Пользователь TJ обнаружил, что пароли в приложении Сбербанка не чувствительны к регистру Статьи редакции
В банке ответили, что это безопасно.
Пользователь TJ обнаружил, что пароли в приложении Сбербанка не чувствительны к регистру, и спросил об этом банк. Там его заверили, что «это безопасно».
То есть если у меня, допустим, пароль - "PasSwOrd", почему я могу залогиниться в Сбербанк Онлайн, введя "password"?
В банке пояснили, что кроме регистра есть другие параметры. Например, длина, элементы пунктуации, комбинации из букв и цифр. По словам Сбербанка, всё это обеспечивает высокий уровень безопасности. Там также напомнили о необходимости соблюдать правила кибербезопасности.
Некоторые пользователи твиттера усомнились в словах банка. Другие же отметили, что в этом случае организация права.
Не удивлюсь если .txt файлик всех паролей в незашифрованном виде лежит где то в папке /desktop у каждого на первой линии поддержки.
Сбер: Ну мпароль пишите как хотите, это мбезопасно 😢 https://twitter.com/sberbank/status/1302843162533208065
Абсолютные дегенераты.
Пиздец, никогда не думал, что буду адвокатом дьявола. https://twitter.com/sberbank/status/1302843162533208065
наверное, так и выглядит наш твиттер со стороны, когда вокруг технического вопроса мы баним тех, кто не поспевает за актуальной информацией и прыгает на всё подряд
В 2015 году учёный из Университета Глазго проанализировал сложность интеллектуального подбора пароля и выяснил, что добавление символов верхнего регистра и цифр не делает пароль значительно устойчивее по сравнению с первоначальным. Большую эффективность показало удлинение пароля или использование специальных символов.
Комментарий недоступен
сраное приложение сбербанка весит примерно столько же, сколько все остальные приложения на смартфоне, там есть веселые картинки, которые показывают время суток, но логин и пароль не чувствительны к регистру.
Ну почему я не удивлен.
Мы закачали на ваш телефон базу всех наших клиентов, чтобы вам было удобней
Там ещё местный антивирь периодически жестко кошмарит слабые смартфоны, и ничего с этим не сделать
Комментарий недоступен
Комментарий недоступен
не переживай, это безопасно
не
Комментарий недоступен
Комментарий недоступен
Речь не о этом...
войти
Комментарий недоступен
Пиздишъ?
( ͡° ͜ʖ ͡°)
Пришёл оставить ровно такой же камодзи
Комментарий недоступен
@Орина Окшусъ
Орина Окшусъ
Комментарий недоступен
Комментарий недоступен
нечувствительные
При первом входе же
Сначала надо залогиниться с паролем, а потом уже настроить пин-код или биометрию.
Кхе, банки уже давно черкают биометрию, с какой скоростью заносишь пароли, какое твоё окружение апликейшенов на мобильнике, какие переводы исполняешь и на какие, обычно, суммы + подпись закрытым ключом, все это, и чуть-чуть другого влияют на решение о совершении операции (или запросе доп. факторов) в банк-клиенте.
Так что твой пароль из нижнего или верхнего регистра - не особо и решает в целом
Отставить панику.
"Умник" докопался до сотрудников поддержки 1-й линии, которые в принципе не обязаны знать ответ на этот вопрос. Предоставили некорректный ответ (не поняв вопроса).
Теперь по сути:
Нам как бы намекают, что Сбер хранит пароли в открытом виде (иначе как еще они сравнивают, что password и PassWord это один и тот же пароль). Но ничего не мешает не хранить на сервере пароль в открытом виде, а хранить только хэш от пароля в нижнем (или верхнем, не важно) регистре. Когда пользователь вводит пароль, привести его в соответствующий регистр, посчитать хэш, и сравнивать с сохраненным на сервере хэшем пароля.
В общем, выглядит как попытка безосновательного троллинга.
Вроде бы разный регистр символов не очень влияет на защищённость паролей https://www.technologyreview.com/2015/10/19/165746/youve-been-misled-about-what-makes-a-good-password/
Энтропия на символ очевидно немного выше, но какой нормальный человек в 2к20 будет брутить пароль от банка?
По ссылке написано про предсказуемость паттернов. "damirdamirdamir" будет надёжнее чем "Damir1990", к менее предсказуемым комбинациям это относится в гораздо меньшей степени. И логично что в условиях регистрозависимости, когда брутфорсерам надо чекать в 2 раза больше символов, иначе шило на мыло
Комментарий недоступен
Комментарий недоступен
Либо хешируют контрольную сумму только нижнего регистра, либо пароли хранят в открытом виде
Комментарий недоступен
Скорей второе
Комментарий недоступен
Так сбер же правильно ответили.
Или хейтят неразобравшись просто потому что хейтить сбер стало модно?
Комментарий недоступен
так и живём
Их сммщик некомпетентен
))))))))))
Сообщение удалено
Берут пример с близзардовского Баттлнет.
Комментарий недоступен
И вообще я этот сайт основал
А баланс счета обновляется только при входе в личный кабинет. Если во время сессии вам кто-то перевел деньги, то вы их увидите только после перезахода. Это ок?
Как-то обращался в сбербанк на тему паролей
мне кажется проще сделать пароль длинным и непредсказуемым, нигде ранее не засветившимся, чем баловаться в игру с регистром. потом многие сами забывают этот пароль где какая большая, а какая маленькая буква и начинается перебор, что уже может расцениться как брутфорс атака . а это несет все сопутствующие проблемы.
Комментарий недоступен