Банк ВТБ заставил меня начать параноить

Когда ж до тебя дойдёт? Пинкод 4-6 символов - это не пароль. И никаких хешей пинкодов никто нигде не хранит.

То что втб сделал это конечно плохо, но, я уверен, вектора атаки на эту штуку ты не знаешь. Мощности процессора тут ни при чём вообще.

Видимо у тебя такая каша в голове от того, что ложкой как правило в ухо попадаешь.

Такое жалкое зрелище, что даже обезьянку дразнить не хочется…

Краткое содержание предыдущих серий для Ъ:

Aceler: У тебя есть 10000 вариантов PIN и всего три попытки.

Xintera: С утекшей базой вход возможен за одну попытку

Dimez: Вот тебе мой пароль из «утёкшей» БД:

$6$/XJ2zkdg1aXdZ1gF$cmXXmAu/o0e/AA.G/ZUxm.wX0nZvAuU76I1D0Xwi3..8jv0Gu/lv51b1NIORq.EVCvupmBT1eREQIjAYTdspR1

Попробуй расшифруй.

Xintera: С умным лицом берет пинкод и считая что это и есть пароль пытается с помощью нейронной сети разобраться с хешем пароля Dimez-a.

У Обезьяна икота от смеха, чуть с пальмы не свалился.

Еще раз: обсуждение шло о том, что сложенные PIN-коды в базу, даже захешированные, легко из нее вытаскиваются, если база утечет. Не пароли, а PIN-коды, которые навязывает банк ВТБ.

Вопрос того, что никаких хешей пинкодов никто нигде не хранит - он открытый, потому что вы не знаете что там понакрутили в ВТБ.

Чем вам 87 символов хеша пароля не хеш?

Хеш конечно, вот только это не хеш 4х значного пинкода и никогда им не был.

Линуксоиды открывают для себя валидацию сессий в вебе. ЛОР, 2025 год.

Пароли в plaintext не хранятся. Более того, их и сервер не знает. Гугли хэширующие функции типа банального bcrypt.

Aceler: Да пусть читаются. У тебя есть 10000 вариантов PIN и всего три попытки.

Xintrea: С утекшей базой вход возможен за одну попытку.

Dimez: Вот тебе мой пароль из «утёкшей» БД:

А что же это так? Речь у Aceler идет о PIN, я ему тоже про PIN отвечаю, а Dimez пишет «пароль». Я считаю, что Dimez в качестве пароля выложил PIN. Ведь он на вопрос о PIN отвечал, не так ли? С чего это он ни с того ни с сего на «пароль» переключился?

Но нам все-таки интересно посмотреть на пароль. Давай, Dimez, выкладывай.

Ты не прав. Сильно не прав.

Это 3 фактор фуфентикации. Если попячят комп (с сохранённым паролем) и телефон - то зайти всё равно не смогут. Если стырят хэши у банка - то придётся подбирать и логин и пароль и пынекод и смску перехватывать.

сложенные PIN-коды в базу, даже захешированные, легко из нее вытаскиваются, если база утечет.

Это какая-то чрезмерная тупизна, уже раза 3 писали, что нет, но читать это для лохов, проще общаться с гопочатом и придумывать условия постфактум.

Пароли в plaintext не хранятся. Более того, их и сервер не знает.

Господи, еще один кто тему задом читал.

Гугли хэширующие функции типа банального bcrypt.

Чем тебе хеширующая функция sha-512 не угодила?

Ты не прав, но я за то чтобы Dimez выложил пароль.

Пароль от своего аккаунта на ЛОРе конечно.

На самом деле, если ТС считает, что этим решением банка безопасность операций со вкладами понизилась, то пусть так считает, почему нет. Ведь можно выбрать и другие, более безопасные, наверно, способы аутентификации, например отпечаток или Face ID, или что там еще…

Некая статья в интернете, отвечая на вопрос как сделать 2FA ещё безопаснее:

• по возможности используйте приложения-аутентификаторы вместо простой аутентификации по СМС, так как приложения гораздо безопаснее, и одноразовый код нельзя подсмотреть без полного доступа к смартфону;
• используйте физические ключи безопасности в качестве альтернативной формы аутентификации;

Господи, еще один кто тему задом читал.

