Добрый день. Раньше на Хабре был раздел «я негодую» или что-то подобное. Вот эта заметка подходит для него как можно лучше. Однако, сегодня вместо этого раздела, я лишь нашёл в списке того, чего не надо делать на Хабре «Путать сайт с жалобной книгой» и переписал эту заметку так, чтобы вместо выливания тонны помоев на любимый мной банк, это было обсуждение технологии. Технология эта называется «кодовое слово».

Сдохни, кодовое слово, сдохни!
Сдохни, кодовое слово, сдохни!

Итак, некоторое время назад, я стал клиентом банка (на всякий случай сразу скажу, что зовут его Модульбанк). И всё было нормально, пока меня не стали спрашивать о кодовом слове при каждом входе в личный кабинет.

Из опыта общения с представителями других банков я помню, что это такой бэкдор, при котором они могут тебя идентифицировать (и соответственно, предоставить тебе распоряжаться деньгами) при звонке по телефону.

Звучит эта услуга очень логично, если я переживаю о том, что могу потерять пароль от личного кабинета и не войти в него однажды, а доступ к финансам нужен будет срочно, то я смогу позвонить, назвать некоторый пароль (хотя сама идей диктовать пароль по телефону - очень странная) и мне разрешат перевести куда-нибудь деньги. Однако, так же как и мне доступ предоставят и любому другому человеку, который сможет его назвать. Упс. Таким образом, кажется логичным отказаться от этой услуги, если мы пароль терять не собираемся, а в случае утери согласны усложнить себе жизнь поездкой в некоторый офис с документом, удостоверяющим личность в руках.

Однако, каково же было моё удивление, когда выяснилось, что в банке нельзя отказаться от этой услуги. А затем и крестик с всплывающего окна в браузере исчез. Некоторое время спасало то, что в приложении крестик остался. Но это продолжалось, как вы понимаете, не вечно. Очевидно, что руководство/менеджеры банка принялись выполнять свою (или не свою) идею, и планомерно бороться с теми кому это «не надо», перекрывая им доступ к личному кабинету.

Отныне доступа туда в любое время дня и ночи не было. Однако иногда, подозреваю из-за багов в системе, мне всё же удавалось попасть в личный кабинет.

Теперь нет. Совсем. Причём, остался работать чат с сотрудниками, в котором они убеждают просто придумать кодовое слово «ради безопасности».

На всякий случай скажу, что в поле нельзя ввести заведомо неповторимое за разумное время (длинное) слово, требования для него очень суровы: «от 4 до 10 символов; только русские буквы и цифры».

К качестве минутки юмора и понимания уровня адекватности поддержки приведу пример инструкции по закрытию счёта «Чтобы закрыть счет, зайдите в настройки → «Тарифы» → «Расстаться с …», юмор, разумеется, заключается в том, что доступа к личному кабинету нет (тогда бы и счёт закрывать не пришлось).

В общем суть этого поста, чтобы не только передать пламенный привет и «всего наилучшего» менеджерам в банках, придумавших это, но и обсудить эту ситуацию. Вдруг кто-то может поделить историей успеха о том, как он избавился от этой напасти. Или вдруг, кто-нибудь объяснит, что банки-то не виноваты, они просто какой-нибудь закон выполняют. А может быть кто-нибудь даже посоветует, где сейчас такого нет. Можно ли жаловаться на банк за принуждение меня и ограничения, если можно то в какую инстанцию?

Есть ещё ненулевая вероятность, что это я дурак и всё не так понял(

Комментарии (44)


  1. mihmig
    22.10.2021 17:28
    +7

    Почему бы Вам не сменить банк?


    1. Aleksandr-JS-Developer
      22.10.2021 18:20

      К качестве минутки юмора и понимания уровня адекватности поддержки приведу пример инструкции по закрытию счёта «Чтобы закрыть счет, зайдите в настройки → «Тарифы» → «Расстаться с …», юмор, разумеется, заключается в том, что доступа к личному кабинету нет (тогда бы и счёт закрывать не пришлось).

