да шоб удобно было))) / твиттер :: интернет :: айти :: безопасность :: сбербанк

сбербанк безопасность айти песочница твиттер 

да шоб удобно было)))

Арина Окшус @а_ок8Ьиз 23 ч.
Дорогой (аэЬегЬапк, скажи мне, а почему у вас регистронезависимые пароли?
То есть если у меня, допустим, пароль -"PasSwOrd", почему я могу залогиниться в Сбербанк Онлайн, введя "password"?
Q 20
О 41
V 314

эЬегЬапк > (аэЬегЬапк -15ч.
Да, логин и пароль не

Подробнее
Арина Окшус @а_ок8Ьиз 23 ч. Дорогой (аэЬегЬапк, скажи мне, а почему у вас регистронезависимые пароли? То есть если у меня, допустим, пароль -"PasSwOrd", почему я могу залогиниться в Сбербанк Онлайн, введя "password"? Q 20 О 41 V 314 эЬегЬапк > (аэЬегЬапк -15ч. Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно. Q 132 11, 438 О 257 «£ Джэм @DjamikAndTea v В ответ @sberbank и @a_okshus @sberbank, то-есть вы не хэшируете пароли? 22:50 • 07 сент. 20 • Twitter for iPhone 1 Ретвит 4 Отметки(-ок) «Нравится» Q 11 с? sberbankO @sberbank • 46 мин. В ответ @DjamikAndTea Нет, пользователь должен самостоятельно придумать пароль, соответствующий правилам (не менее 8 и не более 30 символов). Q 6 U з 0 2 < Alexey Dunaev @keir_ru ■ 14 мин. Обнадёжьте этот мир и скажите, что вы не знаете, что такое хеширование паролей и поэтому сказали "нет". О 1 О 0 5 << Artem Mikhailov @artemsmikh • 6 мин. В голос с этих айти-гигантов Q 11 < SS о
сбербанк,безопасность,айти,песочница,твиттер,интернет
Еще на тему
Развернуть

Отличный комментарий!

Register№412 Register№412 02.09.202415:57 ссылка
+62.8
может они переводят пароль в нижний регистр и сохраняют хеш нижнего регистра?
Просто в блокноте
у товарища майора
Но человеку на саппорте следовало бы узнать что это, перед тем, как сморозить херню
ну да, думаю что там сидит не очень квалифицированный специалист. Но с другой стороны вопрос то тоже был некорректный, так как то что пароль не чувствительный к регистру не означает что он не хешируется.
Это не саппорт. Это сммщик в твитторе. То есть было бы круто, елси бы он предварительно узнал как и что. Особенно учитывая, что его зп в сбере шестизначная, и начинается не с цифры 1. Мог бы предвидеть ради чего его спрашивают такое, тут стоило заморочиться.

А по сути задающий вопрос знал, что там не технический специалист. Он инициировал всю эту ситуацию надеясь на ляп отвечающего и последующие лулзы. Он своего добился.
Меня как человека некогда работавшего в этой конторе заинтересовало утверждение - ", что его зп в сбере шестизначная, и начинается не с цифры 1".
Можно узнать откуда подобные цифры? Просто насколько я помню, сбер весьма жопился на зарплаты сотрудникам, и мне признатся с трудом верится что какому-то смсщику платят больше 100к.
ПФФФфф.... Человек на саппорте квинтесенция похуя!
как ты в слове "доступе" умудрился столько ошибок сделать?
Teijo Teijo 02.09.202416:20 ответить ссылка 8.7

через неделю: "для пущей безопасности мы вводим регистрозависимые логины!"

ValD ValD 02.09.202415:44 ответить ссылка 6.4
И убираем пароли нахер. А то запоминать их клиентам неудобно
Ну кстати не самая тупая идея при правильной реализации - забыл эта штука называется, но как в крипте, когда тебе выдается символов на 40 случайных ебала, ТОЛЬКО по которой можно зайти в кошель.
Reiner Reiner 02.09.202415:47 ответить ссылка -7.2

пароль?

