Банк ВТБ заставил меня начать параноить

Все программистские силы уходят на смены дизайна, видимо.

Самое забавное, что лучше было бы, если они его не трогали. Новый дизайн СбрерОнлайна выглядит максимально убого: горизонтальное перелистывание кнопками на 2К мониторе 16:9 --- это какой-то сюр.

есть мобильные версии сайтов, которые на домашний экран так же добавляются

И доступ к таким страницам по 4-6 значному числовому паролю?

Ну и как хакер с современным процессором залезет к тебе в компьютер, чтобы перебрать эти миллионы операций в секунду (спойлер: каждую операцию придётся отправить на сервер). Не проще ли ему сразу достать пароль из хранилища паролей?

Варианты разные могут быть.

Перебирать хакер будет не с моего компьютера, а напрямую из утекшей БД. «Достать пароль из хранилища паролей» - я вообще не понимаю о чем ты, какое хранилище?

Учитывая, что форма ввода пароля четырех-значная (тут даже айтишники отписались что не поняли как ввести обещанные 6 цифр), то в эту форму куча пользователей будет пихать свой PIN-код (найдите пользователей, которые знают что пин-код может быть длиннее). Получается веселая ситуация: PIN-код хранится в двух базах, причем одна по этой вашей модели угроз защищена жостко, ибо хранит «настоящий PIN», а вторая хрен знает как защищена, ибо хранит код разрешения использования сохраненных кук.

Если утечет вторая, вам всем скажут что ничего страшного, это временные данные, пользователи защищены. А кулхацкеры в это время откроют в даркнете сервис где вводишь атрибуты карты, и тебе вероятный код для этого владельца покажут. Если всех пользователей ВТБ принудительно заставляют этим пользоваться, то воровать именно ВТБ-шные карты становится очень выгодно. Клиент даже добанка не успеет добежать или позвонить. Знающие люди раньше него карточку обнулят.

Это чтобы на айфонах оно в браузёре работало. Типа хомячки путаются, что в них в браузере не как в приложении было.

Вот это всё, что ты описываешь, у меня лично вызывает недоумение. Я про вход в целом. Обычно надо подтвердить вход либо с приложения на телефона, либо по коду в СМСке. Просто так ввести 4 цифры и попасть в банк… Ну если это так, то это правда сюр.

Смущает и по этому не пользуюсь этим решетом.

У нас во Франции повсеместная практика, что пароль от онлайн банкинга это 6 цифр (только один необанк выделился и сделал код 8 цифр).

Вероятно, предполагается держать логин в секрете (да он и длиннее), но всё равно выглядит не очень секурно.

Надеюсь, там хотя бы там есть ограничение попыток входа с неверным кодом.

Считай, что ВТБ просто перенимает лучшие мировые практики)))

«Вы что хотите как во Франции?» (с)

Просто так ввести 4 цифры и попасть в банк…

Нет, эти 4-6 цифр предлагают ввести уже после ввода пароля и кода из смс. Типа, чтобы каждый раз не вводить эти пароль и смс. Но действовать этот код будет только пока осталась валидная сессия. Если удалить куки (или просто нажать «выход» на сайте), то сессия удаляется, и всё заново: пароль, смс, придумайте 4-6 значный код.

Ах вон оно что. Ну тогда норм вроде. Еще был бы логично, если бы оно протухало через полчасика в любом случае.

Пока что вместо задания этого кода я отказался от услуг ВТБ: код не задал, соответственно пользоваться сервисом не могу. Правильно ли я сделал?

Я сделал так же, и родственников предупредил.

Главное убедитесь, что с чистой сессией пароль будет запрошен ну и берегите свои куки.

Как это началось, я связался с техподдержкой, то же сказали. Я протестировал. Но нет, пароль не запрашивают. Достаточно кода.

Если бы можно было отказаться от генерации этого кода - было бы «норм». А так как сейчас - бесит:)

Еще был бы логично, если бы оно протухало через полчасика в любом случае.

Так это как раз для того, чтобы не протухало. Ввели код, и удлинили время жизни сессии.

Нет, эти 4-6 цифр предлагают ввести уже после ввода пароля и кода из смс

К сожалению, ничего подобного. Даже при чистой сессии (а она у меня всегда очищается), пускают по смс+код, не запрашивая пароль. Более того, совершенно глупо сделана система ограничения слабых кодов. Если в 6-значном коде одна и та же цифра встречается 3 раза, даже не подряд, то код не пропускают, считая слабым, что резко ограничивает число возможных комбинаций.

Потестил. Вообще всё не так.