      Они так просто не отстанут...


    1. pixelshader Автор
      22.10.2021 19:01

      Это запасной вариант. Однако есть подозрение что так сейчас везде или почти везде. Поэтому и хочется как-то подтвердить или опровергнуть эту информацию.


      1. vilgeforce
        22.10.2021 21:42
        +2

        Минимум два других банка пускают по паролю и коду из СМС, не везде так :-)


        1. Wesha
          23.10.2021 04:37

          Ага, давайте выкинем дырявую систему с кодовым словом, и поставим SMS, вдвое дырявее.


          1. pixelshader Автор
            23.10.2021 08:14

            Двухфакторная авторизация, разумеется, уже присутствует. Фирменное приложение выдаёт тебе одноразовые коды для входа на сайт. К сожалению, этого оказалось не достаточно.


            1. Protos
              23.10.2021 12:54

              Двухфакторная аутентификация, ты ж программист


              1. pixelshader Автор
                23.10.2021 13:29

                *посыпал голову пеплом


  1. emerald_isle
    22.10.2021 19:12
    +1

    Однако, так же как и мне доступ предоставят и любому другому человеку, который сможет его назвать.

    На чём основано столь громкое утверждение? У вас были такие случаи?


    1. la0
      22.10.2021 19:39

      Да, были, я звонил и успешно проходил эти шаги от имени папы друзей семьи который лежал в реанимации и действия одобрял.

      Правда потребовались ещё кое-какие данные, но их очень несложно достать при необходимости.

      По сути дела описанная проблема решается галочкой "запрет удалённого восстановления доступа к ДБО". Только РЕАЛЬНО РАБОТАЮЩЕЙ. а не как в ВТБ.


  1. tuxi
    22.10.2021 20:11

    Была история у меня с эпплом. Долго не пользовался телефоном, через год потребовалось восстановить айди. Процедура восстановления дошла до вопросов на которые я когда-то давным давно давал ответы...

    2й по счету вопрос: "блюдо из яиц"

    Омлет. Нет.

    Яичница. Нет.

    Глазунья. Нет.

    ЯиШница. Нет.

    После чего я сдался (или попытки закончились, не помню уже) и пришлось искать чеки на покупку и звонить голосом в саппорт. Какой же там в итоге был правильный ответ, я так и не узнал.


    1. serafims
      22.10.2021 22:20

      безе или меренги


    1. Alexufo
      23.10.2021 00:59

      Тоже самое. Только у меня 4 аккаунта а история 1 в 1 на всех)


    1. Wesha
      23.10.2021 04:42

      Может, Вы воспользовались заветами Роберта Сильверберга?


    1. trokhymchuk
      23.10.2021 11:27
      -1

      Охренеть у вас ключевое слово, знаете ли.

      Не зря же пишут, мол, имя первого питомца или двоюродной сестры, это не надо запоминать.


      1. aamonster
        23.10.2021 16:53
        +1

        Охренеть идея – ключевое слово, которое знает довольно много народу... (а ещё есть шанс его вычислить по соцсетям).


        1. trokhymchuk
          23.10.2021 17:24

          А "блюдо из яиц" знают только избранные?


          Я про то, что ключевые слова должны быть точными, типа "блюдо из яиц, которое впервые приготовила ваша девушка" (предполагаю, что вы это запомнили).


          1. aamonster
            23.10.2021 19:37

            Угу. В принципе так себе идея – ключевое слово с вопросом к нему, умные люди советуют придумывать слово, не связанное с вопросом, или ещё можно вопрос типа "otp-md5 кря+пароль" (предполагается, что вы помните какой-то пароль и можете выполнить действия из подсказки).


            1. Wesha
              24.10.2021 04:42

              умные люди советуют придумывать слово, не связанное с вопросом,

              Есть великолепный рассказ


              1. aamonster
                24.10.2021 08:42

                Я было подумал, что вы про "Лошадиную фамилию"


              1. garwall
                26.10.2021 11:55

                ух какой blast from the past. Где же я его читал? В "Юном технике" или в "Технике - молодежи"?