DrXak DrXak 02.09.202416:07 ответить ссылка 12.8
сид-фраза на коши, приватник на кош
bugfly bugfly 02.09.202416:09 ответить ссылка 0.7
Мнемофраза, по сути это 24 слова из списка на 2048. Слова типичные, аля "трава кошка стул", но один хер не запомнишь. Сделано это с другой целью -- эти слова потом переводятся в бинарный приватный ключ, с помощью которого уже и идет вся движуха с кошельком. А учитывая что софта для работы с криптой овер дохрена, этот стандарт с мнемофразой хоть как-то позлоляет переключатся между кошельками и по мнемофразе гарантировано получать доступ к средствам (не всегда)
Wolfdp Wolfdp 02.09.202417:28 ответить ссылка 1.1

Сегодня мне при заходе предложили ввести 6-значный цифровой код, по которому я "сможете войти без логина и номера карты, ура!". Хорошо, что была кнопка пропустить.

HashMK HashMK 02.09.202415:48 ответить ссылка 0.0
в сбере входить в клиент по 5и-значному коду довольно удобно
toxa379 toxa379 02.09.202416:07 ответить ссылка -2.1

И не только тебе.

да, кому надо тот и так знает, а для посторонних достаточно этих цифр
Я не пользовался Сбером, но если это в мобильном приложении, то этот код хранится в локальном хранилище и используется для расшифровки кредов, которые лежат в соседнем локальном хнанилище. Если на телефоне стоит еще свой пин или графический ключ, то вполне норм, так делают очень многие прилаги.
У них уже несколько лет такая хрень. Сбербанк уже давно сделал ребрендинг в сбер.....

По относительно новому законодательству РФ банки должны иметь в своем названии слово "банк". Никаких Сберов ему...

Ну, сбербанк, часть сбера же? Тип, у них доставки же есть вся прочая не банковская хуета, вот и назвали сбером все предприятие. А банк так и остался сбербанком?
Ну да. Экосистема. Я про то, что это не значит, что переписка трёхлетней давности.
Хотя например тот же сбермаркет они в Купер переименовали. Так что кто знает
ок, открою форточку... логотип они тоже поменяли.... а на картинках старое лого. Ау, проблеме много лет, а ты доёбываешься до "сбер" или "сберБанк"
Откуда службе поддержки знать про алгоритмы хеширования?
Да и зачем бы им рассказывать это в общем чате. Понятно что это мелочи, но в принципе, зачем бы им расказывать любую информацию о внутреннем устройстве системы
Да это и не служба поддержки как таковая, это скорее СММ.
Чтобы фсб было удобнее пользоваться _

А то ещё и посадят за то, что не предоставляют алгоритм расшифровки хеша _

(Хеш-функции для того и используют, чтобы по колированому паролю было невозможно расшифровать исходный пароль)
Wailt Wailt 02.09.202415:53 ответить ссылка 2.5
Если алгоритм известен - то радужные таблицы в помощь
А если неизвестен - криптотермальный метод
tfik tfik 02.09.202416:08 ответить ссылка 1.9
C MD5 еще прокатит, с SHA-256 или SHA-512 уже заебешься радужные таблицы перебирать, а если пароль еще и по всем правилам (регистрозависимый набор более-менее случайных символов), то совсем труба
Поэтому и хешируют обычно не просто пароль, а пароль с добавлением соли. Этак 100 непечатаемых символов. И удачи с радужными таблицами
Ну так если алгоритм известен(в том числе и соль) - создаёшь свои таблицы из топ 100000 паролей и перебираешь. Не всех ломанешь, но достаточно
Соль для каждого пароля своя.
sprspr sprspr 02.09.202422:19 ответить ссылка 0.7
Чего, блять? С хуя ли? А как ты потом сверять будешь? Или предлагаешь хранить отдельную таблицу солей в привязке к пароля? Тогда всё равно хуйня, если хеши паролей достали, значит и соли достанут
Соль хранится вместе с хэшем. Так и сверяют: достают из базы запись юзера (логин которого ты ввел), и хэшируют введенный пароль с солью из базы. Если совпадает с хэшем из базы, значит пароль правильный.

