Банк ВТБ заставил меня начать параноить

Входи по отпечатку пальца.

Тут надо понимать, что этот код скорее альтернатива захода исключительно по кукам, когда вообще ничего вводить не надо.

Главное убедитесь, что с чистой сессией пароль будет запрошен ну и берегите свои куки.

От какой модели угроз ты защитился?

Мне тоже эта херня прилетела, причём не принимала практически никакие коды.
А паролей 25 символов там и не было, лимит на длину пароля у втб 12 символов.
От услуг ВТБ стоит отказаться лишь из-за размера их приложения: невозможно гарантировать безопасность этого 200мегабайтного говна

А то, что для оплаты картой где угодно достаточно кода из трёх символов, написанных на обратной стороне (ну ок, ещё месяц и год — одна 12-ричная цифра ещё, и одна считай восьмиричнай (не может год быть совсем отдалённым от текущего, итого 5 цифр)), не смущает?

А паролей 25 символов там и не было, лимит на длину пароля у втб 12 символов.

Не знаю, я ввожу больше, меня никто не предупреждает что пароль слишком длинный.

А то, что для оплаты картой

Оплата картой и управление всеми счетами - это как бы совсем разные вещи.

От какой модели угроз ты защитился?

От той, которая в моей голове. Скорее всего в документах ВТБ она не учтена. Ровно до того момента, пока их пользователей не поимеют.

Хз, ведь машине всё-равно, сколько у тебя символов в твоём пароле. 6 или 25. Подбор происходит моментально.

Хз, ведь машине всё-равно, сколько у тебя символов в твоём пароле. 6 или 25. Подбор происходит моментально.

Откуда информация?

Ага, недавно тоже проходил этот квест. Причём поле для ввода «4-6 значного кода» содержит всего 4 квадратика. И на любой 4-значный код оно мне говорило, что «код недостаточно секретный». Потом я путём неимоверных умственных усилий догадался, что надо просто вводить пятую и шестую цифры, и тогда квадратики для них появляются. Прекрасный дизайн.

И да, как верно тут сказали выше, это не замена паролю, это типа в дополнение. Поскольку у меня куки удаляются после закрытия браузера, этот тупой код оно у меня просит придумывать каждый раз заново. (У сбера тоже просит, но хоть можно отказаться).

У сбера тоже просит, но хоть можно отказаться

Да, в других банках можно отказаться. А в ВТБ нельзя, и это охренеть как крипово выглядит.

Странно, но именно в ВТБ мне постоянно приходили сообщения о попытках авторизации в мой аккаунт... Номер телефона старый, должен быть слит соответственно давно, и можно логически предположить, что стучаться с моим номером будут во все разные сервисы и банки, но нет, такие попытки были только с онлайн-сервисом ВТБ, что подозрительно.

Ну и как их поимеют?

От услуг ВТБ стоит отказаться лишь из-за размера их приложения: невозможно гарантировать безопасность этого 200мегабайтного говна

У какого банка нынче приложения тоньше?

и это охренеть как крипово выглядит.

Вот именно, что «выглядит». Сильные сомнения, что ВТБ понизил безопасность операций со вкладами. Хотя выглядит именно так. :)

для оплаты картой где угодно достаточно кода из трёх символов

Это вам, наверное, ещё карту не продлевали по сроку. Там дальше отдельный квест - половина интернета принимает код от старой карты, половина интернета от новой. Три раза не угадаешь какой куда писать - карта блокируется. Барышня в поддержке сказала - лечится только перевыпуском.

Все программистские силы уходят на смены дизайна, видимо.

По ссылке написано.

А не надо входить через десктопный браузер.

Все программистские силы уходят на смены дизайна, видимо.

Походу нет, скорее на вещества. Что стоило дизайнерам сделать ссылочку «Пропустить это уникальное предложение»? Ничего не стоило. Но нет.

Кстати, не в тему, но тоже про безопасность - на Госуслугах появилась возможность установки «Самозапрета на кредиты».

Сервисом по самозапрету на кредиты на Госуслугах за два дня его существования — с 1 марта — воспользовались 1,7 млн жителей России, пишет Интерфакс со ссылкой на сообщение Минцифры. «Средний возраст заявителя — 53 года.

По многочисленным просьбам трудящихся. (c)

Классическое непонимание ИБ. Это достаточная защита вида куки-слепок браузера, ОС и пароля чтобы угнанные куки были бесполезны. При нескольких неверный попытках указания пароля эти куки инвалидируются везде и заход будет как обычное логин, пароль и код из смс.