Ну если она тем же местом написана, то…

Чем тебе хеширующая функция sha-512 не угодила?

Реально, самозабанься.

сложенные PIN-коды в базу, даже захешированные, легко из нее вытаскиваются, если база утечет.

Да, и ты дал свой хеш. Но оказалось, что хеш не соответствует ни одному PIN-коду. Ай-яй-яй.

Но мы должны увидеть твой пароль, ведь ты его все равно сменишь. Мы ждем.

По вопросу форсирования запроса настоящего пароля:

Вот тут инструкция, как это сделать через гибридную версия мобильного приложения: https://hranidengi.com/threads/bank-vtb.624/post-384027 (там же немного обсуждения с середины февраля, но в общем ничего нового по сравнению с уже обсужденным в этой теме)

Выбираем Сделать пароль приоритетным. После таких манипуляций, по крайней мере при каждой новой сессии приватного режима браузера на ПК, ВТБ будет запрашивать при входе в интернет-банк вначале код из смс, затем установленный вами пароль, а затем требовать установить приснопамятный код доступа. Но при новой сессии приватного режима браузера все будет повторяться вновь: код из смс, постоянный пароль, код доступа. Таким образом, костылями, можно добиться необходимости ввода пароля при каждом входе в интернет-банк. При входе в мобильное приложение на новых устройствах по идее тоже. Но это не отменяет того, что безопасность нам ухудшили.

Никто такого обсуждения с тобой не вёл, ты сам его выдумал и разговариваешь сам с собой. А ответы других участников форума понимаешь в каком-то искажённом виде, изо всех сил пытаясь поверить что они с тобой это обсуждают.

Он не давал хеш никакого пинкода, и нигде не заявлял что это хеш пинкода (что это за бред вообще?), ты это выдумал. Учись читать что тебе пишут перед тем как отвечать.

Бери любой, только уймись уже.

Past3Writer7Row
split_Lynch+Calf
Sky&Departcrisp
DitchSweden$ornate
advert5Plead3Disc
parody6deep$Yeah
Joke=Sing$decor
Naples+thus!Vacuum
Scene6defect2moody
eerie_Rotten3Gong

Но оказалось, что хеш не соответствует ни одному PIN-коду.

Не, необучаемый :(

Еще раз: обсуждение шло о том, что сложенные PIN-коды в базу, даже захешированные, легко из нее вытаскиваются, если база утечет. Не пароли, а PIN-коды, которые навязывает банк ВТБ.

Насколько я помню визовскую технологию, в большинстве банков большинства стран пинкоды карт в банке не хранятся, ни непосредственно, ни в виде хэшей. Банк их не знает, не хранит и восстановить не может (можно конечно теоретически допустить что где-то есть огромная дыра в безопасности, но система «нехранения» относится к принципиальным в карточной системе). Между карточкой и базой данных банка ходит значение PVV, вычисленное изначально при персонализации карты из ее номера, пинкода и таблицы индексов. Из PVV пин восстановить невозможно даже теоретически.

Учись читать

Вот вы тут все такие умные, хвастаетесь, что знаете русскому языком. А на самом деле это не так!!!

«Я же предупреждал» (с)

Никто такого обсуждения с тобой не вёл, ты сам его выдумал и разговариваешь сам с собой. А ответы других участников форума понимаешь в каком-то искажённом виде, изо всех сил пытаясь поверить что они с тобой это обсуждают.

Цепочка ответов тебя не наводит ни на какие мысли? А может это Dimez стал подменять понятия, а вы за это пытаетесь зацепиться? Некрасиво.
Банк ВТБ заставил меня начать параноить (комментарий)

Он не давал хеш никакого пинкода, и нигде не заявлял что это хеш пинкода (что это за бред вообще?), ты это выдумал.

Он дал хеш в ответ на сообщение о PIN-коде.
Банк ВТБ заставил меня начать параноить (комментарий)

наверное потому что хранить отдельно хэши пинкодов - это нонсенс, который ты сам выдумал

Речь у Aceler идет о PIN, я ему тоже про PIN отвечаю, а Dimez пишет «пароль».

Э нет, Aceler говорит о пин коде, вы говорите о базе и Dimez отвечает о базе показывая что там хранится хеш пароля, а не пин кода и ваш треп про базу в контексте пинкода - пустой.

