Безопасность превыше всего!
May. 22nd, 2020 12:19 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
green_frУдивительно, как сложно даётся понятие безопасности. Я регулярно вспоминаю мемуары Фейнмана, где он рассказывает, как, работая над проектом «Манхеттен», он научился подбирать коды к сейфам коллег. Пришёл к местному гебешнику, рассказал, показал — на что тот, вместо того, чтобы каким-то образом улучшить качество замков, выпустил директиву, запрещающую Фейнману подходить к сейфам коллег.
1. Забыл я код доступа к банку одной из наших ассоциаций. А кнопка «восстановить пароль» предлагает немедленно взять кредитку (у нас нет кредитки) и телефон с приложением банка (у нас нет приложения банка). Звоню в поддержку — о, говорят, как всё запущенно! Вам нужно идти в агенство, но только с кучей удостоверяющих личность документов (кто вы такой, кто вы для ассоциации и т.д. и т.п.) Ну и маску не забудьте, здоровья вам и вашим близким.
Прихожу в банк, там даже дверь не открывают, приоткрыли щёлочку: вам чего? Пересказываю им эту же историю (звонил я не им, а в общую службу поддержки) — как, говорите, называется ассоциация? Про меня никаких вопросов, никаких документов. Уходит, возвращается с Post-it, на котором написан новый пароль. Спасибо за работу с нашим банком, берегите себя, до свидания.
У нас там на счету порядка 50K€. Прямо вот подмывает пройтись по банкам с публичным списком ассоциаций нашего города.
2. Пошёл в банк другой нашей ассоциации. Давно с ними не общались, а у них для авторизации используется такая физическая карточка с 4-значными паролями, и время от времени они говорят тебе: а введи ка, что там написано в клеточке C4? Понятно, что карточку я давно посеял, а без неё практически ничего сделать нельзя. Пытаюсь заказать новую карточку — для этого тоже нужно ввести код со старой.
Зато есть кнопка «отозвать старую карточку» (на случай потери).
После чего кнопка «заказать новую карточку» становится доступной безо всякого кода.
Гениально.
Правда, такое ощущение, что люди просто не думают, зачем существуют все эти системы безопасности. Я не о людях, которые применяют процедуру, а о людях, которые эту процедуру разрабатывают (см. пример с Фейнманом). Практически всё делается для галочки — у нас тоже есть 15-уровневая система защиты, сертифицированная ISO-666.
1. Забыл я код доступа к банку одной из наших ассоциаций. А кнопка «восстановить пароль» предлагает немедленно взять кредитку (у нас нет кредитки) и телефон с приложением банка (у нас нет приложения банка). Звоню в поддержку — о, говорят, как всё запущенно! Вам нужно идти в агенство, но только с кучей удостоверяющих личность документов (кто вы такой, кто вы для ассоциации и т.д. и т.п.) Ну и маску не забудьте, здоровья вам и вашим близким.
Прихожу в банк, там даже дверь не открывают, приоткрыли щёлочку: вам чего? Пересказываю им эту же историю (звонил я не им, а в общую службу поддержки) — как, говорите, называется ассоциация? Про меня никаких вопросов, никаких документов. Уходит, возвращается с Post-it, на котором написан новый пароль. Спасибо за работу с нашим банком, берегите себя, до свидания.
У нас там на счету порядка 50K€. Прямо вот подмывает пройтись по банкам с публичным списком ассоциаций нашего города.
2. Пошёл в банк другой нашей ассоциации. Давно с ними не общались, а у них для авторизации используется такая физическая карточка с 4-значными паролями, и время от времени они говорят тебе: а введи ка, что там написано в клеточке C4? Понятно, что карточку я давно посеял, а без неё практически ничего сделать нельзя. Пытаюсь заказать новую карточку — для этого тоже нужно ввести код со старой.
Зато есть кнопка «отозвать старую карточку» (на случай потери).
После чего кнопка «заказать новую карточку» становится доступной безо всякого кода.
Гениально.
Правда, такое ощущение, что люди просто не думают, зачем существуют все эти системы безопасности. Я не о людях, которые применяют процедуру, а о людях, которые эту процедуру разрабатывают (см. пример с Фейнманом). Практически всё делается для галочки — у нас тоже есть 15-уровневая система защиты, сертифицированная ISO-666.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2020-05-22 10:34 am (UTC)Понятно что они должны охраняться по всей строгости. Ну и вот коллега обнаружил, что у большинства этих суперпользователей пароль типа Password1 который видимо даётся по умолчанию. Обнаружил он это, поискав по базе где хранятся хэши от паролей.
Ну доложил наверх и оттуда конечно первейшая детектива пришла - найти у кого есть доступ к этой базе с хэшами и запретить!
А пароли так и оставались как были ещё чуть не пол года.
no subject
Date: 2020-05-22 12:52 pm (UTC)no subject
Date: 2020-05-22 01:16 pm (UTC)Нужно мне это было чтобы получить на новый адрес бумажку с кодами нужными для платежей из онлайн банкинга.
Билась я с ними пару недель, переводили меня на каких-то менеджеров , те обещали на следующей неделе порешать и так до бесконечности. В итоге в какой-то момент я уже возопила мол, да как же так, мне срочно надо там какие-то регулярные платежи отменить и другие провести. А это можно оказалось. Вот просто так по телефону. Тыщу туда, три тыщи сюда...