А сделано так как раз для того, чтобы радужные таблицы нельзя было использовать. Даже если ты достанешь хэши с солью, тебе все равно придется для каждой соли перехэшировать свой список часто употребляемых паролей, чтобы сравнить с утянутыми хэшами. А с учетом того, что алгоритмы хэширования специально делают времязатратными, это задача растянется на годы.
Ну ладно, если соль динамическая - то согласен. Но на практике намного чаще в проектах встречал статическую
Ну если разработчики по-старинке используют что-то типа $password = sha1($password.$salt), то да, но так уже давно делать нельзя. В том же php для этого используется password_hash, которая вернет тебе хэш, в котором уже будет "зашита" соль и количество проходов:

password_hash("12345", PASSWORD_BCRYPT, ["cost" => 14])

выдаст:

$2y$14$hyGh8z3WZfs1AlsVPQ.8WeokssTWVJP0RWQ1DFVMc/4TXHmGWPqI6

Причем при повторном запуске хэш будет каждый раз разный (соль-то разная). И занимает этот вызов с 14 проходами примерно 800мс (на моем компе), т.е. представляешь, сколько нужно времени для генерации твоей радужной таблицы на 100тыс паролей для КАЖДОЙ соли из базы, которую ты утянул?
sprspr sprspr 04.09.202419:38 ответить ссылка 0.1
Так зачем им расшифровывать, если им просто отсылают в удобной табличке фио/пароль!
Heretick Heretick 02.09.202416:59 ответить ссылка -0.2
Пароль на банк должен быть уникален. Всю инфу банк может предоставить и без знания пароля клиента.
Хотя мы говорим о фсб, там с логикой не дружат.
Wolfdp Wolfdp 02.09.202417:32 ответить ссылка 0.0
Не переживайте, это безопасно. Сказали же.
Divaite Divaite 02.09.202415:56 ответить ссылка 1.1

Не проще ли генератор паролей использовать.

DrXak DrXak 02.09.202416:09 ответить ссылка 0.9
У меня пароль это фраза на русском, но с английской раскладкой вбитая. Выглядит как что-то сгенерированное.
Взломщики паролей такое учитывают. Так что лучше заменить случайный символ.
Ну и обязательно двухфакторную аутентификацию.
Я бы посмотрел как они будут учитывать татарские слова на английском транслите
DrXak DrXak 02.09.202416:48 ответить ссылка 8.2
Если таких паролей будет мало, то никак. Если много, то подсуетятся.
Транслитерация кириллицы в своё время также была маловостребована.
Особенно если они пытаются взломать конкретного человека, про которого могут собрать информацию, в том числе какие языки он знает
Мне кажется, изучая сленговые выражения непопулярных языков, на которых мало контента онлайн, они потратят больше денег чем заработают.
DrXak DrXak 02.09.202417:57 ответить ссылка 1.6
Если уж на то пошло, то словари паролей составляют и с учетом транслита.
Wolfdp Wolfdp 02.09.202417:34 ответить ссылка 0.0
Да, но у некоторых букв несколько вариантов транслитерации, и если фраза длинная — может быть несколько десятков вариантов. Хоть и небольшая, но дополнительная защита
С точки зрения перебора по словарю это очень плохое усложнение пароля.
Wolfdp Wolfdp 02.09.202418:48 ответить ссылка 0.9
изи. "сорок тысяч обезьян в жопу сунули банан". без пробелов
tagrim tagrim 02.09.202417:19 ответить ссылка 3.7
Главное не делать как дайвер -- один сложный пароль на все учетки.
Wolfdp Wolfdp 02.09.202417:36 ответить ссылка 4.4
Простой пароль на то, на что похуй. Сложный на то, на что не похуй. Отдельные сложные пароли на критические узлы вроде почты.
Я скорее про сюжетку рассказа, откуда взяли эти сорок тысяч обезян.
Wolfdp Wolfdp 02.09.202418:47 ответить ссылка 2.7
> замените одну из букв на случайный символ
Ты это не запомнишь, если не будешь пользоваться часто.
DrXak DrXak 02.09.202416:47 ответить ссылка 1.5
Можно записывать. Не весь пароль, а памятку, что где заменил. Вроде и везде разные пароли, а вроде и всего один. И записано в блокнотике, который слить не так страшно, как если бы там просто пароли писались
У меня мама записывала свои пароли, но всегда всё забывает и все записи теряет. Ей даже менеджер паролей не поставишь, потому что она и от него забывает пароли.
простой лайвхак - делать пароли для мамы самому.
Ну это не очень хорошо. У меня будут пароли от её личных переписок, её банка и тп. Мне кажется такие вещи должны быть только личными.
DrXak DrXak 03.09.202400:26 ответить ссылка 0.0
дай клятву не подглядывать - в чем смысл за ней следить? или договорись, что она будет менять любой символ на какой-то свой. Одну букву/цифру в одной позиции в строке она в любом случае сможет запомнить. Так у тебя будет публичный ключ, а у нее приватный (хаха) .

