Технологии
IT/Игры
08.09.2020, 11:53

«Для удобства» Сбербанк снизил всем клиентам стойкость паролей

Учетные записи в онлайн-сервисах финансовых организаций — одна из приоритетных целей киберпреступников. Оттого еще более странно узнать, что, оказывается, под предлогом повышения удобства пользователей крупнейший российский банк принудительно снижает стойкость их паролей. Что еще более странно, официальные представители «Сбербанка» заявили, будто никакой опасности в этом нет и такой подход нормален.
«Для удобства» Сбербанк снизил всем клиентам стойкость паролей

На странное поведение приложения-клиента «Сбербанк онлайн» обратила внимание пользовательница Twitter Арина Окшус — она обнаружила, что при вводе пароля не учитывается регистр символов. На соответствующий вопрос, как это понимать, официальный аккаунт банка в этой социальной сети ответил буквально следующее:

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно.

Иными словами, представитель «Сбербанка» признал, что, как минимум, в мобильном приложении финансовой организации стойкость учетных записей к взлому методом перебора снижена на несколько порядков. Обсуждение данной новости в Twitter развернулось нешуточное — кто-то иронизировал, мол, а почему бы вообще не отменить тогда пароли и не полагаться на честность людей, а кто-то пытался получить развернутый ответ, чем вызвано такое решение и каким образом «это безопасно».

Несомненно, любая защита аккаунта в подобных сервисах подразумевает и противодействие так называемому брутфорсу (банальному перебору значений пароля), например, не позволяя за ограниченное время совершать больше определенного количества попыток входа. Однако фундаментом любой криптографии на стороне клиента являются стойкие секретные фразы и без обеспечения возможности реализовать сложный пароль, защищенность всей структуры значительно снижается.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Выяснилось, что «Сбербанк онлайн» игнорирует регистр вводимого пароля, что существенно снижает его стойкость
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Проблем с игнорированием регистра пароля и логина несколько. Во-первых, такой подход может косвенно свидетельствовать о том, что в системе авторизации ключевые данные передаются в открытом виде, а не в форме хэш-сумм — что является полным провалом с точки зрения кибербезопасности. А во-вторых, это говорит об отношении службы безопасности банка и разработчиках его сервисов к защите клиентской информации. Оба этих вопроса в «Сбербанке» пока никак не комментируют.

Крупнейший отечественный банк уже не раз становился виновником общественного обсуждения на тему кибербезопасности и защиты личных данных клиентов. Кроме того, довольно часто появляются известия об очередных утечках баз «Сбербанка», например, одна из самых заметных произошла осенью прошлого года.

Кирилл Меньшов
Кирилл Меньшов 08 Сентября 2020, 18:48
Я ошибаюсь, или когда-то "TechInsider" была достойным журналом? Или я с какой-нибудь "Наукой и Жизнью" путаю? Тот, кто написал эту статью - идиот. Из игнорирования регистра НИКАКИМ образом не следует хранение в открытом виде. А у сложных паролей в природе только два сценария: быть записанными, или быть переиспользованными на сотне разных сайтов. Оба - ГОРАЗДО опаснее брутфорса. Как минимум потому, что двухфакторная аутентификация и ограничения на количество ошибок (после которых пляши с поддержкой и паспортом). Не позорьтесь, писуны.
Рустам Улубаев
Рустам Улубаев 08 Сентября 2020, 17:05
длинный пароль без регистра гораздо более безопасно и надежно, чем короткий, но с регистром. подбирать длинный сложнее и дольше. а вот клиентам набирать и запоминать его проще. так что все нормально. дамочка зря негативит.