Грустная сказка с висячим концом.
Есть компания, есть счет в банке, есть десятки транзакций в неделю.
Конечно, есть Клиент-Банк.
Это ужасно безопасно, круто и серьезно, с ключами, процессором, двусторонним шифрованием и т. д. Наш бухгалтер обслуживает 3 компании, все в одном банке, все клиенты банка на 1 компьютере, у всех (внимание!) одинаковый трехбуквенный пароль.
Из соображений вашей и моей безопасности я не буду этого писать.
Приняв банковский клиент в банке, я сразу же попросил сотрудника техподдержки о смене пароля.
Сотрудница с видом оскорбленной невинности принесла мне, как блондинке, распечатку из справки, где написано: «В меню «Инструменты» выберите «Сменить пароль», введите старый и новый».
Ну и отлично, подумал я и на время забыл.
Но к Новому 2010 году я собирался сменить пароль.
Последний раз я проверял свой аккаунт 31 декабря 2009 года и нажал ту же кнопку в меню Сервис.
Ввел старый пароль, ввел новый.
Вводил его дважды.
Все в порядке, работает. Думаю, я выйду и войду.
Я вхожу с новым паролем.
Появляется ошибка драйвера базы данных, что пароль для администратора базы данных не распознан и проверьте пароль вообще (скриншот, к сожалению, не сохранил).
Все так системно и по-латински.
Повторил, повторил дважды с тем же эффектом.
Я думаю, это означает, что пароль не был изменен.
Я привожу старый.
Система отображает ДРУГОЕ сообщение об ошибке, гражданское, клиент-банкинг, в котором говорится, что пароль неверен.
Пытаюсь ввести 123456 в окно пароля, и снова вижу гражданское русское сообщение, что пароль не тот. Каковы выводы? Что база данных клиент-банка хранится отдельно, что она защищена паролем (слава Создателю), но при смене пароля в ПО пароль к базе не меняется (иначе как объяснить разные сообщения об ошибках? ).
Ну вот скоро Новый год, клиент-банк не работает, пойду праздновать, уверенный, что аккаунт точно никто не взломает, так как оба пароля не совпадают. 11 января я позвонил тому же другу из службы поддержки банка.
Что получается: 1. Все мои гипотезы верны.
Московская техподдержка банка (или даже разработчика) «не рекомендует менять пароль».
2. Изменить пароль можно «прямо в администраторе базы данных» (умники с Хабра, вы понимаете, что означает это заклинание?).
3. Решить нашу проблему с доступом можно ТОЛЬКО получением свежей раздачи с вшитым старым паролем.
Концовка немного предсказуема.
Так и случилось - я принес свежий дистрибутив.
Краткое содержание .
1. Если незнакомый человек может сесть за компьютер бухгалтера и увидеть знакомую этикетку клиентского банка, он может смело написать трехбуквенный пароль и управлять вашим счетом.
2. В ответ на мои настойчивые просьбы решить вопрос, мне прислали по факсу инструкцию из 5 строк.
Отдайте это своему директору.Мы догадались, что такое «крыжик», хотя завершить процедуру не смогли.В меню.
нужно снять шапку.
, потом зайти в окно.
и т.д.
Естественно инструкция написана специально для меня и никакой помощи нет. 3. В ответ на мои описания угроз, вытекающих из ситуации, проклятий и перечисления рисков, которые они создают своей системой, мне не ответили ничего вразумительного.
Закончить хотелось бы строками из описания клиент-банка:
Поскольку система «БС-Клиент» предназначена для работы с финансовыми документами, вопросам безопасности уделяется повышенное внимание.Безопасная, кошерная, грамотная, безопасная система.В системе используется стойкое криптографическое шифрование и электронная цифровая подпись (ЭDS) всех данных, которыми Клиенты обмениваются с Банком.
Шифрование защищает данные от перехвата злоумышленником; ЦП однозначно проверяет авторство данных.
ЭПроцессор, транспорт. Просто пароли у всех одинаковые.
Для комфорта.
Вы не можете просто изменить их.
На всякий случай.
Для интересующихся - BS-Client, версия 3.15.6.270 ПС.
Не забудьте снять колпачок.
Теги: #банк-клиент #защита #информационная безопасность
-
3D-Дисплей От Apple
19 Oct, 24 -
Это Не Работает
19 Oct, 24 -
Действительно Ли Это Конец Света?
19 Oct, 24