Тоже самое есть у Тинька, Альфы и тд.

да

Рсхб андройдовый клиент 20мб примерно

А мне не давало пароль поставить длиннее. Может, поправили уже

В недавних пор считаю, что если сайт не разрешает поставить мегабайтный пароль, то он несекурен.

Установленный 60, но это обалдеть результат, конечно, в наше время, спасибо (несмотря на й)

А то, что для оплаты картой где угодно достаточно кода из трёх символов, написанных на обратной стороне (ну ок, ещё месяц и год — одна 12-ричная цифра ещё, и одна считай восьмиричнай (не может год быть совсем отдалённым от текущего, итого 5 цифр)), не смущает?

По регламенту визы/мастеркарда такая оплата считается малосекурной и может быть отменена без особых заморочек, правда не знаю соблюдается ли это после того как мы со всем поссорились.

Печально, что у IT-специалиста (вроде бы) такой странный карго-культ в голове вместо знаний…

Т.е. если почистить куки, то запрашивает настоящий пароль, а не ранее заданный код (если таковой был)?

Ну скажем так, смотришь условия обслуживания. Если устраивают - ставишь приложение в виртуалку на каком-нибудь локальном чебурнете, попутно отрезая всю лишнюю телеметрию. Если нет - идешь ножками и пишешь бумаги, что собираешься все это закрывать нахер.

Альтернативы?

отказался от услуг ВТБ

попильное дерьмо которое много раз тонуло, но государство каждый раз спасало его… как ты вообще туда попал? у меня сбер и альфа - стал их клиентом в принудительном порядке не по своей воли, захожу в сбер через веб-морду и последнее время стали просить придумать аналогичный пароль, но пока от его создания можно отказаться, на самом деле сбер это конченые твари - желаю им смерти всем, ничего личного - просто по другому с такими нельзя, вначале драли за ежегоднее обслуживание карты, потом проценты за платежи ввели - якобы вместо ежегоднего обслуживания, а в этом году и за ежегоднее обслуживание взяли и проценты от суммы платежей дерут, вобщем слов нет - одни маты.

Просто забудь что банк доступен удалённо. Карточку ни для чего, кроме взаимодействия с банкоматом, и, может быть, сообщения её реквизитов для приёма платежей, не используй.

Да. Пароль плюс код из смс.

Я так понимаю, что это для тех, кто не удаляет куки - у них будет запрашиваться только этот шестизначный код.

А на озоне или алиэкспресс платить можно?

От услуг ВТБ стоит отказаться лишь из-за размера их приложения

не надо вообще пользоваться г-приложениями банков. есть мобильные версии сайтов, которые на домашний экран так же добавляются - и все. разница лишь в том, что в веб-версии меньше Г. запихано

особенно, когда их нет в официальных магазинах и надо скачивать с сайта разработчика или, не дай бог, по проводу ставить. никто не знает, что туда могли еще запихать

Приложения из google play тоже доверия не вызывают. Раньше GP был безопасен, потом гуглу моча в голову ударила, они стали требовать aab, который требует предоставить гуглу приватный ключ подписи. На этом GP стал полностью бесполезным. Если приложение выложено в google play, значит ключ подписи уже скопрометирован
Чисто технически приложение выложенное на сайте разработчика может быть нажёжнее

webview подозреваю я

Возможно, я пока его не ставил. Смотрел apk, пара dex'ов там есть. Следов котлина (основной виновник 300мб приложений) нет, так что просто какая-то куча явы

По улыбке))

Личный опыт, скажем так.

У сбербанка тоже самое, даже шесть или семь цифр подходит

Ясно, пойду посру.

А как же СМСъ?

Ну и как хакер с современным процессором залезет к тебе в компьютер, чтобы перебрать эти миллионы операций в секунду (спойлер: каждую операцию придётся отправить на сервер). Не проще ли ему сразу достать пароль из хранилища паролей?

Лучше на этих площадках ничего не покупать, но если покупаешь - выбирать оплату наличными при получении.

Tåď kåtü ci sarət - tǫ aidë!

(«Тогда кто хочет срать - тот идёт.»)

От услуг ВТБ стоит отказаться лишь из-за размера их приложения: невозможно гарантировать безопасность этого 200мегабайтного говна

Как будто у других меньше :)

Дык там поди вход всё равно по куаркоду с приложения или смске? А код он и на телефоне просит.