Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 26

Шел 2020-й год… Крупным корпорациям было все также плевать на клиентов. Потому что конкурентов нет. Государство может быть штраф вкатит, а может и нет, но компания все равно очень тесно связана с властными структурами. Поэтому пофиг. Так и живем

Всего голосов 1: ↑1 и ↓0+1
закрывать вход из сторонних сетей — весьма сомнительная практика. Я, например, половину счетов оплачиваю с рабочего компьютера. А уж залогиниться к провайдеру если интернет не работает, так вообще только из другой сети (телефон, друзья и т.д.)
Всего голосов 9: ↑9 и ↓0+9

Согласен, сам иногда захожу в акк с мобильного интернета. Но есть же компромиссный вариант. Например, по умолчанию оставить возможность входа отовсюду только по номеру телефона с принудительной 2fa через смс.

Комментарий пока не оценивали0
При некоторой сноровке можно делать VPN до дома. Что вдвойне выгоднее, но увы — не каждый это сможет настроить.
Комментарий пока не оценивали0

Можно. Но впн не решает проблему доступа в кабинет при отсутствии интернета дома.

Комментарий пока не оценивали0
Верно. Но, например, у нас в городе есть проводной пчелайн, это который FTTB, и как оказалось, внутри этой сети все клиенты свалены в кучу и не изолированы, до L2TP. Более того, когда ты перестаешь платить, они блокируют твой L2TP, но линк физически не обрывают. И вот один мой не совсем чистоплотный знакомый узнал, что его работа тоже подключена через этого провайдера. И он перестал платить за интернет, пробросив маршрут до работы. Вот так вот.

Я так понимаю это обход полной блокировки клиента, который вдруг забыл пароль и лишился интернета. Но ЛК ему остаётся доступным. Однако, у моего провайдера, во времена ADSL для обхода этой ситуации был бесплатный логин/пароль, через который доступен только ЛК.
Комментарий пока не оценивали0

Это же секрет Полишинеля. Могу добавить, что:


  • этот же пароль (от личного кабинета) используется, как правило, для аутентификации в беспроводной сети, которую настраивают инженеры при подключении клиента;
  • этот же пароль часто используется для входа на роутер, который ставят клиенту;
  • часто логин-пароль состоят только из цифр (привет, перебор паролей Wi-Fi).

Такие дела.


С другой стороны — разве в обязанности провайдера входит обучение компьютерной гигиене?

Всего голосов 1: ↑1 и ↓0+1
С другой стороны — разве в обязанности провайдера входит обучение компьютерной гигиене?

В корпорациях и больших организациях, где работает множество людей и подключено в сеть множество рабочих станций обычно установлен AD. А в нём заданы правила и требования как к паролям, так и в логину. В итоге — новорега система первым делом заставит изменить пароль + не позволит пропустить этот шаг. А ещё будет заставлять это делать с некоторым периодом.

Если рассматривать провайдера в этом ключе, то его клиенты это как раз сотрудники в большой компании. И почему это нельзя организовать подобно?

От себя добавлю, что у моего провайдера доступ к ЛК изначально был только изнутри его сети. Но не обязательно из клиентской точки, на которого оформлена услуга.
Комментарий пока не оценивали0
Все-таки работники организации и клиенты провайдера это разные категории. Первые работают на оборудовании хозяина, чтобы обеспечить ему прибыль в рамках трудового или гражданского законодательства. В компании есть ответственное лицо, которое отвечает лично за безопасность компании. Вторые же платят провайдеру за пользование каналами связи. И физики здесь являются, по сути, такими же клиентами, как и юрики. Поэтому физ лица, также как и юр лица, должны выделять в своем доме (квартире) ответственного за безопасность и заниматься паролями и прочими вещами.
Дверь в квартиру же собственники/владельцы сами меняют-усиливают, а не сваливают это на управляющую компанию или государство.
Комментарий пока не оценивали0
Это всё понятно. Но что на счёт ПД? Разве провайдер не обязан охранять их? Ну и вроде как ЛК клиента это коммерческая тайна провайдера (там же данные о тарифе, иногда — баланс счёта и прочее). Много ли банков могут похвастаться таким же отношением к клиенту?
Комментарий пока не оценивали0
Есть нормативные требования, которые предъявляют требования сложности к паролям в личных кабинетах клиентов и все остальные требования (регулярная смена, неповторяемость и т.п.) и не отдают это на откуп довора об оказании услуг связи? Если да, то я неправ :)
Комментарий пока не оценивали0

Смена пароля с периодом кстати признана многими специалистами по безопасности бессмысленной и вредной:
https://www.schneier.com/blog/archives/2016/08/frequent_passwo.html
https://www.sans.org/security-awareness-training/blog/time-password-expiration-die
https://cryptosmith.com/password-sanity/exp-harmful/

Всего голосов 1: ↑1 и ↓0+1

правильно. Лучший пароль — пароль, которого нет )
А смена пароля провоцирует пользователя на махинации типа
был "MySuperBestPassword#123" -> "123#MySuperBestPassword"

