Безопасность превыше всего!
May. 22nd, 2020 12:19 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
green_frУдивительно, как сложно даётся понятие безопасности. Я регулярно вспоминаю мемуары Фейнмана, где он рассказывает, как, работая над проектом «Манхеттен», он научился подбирать коды к сейфам коллег. Пришёл к местному гебешнику, рассказал, показал — на что тот, вместо того, чтобы каким-то образом улучшить качество замков, выпустил директиву, запрещающую Фейнману подходить к сейфам коллег.
1. Забыл я код доступа к банку одной из наших ассоциаций. А кнопка «восстановить пароль» предлагает немедленно взять кредитку (у нас нет кредитки) и телефон с приложением банка (у нас нет приложения банка). Звоню в поддержку — о, говорят, как всё запущенно! Вам нужно идти в агенство, но только с кучей удостоверяющих личность документов (кто вы такой, кто вы для ассоциации и т.д. и т.п.) Ну и маску не забудьте, здоровья вам и вашим близким.
Прихожу в банк, там даже дверь не открывают, приоткрыли щёлочку: вам чего? Пересказываю им эту же историю (звонил я не им, а в общую службу поддержки) — как, говорите, называется ассоциация? Про меня никаких вопросов, никаких документов. Уходит, возвращается с Post-it, на котором написан новый пароль. Спасибо за работу с нашим банком, берегите себя, до свидания.
У нас там на счету порядка 50K€. Прямо вот подмывает пройтись по банкам с публичным списком ассоциаций нашего города.
2. Пошёл в банк другой нашей ассоциации. Давно с ними не общались, а у них для авторизации используется такая физическая карточка с 4-значными паролями, и время от времени они говорят тебе: а введи ка, что там написано в клеточке C4? Понятно, что карточку я давно посеял, а без неё практически ничего сделать нельзя. Пытаюсь заказать новую карточку — для этого тоже нужно ввести код со старой.
Зато есть кнопка «отозвать старую карточку» (на случай потери).
После чего кнопка «заказать новую карточку» становится доступной безо всякого кода.
Гениально.
Правда, такое ощущение, что люди просто не думают, зачем существуют все эти системы безопасности. Я не о людях, которые применяют процедуру, а о людях, которые эту процедуру разрабатывают (см. пример с Фейнманом). Практически всё делается для галочки — у нас тоже есть 15-уровневая система защиты, сертифицированная ISO-666.
1. Забыл я код доступа к банку одной из наших ассоциаций. А кнопка «восстановить пароль» предлагает немедленно взять кредитку (у нас нет кредитки) и телефон с приложением банка (у нас нет приложения банка). Звоню в поддержку — о, говорят, как всё запущенно! Вам нужно идти в агенство, но только с кучей удостоверяющих личность документов (кто вы такой, кто вы для ассоциации и т.д. и т.п.) Ну и маску не забудьте, здоровья вам и вашим близким.
Прихожу в банк, там даже дверь не открывают, приоткрыли щёлочку: вам чего? Пересказываю им эту же историю (звонил я не им, а в общую службу поддержки) — как, говорите, называется ассоциация? Про меня никаких вопросов, никаких документов. Уходит, возвращается с Post-it, на котором написан новый пароль. Спасибо за работу с нашим банком, берегите себя, до свидания.
У нас там на счету порядка 50K€. Прямо вот подмывает пройтись по банкам с публичным списком ассоциаций нашего города.
2. Пошёл в банк другой нашей ассоциации. Давно с ними не общались, а у них для авторизации используется такая физическая карточка с 4-значными паролями, и время от времени они говорят тебе: а введи ка, что там написано в клеточке C4? Понятно, что карточку я давно посеял, а без неё практически ничего сделать нельзя. Пытаюсь заказать новую карточку — для этого тоже нужно ввести код со старой.
Зато есть кнопка «отозвать старую карточку» (на случай потери).
После чего кнопка «заказать новую карточку» становится доступной безо всякого кода.
Гениально.
Правда, такое ощущение, что люди просто не думают, зачем существуют все эти системы безопасности. Я не о людях, которые применяют процедуру, а о людях, которые эту процедуру разрабатывают (см. пример с Фейнманом). Практически всё делается для галочки — у нас тоже есть 15-уровневая система защиты, сертифицированная ISO-666.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2020-12-18 07:41 am (UTC)