Нет, эти 4-6 цифр предлагают ввести уже после ввода пароля и кода из смс.

Пароль не запрашивается.

Если удалить куки (или просто нажать «выход» на сайте), то сессия удаляется, и всё заново: пароль, смс, придумайте 4-6 значный код

Неа. Поудалял все локальные данные (куки, local storage). Даже контейнер (Firefox containers) пересоздал. Всё равно принимает старый код. Пока тестирую смену UA (Как там выше Obezyan писал про слепок).

У нас во Франции повсеместная практика, что пароль от онлайн банкинга это 6 цифр (только один необанк выделился и сделал код 8 цифр).

От банка все же зависит Как пользователь в основном офлайн банкинга с онлайн приложением, не могу не отметить что к коду из 8 цифр периодически спрашивают еще один код из 4 цифр. А приложение установленное на новом смарте вообще бесполезно первые дней пять в течении которых популярный банк шлёт извещения по всем доступным каналам.

Да, сейчас проверил - тоже не спросили пароль. Ну тогда получается, что Xintrea прав - эти клоуны заменили нормальный пароль слабым кодом. Похоже, они просто собезьянничали за другими банками, не поняв сути идеи. Позорище.

Нет, в случае ВТБ на другой ОС и веб-браузере 4-х значный код тоже работает (от слепка тут пожалуй только внешний IP).

И как это ИБ понимать?

Вероятно, предполагается держать логин в секрете (да он и длиннее), но всё равно выглядит не очень секурно.

У ВТБ логин сейчас это номер телефона. Раньше там был вариант логин в виде UID клиента, но это в общем тоже не секрет (в договоре прописан).

Значит они решили использовать слепок ip+mac или что-то подобное. Попробуйте ввести код неверно несколько раз подряд, 4-5 например и поймёте что ничего страшного в этом нет.

Да, теперь у меня тоже не запрашивается пароль. Позорище, а не банк.

И как это ИБ понимать?

Имхо, ни один мало-мальски грамотный ИБ-шник, этого бы не пропустил. У меня сложилось впечатление, что либо вмешались «эффективные манагеры», либо службу ИБ банка постигла участь QA-отдела мелкомягких.

Похоже, они просто собезьянничали за другими банками, не поняв сути идеи. Позорище.

Это из разряда, «если я чего-то не понимаю, то это не я не понимаю, а это вокруг все тупые». :)

Obezyan пытается в теме ‘намекнуть’, что все не так категорично.

Но нет, пароль не запрашивают. Достаточно кода.

Тогда пойду поставлю реакцию ужаса под первым постом.

Obezyan пытается в теме ‘намекнуть’, что все не так категорично.

Я тоже думал, что там как-то нормально сделано, но нет.

На чистой сессии пароль не запрашивается, а вместо него запрашивается код из 6 цифр. И я на 100% уверен, что его угадать легче, чем мой сложный пароль. Даже с первого раза можно угадать, если повезёт. Ладно хоть смс-ку оставили.

Я также вижу, что это «удобство» ввели без возможности отказаться. Наверное, в этом тоже есть какой-то глубокий скрытый от меня смысл, который понимаете только ты и Обезьян? :)

По факту: сейчас в настройках безопасности можно задать логин (нигде не используется), сложный пароль (тоже не запрашивается), и всё. Никаких рычажков для очистки/отмены 4-6 значного кода нет.

Обезьян не относится к этому форуму серьёзно. 90% посетителей - профнепригодные в плане ИТ. Интересных собеседников которые реально знают что-то очень немного.

Обычно первое-второе сообщение делаю конструктивнным, если в ответ тупняк, то начинаю обезьянничать и обоссывать.

Не понимать простейшую концепцию 2FA в 2025 году будучи ИТ специалистом это сразу пароль на стол и на выход.

Значит они решили использовать слепок ip+mac или что-то подобное.

mac в моем эксперименте менялся как и local ip. А использовать внешний ip бессмысленно, т.к. за CG-NAT сидит 100500 абонентов.

Попробуйте ввести код неверно несколько раз подряд, 4-5 например и поймёте что ничего страшного в этом нет.

Не хочу :) То, что количество попыток ограничено, и их не хватит на простой перебор, я и так знаю. Но подбор по словарю сильно упрощается. Потому что 2025 или например год рождения - это тоже валидный код.

Самое смешное, что даже если понял, что код слишком прост, то пока неясно, как его сбросить.

Вообще в плане ИБ всевозможные потуги контролировать безопасность/удобство пользователя я считаю совершеннейшей бестолковщиной.