                1. Wesha
                  26.10.2021 22:38

                  Ни там и ни там.

                  Сокровище // Изобретатель и рационализатор. — 1988. — № 6. — С. 28-31.

                  Оригинал:

                  The Sixth Palace // Galaxy. — 1965. — Февраль. — P. 99-109.


      1. tuxi
        24.10.2021 00:38

        Не у меня, у эппла. Вопросы придумывают в купертино.


    1. mx-yh
      23.10.2021 18:53

      На мой взгляд, на самые очевидные вопросы нужно давать совсем неожиданный ответ.

      Блюдо из яиц -- кирпич

      Имя двоюродной сестры -- дверь


      1. 13_beta2
        23.10.2021 22:15

        Вот такая же глупая мысль когда-то в голову взбрела. И именно для банка. И конечно, спустя много лет, всё это забылось, ибо никогда* не требуется. Но пару раз пришлось минут по пять перебирать самые идиотские варианты и проклинать себя за "креативность".


        1. tuxi
          24.10.2021 00:36

          Лайфхак. Если вопросы придумываю не я, я везде пишу ответ "не знаю" (на самом деле другие слова, но смысл такой же). Вроде пока работает. И вспоминать не надо. А то зададут вопрос: "Ваша первая машина?" Жигули, ваз2106, lada 2106 куча вариантов и все верные для человека.


      1. tuxi
        24.10.2021 00:39

        Подозреваю, что тогда я все же написал в ответе "scrambled eggs"


    1. venanen
      24.10.2021 15:58

      Был давно интересный баг у Apple.
      Имея apple id, можно было удаленно отследить местоположение айфона с любого, даже недоверенного компа -притом icloud понимал, что я зашел с чужого компьютера, и предлагал ответить на 2 контрольных вопроса или получить смс с кодом. А снизу кнопка - отменить - жал ее и все прекрасно работало. Но потом починили
      P.S. Никакой преступной слежки, просто я был молод, а родители уезжали на дачу :)


  1. Mur81
    22.10.2021 20:24
    +2

    Обходное решение — назначить слово типа «щИгёрЖ6В9Т» (все требования соблюдены).

    В ПСБ можно отключить всю идентификацию по мобильному телефону/SMS и входить в банкинг по логину/паролю + одноразовый код с пластиковой карточки, которую выдают в отделении (на 100 кодов). За давностью лет не могу правда утверждать, что там при заключении договора не спрашивали кодовое слово, но по крайней мере при входе в ДБО его не требуют.


  1. Alexey2005
    22.10.2021 21:13
    +9

    К сожалению, в противостоянии держателей денег с мошенниками банки всегда играют на стороне мошенников. Держать деньги на карточке — это всё равно что жить в коммуналке: банковские счета — натуральный проходной двор. Банки с радостью позволят запустить туда руки любому проходимцу, и клиент никак не может этому помешать:
    — Ни один банк не предоставляет услуги абсолютного отказа от кредитов, чтобы к примеру в ближайший год никоим образом на вас ничего не могли оформить.
    — Ни один банк не предоставляет услугу белого списка, даже вип-клиентам. И вы не можете обозначить те счета, на которые только и разрешено переводить с вашей карточки (чтобы попытки перевести на счёт, которого в списке нет, неизбежно проваливались).
    — Ни один банк не предоставляет услугу явного подтверждения транзакций, чтобы ни один перевод не мог уйти без вашего явного подтверждения, причём не СМС-кодом, а путём захода в приложение или онлайн-банк на вкладку «ожидают подтверждения».
    Ну и т.д. Клиент банка полностью бесправен и не может запретить мошенникам абсолютно ничего, а может только попытаться постфактум что-то там оспорить.
    Возникает впечатление, что именно мошенники являются настоящими клиентами банков, настолько удобно всё для них устроено.


    1. dimaaannn
      23.10.2021 00:09
      +1

      IPSec + сертификаты
      >>> Существуют

      Банки
      >>> Введите кодовое слово, одноразовый пароль, свой основной пароль, фамилию троюродной племянницы для входа в личный кабинет.

      Но если вы попытаетесь снять деньги просто по номеру карты через зарубежные сервисы - то проблем не будет.


    1. onground
      23.10.2021 21:09
      +1

      Зато можно подключить платную страховку от мошенников (предлог "от" тут намеренно неоднозначен).


  1. Nagh42
    22.10.2021 23:42
    +1

    Понимаете, вы по факту вместо того чтобы пользоваться возможностями банка, начинаете с ним бороться. Отнеситесь к нему как к инструменту, изучите свойства и пользуйтесь. Или найдите другой инструмент, если этот не подходит.


    1. pixelshader Автор
      23.10.2021 00:31
      +3

      Изучил. Инструмент дырявый, а отказаться от него нельзя. В этом и проблема.


      1. Nagh42
        23.10.2021 12:07
        +2

        Почему отказаться нельзя - непонятно, но ладно, положим обстоятельства. Но вы знаете где у этого инструмента проблемы и слабые места, обойдите их? Придумайте как использовать с учётом слабых мест. И если совсем нельзя обойти, подложите соломки в предполагаемые места падения. Просто начните думать в сторону ваших возможностей, а не бейтесь в стену недостатков.


        1. wolfer
          25.10.2021 10:26

          вы случайно не бизнес-коуч?


          1. Nagh42
            25.10.2021 10:40

            Максимально далёк от обоих слов. Просто пришло понимание, что у любого инструмента есть хорошие(сильные) и плохие(слабые) стороны. И часто можно найти способ использовать инструмент так, чтобы эффект слабых сторон был минимален.

            Ну и еще момент. Бизнес понимает только один язык - язык денег. Банкам плевать на безопасность, пока это не будет отражаться на их доходах..


  1. aamonster
    23.10.2021 17:02

    10 русских букв или цифр – 43¹⁰ = 2*10¹⁶ вариантов. По мне – достаточно приемлемо, чтобы исключить перебор (который вообще-то должен быть закрыт в принципе – никто не даст вам 100 попыток назвать кодовое слово).

    Т.е. на самом деле проблемы нет (зато есть куча других). В смысле, если вы не планируете восстанавливать доступ по кодовому слову – его можно сгенерировать и забыть. Хуже, если банк может неожиданно его спросить ("у нас тут вызвала сомнение ваша операция, мы заблокировали ваш счёт, назовите кодовое слово" – в принципе плохая ситуация, на входящем звонке такого быть не должно), но если вы готовы в таких случаях ехать в банк – вроде терпимо.


    1. pixelshader Автор
      24.10.2021 00:20
      +1

      А вы не думали, кстати, каким именно образом происходит проверка кодового слова на стороне банка?

      Там ведь точно сотрудник банка вводит его в нужное поле, а не глазами его проверяет, да?


      1. aamonster
        24.10.2021 08:37

        Сейчас вроде вводит (судя по тому, что какое-то время назад его комп не с первой попытки принял). А много лет назад afaik действительно сравнивали (судя по аналогичному эксперименту).


    1. Alexey2005
      24.10.2021 15:27

      А что мешает мошенникам позвонить вам — «мы из службы безопасности, у нас вызвала сомнение ваша последняя операция, назовите кодовое слово, или мы заблокируем ваш счёт».


      1. Wesha
        24.10.2021 19:36

        Так я же и приводил рассказ — логика понятна: сначала ВСЕГДА называем неправильное слово. Если сказали "большое спасибо, всё правильно" — то это мошенники.


      1. aamonster
        24.10.2021 19:38

        Ничто не мешает, поэтому в такой ситуации надо самому перезванивать в банк.

        Любопытно, кстати, что почему-то мошенники кодовое слово узнать не пытаются, всё норовят одноразовые коды. Возможно, оно даёт не так уж много возможностей?


  1. wwwa
    23.10.2021 22:43

    — Назовите кодовое слово.
    — «Какоеслово»?
    — Мы рады вас приветствовать! :)