и подключено в сеть множество рабочих станций обычно установлен AD. А в нём заданы правила и требования как к паролям, так и в логину. В итоге — новорега система первым делом заставит изменить пароль + не позволит пропустить этот шаг. А ещё будет заставлять это делать с некоторым периодом.
Если рассматривать провайдера в этом ключе, то его клиенты это как раз сотрудники в большой компании. И почему это нельзя организовать подобно?
От себя добавлю, что у моего провайдера доступ к ЛК изначально был только изнутри его сети. Но не обязательно из клиентской точки, на которого оформлена услуга.
Дверь в квартиру же собственники/владельцы сами меняют-усиливают, а не сваливают это на управляющую компанию или государство.
Смена пароля с периодом кстати признана многими специалистами по безопасности бессмысленной и вредной:
https://www.schneier.com/blog/archives/2016/08/frequent_passwo.html
https://www.sans.org/security-awareness-training/blog/time-password-expiration-die
https://cryptosmith.com/password-sanity/exp-harmful/
разве в обязанности провайдера входит обучение компьютерной гигиене?видимо и своих сотрудников тоже))
бесплатный генератор паролей, да хоть на 8 символов, цифро-буквенный без спецзнаков (заботимся о пенсионерах), пароль печатать в договоре. Понятно, что это не секурно и компрометируется перед инженером, но уже отсеет толпу любопытных.
Если злоумышленник таким образом сможет войти в лк 80% абонентов и отключить всё — это уже будет проблемой провайдера.
Не забывайте, что Хабр это ИТ-ресурс, и желание большинста местной аудитории не будет отражать желаний большинства платящей провайдеру аудитории.
А теперь, давайте посчитаем процентное соотношение людей которые не в состоянии не то что решить подобную проблему, а хотя бы понять что в их аккаунт проник злоумышленник.
И сидеть без интернета пару дней пока техподдержка сообразит, пока клиент договорится с мастером это уже проблемно для клиента. И страдает от этого в первую очередь клиент.
Это хорошо пока за подобные действия не придется кому-то отвечать. Как только у провайдера начнутся убытки — начнутся активные действия, и уж поверьте, не только в сторону улучшения безопасности, а ещё и в юридическую сторону вопроса. Так что, идея с явным вмешательством и вредительством так себе.
Доступ VPN: Пользователь superluzer пароль yadebil
Доступ ЛК: Пользователь superluzer_lk пароль yaidiot
В 2015 году работал в этом провайдере. При знакомстве клиента с ЛК, рекомендовал сменить пароль, когда уйду. Оставлял вкладку открытой. Ответственность на клиенте и только. Дальше уж как есть
Раньше наоборот проблема была, лет… надцать назад когда в одном из региональных операторов эти пароли на листочках-договорах сгенерированные выдавали в конвертиках. Приходишь к заказчику, винда мертвая. Все переустановил, а вот этот вот конвертик клиент
Как провайдеры заботятся о безопасности клиентов