То они требуют менять пароль каждые N месяцев, то ограничивают использование символов (причём как в сторону запрета, так и в сторону требования хотя бы одного символа).

Да не ваше собачее дело какой у меня пароль, если взломают - сам дурак. А так - хочу циферки - день рождения использую, хочу - котиков из Юникода. Бесит вся эта шиза только.

Ладно хоть смс-ку оставили.

2FA все ещё не щёлкает в голове.

Зачем вообще этими банками пользоваться? Если работодатель заставляет - просто из банкомата снимай деньги по пинкоду и всё. Браузеры какие-то, пароли, зачем это всё? Придумываете сами себе проблемы и потом героически их пытаются решать.

Ладно хоть смс-ку оставили.

и ничего не щёлкает в голове про 2FA…

Да не ваше собачее дело какой у меня пароль, если взломают - сам дурак.

Это так не работает. Точнее, работает, пока ты не стал дураком.

Это очень плохо.

2FA все ещё не щёлкает в голове.

А по-нормальному, полноценно высказать своё видение - никак?

Да, 6-значный код - это второй фактор к смс (или первый, не суть). Но если у меня уже есть хороший пароль, зачем вынуждать его выбрасывать и заменять 6-значным кодом? Согласись, это снижает суммарную надёжность.

Но подбор по словарю сильно упрощается. Потому что 2025 или например год рождения - это тоже валидный код.

Подбор по словарю чего? Эти 4 цифры это соль которой солят хеш слепка. Какой смысл подбирать соль? Если слепок новый и ещё не валидирован то по 2FA нужен ещё код из смс.

Прекращайте этот тупняк, зная только короткий код вы никуда не войдёте не пройдя в первый раз 2FA.

А по-нормальному, полноценно высказать своё видение - никак?

Я несколько раз до вашего сообщения написал о 2FA. Вы просто не потрудились прочитать.

Но если у меня уже есть хороший пароль, зачем вынуждать его выбрасывать и заменять 6-значным кодом? Согласись, это снижает суммарную надёжность.

Конечно же не соглашусь. Вы просто не знаете основ ИБ. 2FA всегда надёжнее пары логин пароль любой длины (1FA). Всегда! Потому что в 2FA для взлома нужно скомпрометировать два разных доверенных источника, а не один. Потому все повсеместно переходят на 2FA и спецов по ИБ не смущает то что код всего 4 цифры.

Что так было 2FA (смс+пароль), что эдак (смс + код). Речь о том, что в 2FA заменили хороший пароль плохим кодом.

Это очень плохо.

Это не плохо и не хорошо. Это жизнь такая. Подавляющее большинство людей, если зайдут в их банк из-за их собственных плохих паролей - будут всегда винить в этом исключительно банк. Судиться, писать на banki.ru, в АП и т.д.

В комментах под статьей на пикабу Банк ВТБ заменил вход по паролю на вход по цифровому коду, ВТБ несколько раз высказался по проблеме. Один из ответов:

Понимаем ваше недовольство. Однако прежде, чем внедрить код доступа, мы тщательно все проверили: он не хуже обычного пароля, такой же удобный и помогает защитить ваш личный кабинет.
Теперь для авторизации нужно ввести номер телефона, код из смс, пароль и код доступа. Если вы повторно входите через то же самое устройство, то пароль вводить не нужно. Если входите через новое устройство или через новый браузер, то помимо номера телефона, кода из смс, пароля, нужно ввести ещё код доступа.

Возможно я не совсем понятно выразил свою мысль. На другом устройстве ВТБ действительно требует другой фактор (SMS).

Мои опасения связаны с тем, что (sms+цифровой код) это хуже чем (sms+длинный пароль).

Если вы повторно входите через то же самое устройство, то пароль вводить не нужно. Если входите через новое устройство или через новый браузер, то помимо номера телефона, кода из смс, пароля, нужно ввести ещё код доступа.

Не соответствует действительности: в обоих случаях sms и код запрашивается, а пароль - нет.

вы упорно не хотите понять что короткий код это соль к хешу и кто я такой чтобы изменить это?

Разговаривать с глухой стеной не интересно, извините.

Это жизнь такая

Вот и я говорю вешаться хочется от этой жизни.

Ты не понял. Абсолютное число людей - тупы в той или иной сфере. Это норма. То, что ты вешаешься от тупости людей в той сфере, в которой ты хорошо разбираешься - это просто обычное когнитивное искажение :)

Интересно, когда роботы будут самовоспроизводиться, они будут делать специализированные версии в разных областях или так и будут всезнайками?