по крайней мере вы точно сможете хранить пароли. Почти как любая корпоративная система
а потом через год - "ж" - это Z? А "ы" - Y? Или, например, bi? А как там будет "щ"?..

Данунах такой метод
tfik tfik 02.09.202416:10 ответить ссылка 1.9
набирать кириллицей с включенной латиницей "
Особенно на экранной клавиатуре))
Так как пароль устанавливаешь ты сам, скорее всего ты будешь использовать варианты транслитерации точно такие же. Если возникнут сложности — ничто не мешает перебрать несколько вариантов.

Но я не настаиваю — если метод тебе не подходит, можешь использовать другой. Или использовать этот для паролей, которые ты используешь чаще, чем раз в год.
□□□□□□□□□□□□□□□□ _ UNCOMMON (Nok)-gibberish) BASE UORD , 1	-28 BITS OT ENTROPY □□□□□nan □□□□□□on □ □an □□□ □□□□ □ 22®= 3 DAYS AT •ooo sueaES/sa: (PiAOSlBlfl ATTACK ON a WEAK REMOTE. WEg SERVICE. YES, CRACKING A STOLEN MASH 15 FASTER, BUT ffi NOT WHAT THE WERAOE USER SHOULD UX**Y ABOUT.) Difficulty
Pabl0Che Pabl0Che 02.09.202416:32 ответить ссылка 19.1
Пользуюсь вариантом из комикса всегда, когда могу. Так как рандомную понятную только для тебя фразу из 15 букв и правда взломать гораздо тяжелее чем "пароль должен содержать спец знак, верхний регистр, цифру, нижний регистр, свастику и пикачу-фейс упс простите мы случайно слили нашу базу данных на 200 миллионов пользователей румынским хакерам"
Даже если просто сделать пароль 123456, то в 99.9% случаях тебя никто не взломает, ибо на твои аккаунты всем похуй, ведь ты как неуловимый джо - неуловим, ибо нахуй никому не нужен.