Вы не понимаете что в базе не хеш пинкода. Что пинкод это не пароль. Но упорно пытаетесь их уравнять, а с нейросети спросу никакого - мусор на входе, мусор на выходе.

Мне уже надоело это обьяснять, да и жалко уже вас макать, на ровном месте полезли а бутылку и захлебнулись.

в большинстве банков

Ну, то есть, каждый банк делает по своему.

Самый быстрый способ — поменять ПИН-код в личном кабинете интернет-банка/мобильного приложения. Например, в приложении «Тинькофф» необходимо выбрать нужный счет, затем нажать на значок карты, прокрутить до опции «Настройки карты» и там нажать на «Изменить ПИН-код», ввести цифры. Также поменять пароль можно в чате поддержки банка — бот предложит выбрать карту, для которой нужно изменить ПИН-код, а затем пришлет ссылку для смены.

Чтобы поменять ПИН-код от карты Сбербанка, следует войти в личный кабинет «Сбербанк Онлайн», выбрать карточку, затем нажать на «Операции», а там — на опцию «Установить ПИН-код».

https://www.banki.ru/news/daytheme/?id=10984457

Это просто распространение технического невежества без реальной попытки почитать по теме вопроса. Фу таким быть.

А будет он банком пользоваться или нет это его личное дело.

Э нет, Aceler говорит о пин коде, вы говорите о базе и Dimez отвечает о базе показывая что там хранится хеш пароля, а не пин кода и ваш треп про базу в контексте пинкода - пустой.

Я говорю о базе пинкодов, ненадо придумывать того чего небыло. Нафига мне было писать код для обычного пароля, тем более на bash, если я знаю что на своем оборудовании его до конца жизни вселенной не переберу.

Вы не понимаете что в базе не хеш пинкода. Что пинкод это не пароль. Но упорно пытаетесь их уравнять

Уровнял их не я, а Dimez.

Мне уже надоело это обьяснять, да и жалко уже вас макать, на ровном месте полезли а бутылку и захлебнулись.

Я абсолютно спокойно признаю, что был неправ, когда Dimez покажет свой пароль, а мы его проверим.

Давай, Dimez, показывай пароль. Неужто за пару часов ты успел его забыть?

Ну, то есть, каждый банк делает по своему.

Чтобы поменять ПИН-код от карты

Вы пропустили главное. Банк все равно не имеет права хранить пинкоды ни в каком виде. Когда клиент меняет пинкод - происходит вычисление нового PVV, привязанного к карте.

Можно конечно упараноиться и допустить, что провайдер, банк, сосед увидели пинкод в процессе ввода и передачи и незаконно сохранил его, но это уже другая проблема. Главное - в банке не хранится ничего, позволяющего узнать пин.

пароль от банковского лк 12345

а теперь - ломай меня! ломай меня полностью!

Банк все равно не имеет права хранить пинкоды ни в каком виде.

Банк много чего не имеет права делать, а тем не менее делает. Вы можете сколько угодно обсуждать как оно должно быть, но как на самом деле у вполне конкретного банка, вам никто не расскажет. Или вы сами узнаете когда произойдет утечка.

И ты тоже можешь сколько угодно утверждать, что ВТБ сделало залепуху и пинкод хранится в базе. Можешь даже написать маркером на фанерке, повесить на грудь и ходить по улицам :)

Что поделать, стопроцентной безопасности не бывает ) Но за принципиальными вещами следят не только сами банковские безопасники, но и карточники, и достаточно жестко периодическими проверками дрючат комиссии ЦБ.

Так что можете исходить из того, что утечка пинов из банковской системы гораааздо менее вероятна, чем утечка например, информации о вашем финансовом состоянии )

утверждать, что ВТБ сделало залепуху и пинкод хранится в базе

Давай будем говорить точно: я утверждал, что если хеши кодов доступа хранить в базе, то при утечке таковой коды доступа можно вытянуть. Я утверждал, что коль форма ввода содержит 4 позиции, многие пользователи будут пихать туда свои PIN-коды. Соответственно, при утечке этой сторонней базы с кодами доступа, по факту утекут PIN-коды тех кто не разобрался.