Комментарий пока не оценивали0
разве в обязанности провайдера входит обучение компьютерной гигиене?
видимо и своих сотрудников тоже))
бесплатный генератор паролей, да хоть на 8 символов, цифро-буквенный без спецзнаков (заботимся о пенсионерах), пароль печатать в договоре. Понятно, что это не секурно и компрометируется перед инженером, но уже отсеет толпу любопытных.
Комментарий пока не оценивали0
Странно, что не возникает вопроса о том, что пользователь должен поменять пароль от личного кабинета. Ведь если пользоваться, даже сложным паролем, который сгенерировал некий инженер, то это означает — изначально полагаться на скомпрометированный секрет.
Комментарий пока не оценивали0
ну я же написал, что отсеет любопытных. Кому очень надо, тот с инженером/ами будет договариваться, а пока что — известно всё от большинства ЛК и никого левого не надо посвящать.
Комментарий пока не оценивали0

Если злоумышленник таким образом сможет войти в лк 80% абонентов и отключить всё — это уже будет проблемой провайдера.

Комментарий пока не оценивали0
Как говорили в Лаконии: «если». Учитывая низкий уровень просвещенности населения в вопросах инфобеза и сохранности своих данных, внедрение сложных систем управления паролями скорее отпугнет большое количество клиентов, которым удобно так, как сейчас, а все эти ваши безопасные штуки будут только досаждать. Все-таки это бизнес. А восстановить тарифы во внутренних системах в случае такого массового отключения будет намного проще и дешевле, чем заниматься воспитанием.
Не забывайте, что Хабр это ИТ-ресурс, и желание большинста местной аудитории не будет отражать желаний большинства платящей провайдеру аудитории.
Комментарий пока не оценивали0
Это будет проблемой «по вине» провайдера, но никак не «только проблемой провайдера». Давайте вспомним классическую техподдержку. Сколько времени у нее уходит на решение проблемы, и насколько тактично они подходят к вопросу? У вышеуказанного провайдера на все обращения ответ один: «предлагаю оформить заявку на вызов мастера» (проверено).
А теперь, давайте посчитаем процентное соотношение людей которые не в состоянии не то что решить подобную проблему, а хотя бы понять что в их аккаунт проник злоумышленник.
И сидеть без интернета пару дней пока техподдержка сообразит, пока клиент договорится с мастером это уже проблемно для клиента. И страдает от этого в первую очередь клиент.
Всего голосов 1: ↑1 и ↓0+1
Ну так это ведь хорошо. Повторяя такую ситуацию раз в неделю-две можно добиться того, что либо провайдер поймёт в чём дело и заменит пароли, либо куча клиентов перейдут к другому провайдеру, а тот обанкротится.
Комментарий пока не оценивали0

Это хорошо пока за подобные действия не придется кому-то отвечать. Как только у провайдера начнутся убытки — начнутся активные действия, и уж поверьте, не только в сторону улучшения безопасности, а ещё и в юридическую сторону вопроса. Так что, идея с явным вмешательством и вредительством так себе.

Комментарий пока не оценивали0
Да, я понимаю это. Поэтому и даже не думаю что-то такое делать.
Комментарий пока не оценивали0
Ещё здорово, когда провайдер в личном кабинете пишет что-то типа:
Доступ VPN: Пользователь superluzer пароль yadebil
Доступ ЛК: Пользователь superluzer_lk пароль yaidiot
Всего голосов 2: ↑2 и ↓0+2

В 2015 году работал в этом провайдере. При знакомстве клиента с ЛК, рекомендовал сменить пароль, когда уйду. Оставлял вкладку открытой. Ответственность на клиенте и только. Дальше уж как есть

Всего голосов 1: ↑1 и ↓0+1
Ну может для 2015 это и было и нормально (нет), но уже 2020 как бы…
Всего голосов 1: ↑1 и ↓0+1
На эту тему есть прекрасный фильм Юрия Быкова, «дурак» называется.
Или хакер в столовой.
Операторам связи поровну на эти мелкие неурядицы. Когда коту делать нечего, он что делает? Так же и тут. Работает, да и ладно. Большая часть структуры страны на честном слове держится. На заводах с угрозой второго Чернобыля пробойны в трубах чепиками из дерева латают.
Примерно так, скотчем...

Для наглядности посадят нерадивого взломщика таких паролей и дело с концом. Нет человека, нет проблем. Как есть она, правда. А те кто предлагает всякие условия создания идеального мира пароля. Вам бы в Китае наверняка понравилось. Там во всю идет процесс качественного стягивания гаек. Наслаждайтесь свободой слова воздуха, и не забивайте головы всякой фигней. Такими статьями вы рано или поздно, или уже допишетесь до настоящих статей в уголовном кодексе, когда за такие недочеты начнут привлекать к ответственности. И не оператора связи, а того кто создавал этот личный кабинет, школьника студента на подработке на пол ставки.
Раньше наоборот проблема была, лет… надцать назад когда в одном из региональных операторов эти пароли на листочках-договорах сгенерированные выдавали в конвертиках. Приходишь к заказчику, винда мертвая. Все переустановил, а вот этот вот конвертик клиент потерял куда-то положил. Тут либо заявка на новый логин; пароль, которую хорошо если через неделю обработают, либо ищем.
Всего голосов 2: ↑2 и ↓0+2
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Показать лучшие за всё время
Разблокировать темную тему

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr