Добрый день. Раньше на Хабре был раздел «я негодую» или что-то подобное. Вот эта заметка подходит для него как можно лучше. Однако, сегодня вместо этого раздела, я лишь нашёл в списке того, чего не надо делать на Хабре «Путать сайт с жалобной книгой» и переписал эту заметку так, чтобы вместо выливания тонны помоев на любимый мной банк, это было обсуждение технологии. Технология эта называется «кодовое слово».
Итак, некоторое время назад, я стал клиентом банка (на всякий случай сразу скажу, что зовут его Модульбанк). И всё было нормально, пока меня не стали спрашивать о кодовом слове при каждом входе в личный кабинет.
Из опыта общения с представителями других банков я помню, что это такой бэкдор, при котором они могут тебя идентифицировать (и соответственно, предоставить тебе распоряжаться деньгами) при звонке по телефону.
Звучит эта услуга очень логично, если я переживаю о том, что могу потерять пароль от личного кабинета и не войти в него однажды, а доступ к финансам нужен будет срочно, то я смогу позвонить, назвать некоторый пароль (хотя сама идей диктовать пароль по телефону - очень странная) и мне разрешат перевести куда-нибудь деньги. Однако, так же как и мне доступ предоставят и любому другому человеку, который сможет его назвать. Упс. Таким образом, кажется логичным отказаться от этой услуги, если мы пароль терять не собираемся, а в случае утери согласны усложнить себе жизнь поездкой в некоторый офис с документом, удостоверяющим личность в руках.
Однако, каково же было моё удивление, когда выяснилось, что в банке нельзя отказаться от этой услуги. А затем и крестик с всплывающего окна в браузере исчез. Некоторое время спасало то, что в приложении крестик остался. Но это продолжалось, как вы понимаете, не вечно. Очевидно, что руководство/менеджеры банка принялись выполнять свою (или не свою) идею, и планомерно бороться с теми кому это «не надо», перекрывая им доступ к личному кабинету.
Отныне доступа туда в любое время дня и ночи не было. Однако иногда, подозреваю из-за багов в системе, мне всё же удавалось попасть в личный кабинет.
Теперь нет. Совсем. Причём, остался работать чат с сотрудниками, в котором они убеждают просто придумать кодовое слово «ради безопасности».
На всякий случай скажу, что в поле нельзя ввести заведомо неповторимое за разумное время (длинное) слово, требования для него очень суровы: «от 4 до 10 символов; только русские буквы и цифры».
К качестве минутки юмора и понимания уровня адекватности поддержки приведу пример инструкции по закрытию счёта «Чтобы закрыть счет, зайдите в настройки → «Тарифы» → «Расстаться с …», юмор, разумеется, заключается в том, что доступа к личному кабинету нет (тогда бы и счёт закрывать не пришлось).
В общем суть этого поста, чтобы не только передать пламенный привет и «всего наилучшего» менеджерам в банках, придумавших это, но и обсудить эту ситуацию. Вдруг кто-то может поделить историей успеха о том, как он избавился от этой напасти. Или вдруг, кто-нибудь объяснит, что банки-то не виноваты, они просто какой-нибудь закон выполняют. А может быть кто-нибудь даже посоветует, где сейчас такого нет. Можно ли жаловаться на банк за принуждение меня и ограничения, если можно то в какую инстанцию?
Есть ещё ненулевая вероятность, что это я дурак и всё не так понял(
Комментарии (44)
emerald_isle
22.10.2021 19:12+1Однако, так же как и мне доступ предоставят и любому другому человеку, который сможет его назвать.
На чём основано столь громкое утверждение? У вас были такие случаи?
la0
22.10.2021 19:39Да, были, я звонил и успешно проходил эти шаги от имени папы друзей семьи который лежал в реанимации и действия одобрял.
Правда потребовались ещё кое-какие данные, но их очень несложно достать при необходимости.
По сути дела описанная проблема решается галочкой "запрет удалённого восстановления доступа к ДБО". Только РЕАЛЬНО РАБОТАЮЩЕЙ. а не как в ВТБ.
tuxi
22.10.2021 20:11Была история у меня с эпплом. Долго не пользовался телефоном, через год потребовалось восстановить айди. Процедура восстановления дошла до вопросов на которые я когда-то давным давно давал ответы...
2й по счету вопрос: "блюдо из яиц"
Омлет. Нет.
Яичница. Нет.
Глазунья. Нет.
ЯиШница. Нет.
После чего я сдался (или попытки закончились, не помню уже) и пришлось искать чеки на покупку и звонить голосом в саппорт. Какой же там в итоге был правильный ответ, я так и не узнал.
trokhymchuk
23.10.2021 11:27-1Охренеть у вас ключевое слово, знаете ли.
Не зря же пишут, мол, имя первого питомца или двоюродной сестры, это не надо запоминать.
aamonster
23.10.2021 16:53+1Охренеть идея – ключевое слово, которое знает довольно много народу... (а ещё есть шанс его вычислить по соцсетям).
trokhymchuk
23.10.2021 17:24А "блюдо из яиц" знают только избранные?
Я про то, что ключевые слова должны быть точными, типа "блюдо из яиц, которое впервые приготовила ваша девушка" (предполагаю, что вы это запомнили).
aamonster
23.10.2021 19:37Угу. В принципе так себе идея – ключевое слово с вопросом к нему, умные люди советуют придумывать слово, не связанное с вопросом, или ещё можно вопрос типа "otp-md5 кря+пароль" (предполагается, что вы помните какой-то пароль и можете выполнить действия из подсказки).
Wesha
24.10.2021 04:42умные люди советуют придумывать слово, не связанное с вопросом,
Есть великолепный рассказ
garwall
26.10.2021 11:55ух какой blast from the past. Где же я его читал? В "Юном технике" или в "Технике - молодежи"?
Wesha
26.10.2021 22:38Ни там и ни там.
Сокровище // Изобретатель и рационализатор. — 1988. — № 6. — С. 28-31.
Оригинал:
The Sixth Palace // Galaxy. — 1965. — Февраль. — P. 99-109.
mx-yh
23.10.2021 18:53На мой взгляд, на самые очевидные вопросы нужно давать совсем неожиданный ответ.
Блюдо из яиц -- кирпич
Имя двоюродной сестры -- дверь
13_beta2
23.10.2021 22:15Вот такая же глупая мысль когда-то в голову взбрела. И именно для банка. И конечно, спустя много лет, всё это забылось, ибо никогда* не требуется. Но пару раз пришлось минут по пять перебирать самые идиотские варианты и проклинать себя за "креативность".
tuxi
24.10.2021 00:36Лайфхак. Если вопросы придумываю не я, я везде пишу ответ "не знаю" (на самом деле другие слова, но смысл такой же). Вроде пока работает. И вспоминать не надо. А то зададут вопрос: "Ваша первая машина?" Жигули, ваз2106, lada 2106 куча вариантов и все верные для человека.
venanen
24.10.2021 15:58Был давно интересный баг у Apple.
Имея apple id, можно было удаленно отследить местоположение айфона с любого, даже недоверенного компа -притом icloud понимал, что я зашел с чужого компьютера, и предлагал ответить на 2 контрольных вопроса или получить смс с кодом. А снизу кнопка - отменить - жал ее и все прекрасно работало. Но потом починили
P.S. Никакой преступной слежки, просто я был молод, а родители уезжали на дачу :)
Mur81
22.10.2021 20:24+2Обходное решение — назначить слово типа «щИгёрЖ6В9Т» (все требования соблюдены).
В ПСБ можно отключить всю идентификацию по мобильному телефону/SMS и входить в банкинг по логину/паролю + одноразовый код с пластиковой карточки, которую выдают в отделении (на 100 кодов). За давностью лет не могу правда утверждать, что там при заключении договора не спрашивали кодовое слово, но по крайней мере при входе в ДБО его не требуют.
Alexey2005
22.10.2021 21:13+9К сожалению, в противостоянии держателей денег с мошенниками банки всегда играют на стороне мошенников. Держать деньги на карточке — это всё равно что жить в коммуналке: банковские счета — натуральный проходной двор. Банки с радостью позволят запустить туда руки любому проходимцу, и клиент никак не может этому помешать:
— Ни один банк не предоставляет услуги абсолютного отказа от кредитов, чтобы к примеру в ближайший год никоим образом на вас ничего не могли оформить.
— Ни один банк не предоставляет услугу белого списка, даже вип-клиентам. И вы не можете обозначить те счета, на которые только и разрешено переводить с вашей карточки (чтобы попытки перевести на счёт, которого в списке нет, неизбежно проваливались).
— Ни один банк не предоставляет услугу явного подтверждения транзакций, чтобы ни один перевод не мог уйти без вашего явного подтверждения, причём не СМС-кодом, а путём захода в приложение или онлайн-банк на вкладку «ожидают подтверждения».
Ну и т.д. Клиент банка полностью бесправен и не может запретить мошенникам абсолютно ничего, а может только попытаться постфактум что-то там оспорить.
Возникает впечатление, что именно мошенники являются настоящими клиентами банков, настолько удобно всё для них устроено.
dimaaannn
23.10.2021 00:09+1IPSec + сертификаты
>>> СуществуютБанки
>>> Введите кодовое слово, одноразовый пароль, свой основной пароль, фамилию троюродной племянницы для входа в личный кабинет.Но если вы попытаетесь снять деньги просто по номеру карты через зарубежные сервисы - то проблем не будет.
onground
23.10.2021 21:09+1Зато можно подключить платную страховку от мошенников (предлог "от" тут намеренно неоднозначен).
Nagh42
22.10.2021 23:42+1Понимаете, вы по факту вместо того чтобы пользоваться возможностями банка, начинаете с ним бороться. Отнеситесь к нему как к инструменту, изучите свойства и пользуйтесь. Или найдите другой инструмент, если этот не подходит.
pixelshader Автор
23.10.2021 00:31+3Изучил. Инструмент дырявый, а отказаться от него нельзя. В этом и проблема.
Nagh42
23.10.2021 12:07+2Почему отказаться нельзя - непонятно, но ладно, положим обстоятельства. Но вы знаете где у этого инструмента проблемы и слабые места, обойдите их? Придумайте как использовать с учётом слабых мест. И если совсем нельзя обойти, подложите соломки в предполагаемые места падения. Просто начните думать в сторону ваших возможностей, а не бейтесь в стену недостатков.
wolfer
25.10.2021 10:26вы случайно не бизнес-коуч?
Nagh42
25.10.2021 10:40Максимально далёк от обоих слов. Просто пришло понимание, что у любого инструмента есть хорошие(сильные) и плохие(слабые) стороны. И часто можно найти способ использовать инструмент так, чтобы эффект слабых сторон был минимален.
Ну и еще момент. Бизнес понимает только один язык - язык денег. Банкам плевать на безопасность, пока это не будет отражаться на их доходах..
aamonster
23.10.2021 17:0210 русских букв или цифр – 43¹⁰ = 2*10¹⁶ вариантов. По мне – достаточно приемлемо, чтобы исключить перебор (который вообще-то должен быть закрыт в принципе – никто не даст вам 100 попыток назвать кодовое слово).
Т.е. на самом деле проблемы нет (зато есть куча других). В смысле, если вы не планируете восстанавливать доступ по кодовому слову – его можно сгенерировать и забыть. Хуже, если банк может неожиданно его спросить ("у нас тут вызвала сомнение ваша операция, мы заблокировали ваш счёт, назовите кодовое слово" – в принципе плохая ситуация, на входящем звонке такого быть не должно), но если вы готовы в таких случаях ехать в банк – вроде терпимо.
pixelshader Автор
24.10.2021 00:20+1А вы не думали, кстати, каким именно образом происходит проверка кодового слова на стороне банка?
Там ведь точно сотрудник банка вводит его в нужное поле, а не глазами его проверяет, да?
aamonster
24.10.2021 08:37Сейчас вроде вводит (судя по тому, что какое-то время назад его комп не с первой попытки принял). А много лет назад afaik действительно сравнивали (судя по аналогичному эксперименту).
Alexey2005
24.10.2021 15:27А что мешает мошенникам позвонить вам — «мы из службы безопасности, у нас вызвала сомнение ваша последняя операция, назовите кодовое слово, или мы заблокируем ваш счёт».
aamonster
24.10.2021 19:38Ничто не мешает, поэтому в такой ситуации надо самому перезванивать в банк.
Любопытно, кстати, что почему-то мошенники кодовое слово узнать не пытаются, всё норовят одноразовые коды. Возможно, оно даёт не так уж много возможностей?
mihmig
Почему бы Вам не сменить банк?
Aleksandr-JS-Developer
Они так просто не отстанут...
pixelshader Автор
Это запасной вариант. Однако есть подозрение что так сейчас везде или почти везде. Поэтому и хочется как-то подтвердить или опровергнуть эту информацию.
vilgeforce
Минимум два других банка пускают по паролю и коду из СМС, не везде так :-)
Wesha
Ага, давайте выкинем дырявую систему с кодовым словом, и поставим SMS, вдвое дырявее.
pixelshader Автор
Двухфакторная авторизация, разумеется, уже присутствует. Фирменное приложение выдаёт тебе одноразовые коды для входа на сайт. К сожалению, этого оказалось не достаточно.
Protos
Двухфакторная аутентификация, ты ж программист
pixelshader Автор
*посыпал голову пеплом