Откуда у вас уверенность, что регламент обращения с этой сторонней базой, если она существует, такой же как и с другими данными, привязанными к БК, согласно требованиям карточной системы - мне непонятно. Тем более что код доступа привязан к клиенту, а не БК, и правилами именно карточной системы не контролируется.

Почитайте эксперименты людей, которые пытались сбросить сессию и другие атрибуты, прямо в этой теме. Код доступа у них не менялся. Что дает пищу к размышлению о том, где и как существуют эти самые коды доступа.

Вы не понимаете что в базе не хеш пинкода. Что пинкод это не пароль.

Я этого нигде никогда не утверждал, это ваши фантазии. Вы, видимо, пропустили, а я вам кратко напомню: Банк ВТБ заставил меня начать параноить (комментарий)

Если я где-то утверждал, что существует база PIN-кодов, то вы, конечно же, покажете это сообщение, в контексте обсуждения. Иначе вы окажетесь таким же балаболом, как и Dimez.

PS: А от Dimez мы все так же ждем пароля, чтобы проверить его хеш. Это криптография, детка, тут все проверяемо. Давай, Dimez, докажи что ты не балабол.

Откуда у вас уверенность, что регламент обращения с этой сторонней базой, если она существует, такой же как и с другими данными, привязанными к БК, согласно требованиям карточной системы - мне непонятно.

Откуда у тебя уверенность, что у меня уверенность, что регламент обращения с этой сторонней базой, если она существует, такой же как и с другими данными, привязанными к БК, согласно требованиям карточной системы?

Откуда у тебя уверенность, что существует этот и другой регламенты? Откуда у тебя уверенность, что они соблюдаются?

Почитайте эксперименты людей, которые пытались сбросить сессию и другие атрибуты, прямо в этой теме. Код доступа у них не менялся. Что дает пищу к размышлению о том, где и как существуют эти самые коды доступа.

Что значит, не менялся? Должен запросить пароль. Попробуй зайти с другого компа.

Я говорю о базе пинкодов

В ваших словах есть буквы, не более того. База пинкодов существует только в вашей голове.

Если я где-то утверждал, что существует база PIN-кодов, то вы, конечно же, покажете это сообщение, в контексте обсуждения. Иначе вы окажетесь таким же балаболом, как и Dimez.

Да, могу даже два показать:

1. [Попробуем проверить, какие хеши получаются в диапазоне наших 4-х значных паролей из цифр] (Банк ВТБ заставил меня начать параноить (комментарий)) - тут вы говорите о 4х значных пинкодах в базе как о 4х значных паролях.

2. Я говорю о базе пинкодов - а вот тут прям чтобы ни у кого сомнений не осталось.

Тот редкий случай когда мне совершенно не хочется вас обоссывать, даже уже жалко как-то, но вы видимо действуете по первому правилу ЛОРа: если не прав то позорься до конца.

он тебе не с цифрами хеш кинул. нужно брать словарь 10.000 самых распространенных паролей, а потом через hashcat его ломать

Что значит, не менялся? Должен запросить пароль. Попробуй зайти с другого компа.

Не запрашивает, в этом-то и дело! Как только человек задал этот код из 4-6 цифр (по факту из 4, потому что там поле ввода содержит 4 позиции), так сразу пароль перестаёт участвовать в процессе входа. На другом ПК тоже.

о как

от перебора пароля, очевидно

Онлайн перебор паролей ведётся совершенно по-другому. Для всего множества паролей посылается только одна операция на сервер, поэтому защита по тайм-ауту не срабатывает. Соответственно, забрутфорсить 4-х значное число - задачка вообще ни очём. Залезать в компьютер жертвы для этого не нужно.

Вот замок от двери в мою квартиру. Попробуй взломай.

Теперь мои параноидальные пароли over 25 символов не нужны. Все гораздо проще. Зашибись.

У тебя кто-то кнопку «выйти» в их личном кабинете отобрал?

К тому же там и на пин, емнип 2FA. В чём проблема?

Правильно ли я сделал?

Нет. Надо было ещё компьютер выбросить с телефоном, и в тайгу жить уйти.

2FA по СМС, я угадал?

компьютер выбросить с телефоном, и в тайгу жить уйти.

А как налог на самозанятость платить в личном кабинете ФНС каждый месяц?