Взлом в целом это сомнительное занятие в наши года, ибо в любой отрасли связанной с финансами малейшая ошибка на любом этапе процесса и взламывать будут уже твое очко братки по камере.
Гораздо проще заставить людей самих снять с себя последние штаны ради какой то сомнительной хуйни.
Да, социальная инженерия наше все.
Вводишь русские буквы в английской раскладке, опционально заменять С на ( и о на 0
Можно ещё ударные гласные делать заглавными
kosoi kosoi 02.09.202416:45 ответить ссылка -1.5
Восстанавливать пароль каждый раз, не помня, ввел C, с, латинскую с, скобку, квадратную скобку и ноль вместо О. Прога просит, чтобы новый пароль содержал цифру, заглавную букву и нижнее подчеркивание. Вспоминаешь, что уже два раза его менял на это говно и забывал.
мм, скрин поста от 07 сент. 20. Надо было ещё 5 дней подождать, может тогда бы этот пост имел хоть какой-то смысл.
По факту, как отписали выше, скорее всего там и правда переводится всё в верхний (или нижний) регистр перед хэшированием.
Да, это уменьшает устойчивость пароля к брутфорсу. Но даже для пароля длиной 8 символов число возможных комбинаций будет 50 в 8 степени, что равно примерно дохуя (39 062 500 000 000). Почему 50 - потому что лень считать сколько спец. символов, но в целом 26 букв англ. алфавита + 10 цифр, ну и пусть 14 спец. символов есть, для круглого счёта.

>>>может тогда бы этот пост имел хоть какой-то смысл.

открываю хелп сбера, смотрю, а там...

й https://node2.online.sbeгbank.гu/PhizlC/help.do?id=/pr¡vate/registrat¡on#p4
•	Для подтверждения повторите пароль.
•	Затем укажите адрес электронной почты, по которому сотрудники Сбербанка при необходимости смогут с Вами связаться.
Внимание! После того как Вы 10 раз ввели логин, который не
anvas666 anvas666 02.09.202416:25 ответить ссылка -3.2
Наверно не совсем чётко сформулировал свою мысль. Я хотел сказать что в этом посте не вижу поводов для смехуёчков, метания говна в сторону сбера и т.п., а оригинальный пост в твиттере был написан ужасно давно.
в скринах про пароль спрашивали, а не про логин
Va-R Va-R 02.09.202417:12 ответить ссылка 0.4
Это при прямом переборе. Многие не используют рандомные пароли, плюс используют один и тот же пароль на нескольких ресурсах, делая их уязвимыми к утечкам, поэтому пароли обычно подбираются по словарям, либо гибридно - при таком подходе сложность перебора уменьшается на порядки. Если их при этом еще и сделать регистронезависимыми, это еще минус несколько порядков, потому что ты уменьшаешь алфавит в полтора раза.
А чего забухтели-то?
Вопрос: хешируете? Ответ: нет, не хешируем.
Твёрдо и чётко.
Qadrad Qadrad 02.09.202416:25 ответить ссылка 1.5
Только что проверил - мой при смене регистра не сработал.
да и этой пасте через 5 дней уже 4 года будет
Va-R Va-R 02.09.202417:10 ответить ссылка 0.6
Пояснительную бригаду, пожалуйста. Что такое хеширование, зачем оно нужно и как оно влияет на безопасность?
fdsfds fdsfds 02.09.202417:28 ответить ссылка 0.4
Это как мясорубка. Провернуть мясо и превратить в фарш можно, но сколько не проворачивай в обратную сторону мясо ты уже не получишь. Это и есть хеш-функция очень простыми словами.

Чтобы не хранить оригинальный пароль, потому что есть риск его спалить, как раз используют хеш-функции. Помимо пароля в хеш-функцию обычно примешивают ещё что-нибудь, чтобы если даже база данных с хешами утечёт, не было возможности сопоставить её с публичными таблицами.
я не айтишник, но раз мясорубка один и тот же пароль проворачивает в один и тот же фарш, значит можно достать настройку этой мясорубки чтобы предположить как выглядел исходный кусок мяса?
Взлом хеш функций тоже реальность, обычно ищут коллизии, а они хоть и маловероятны, но и не неизбежны. Особенно когда механизм поиска коллизий становится известен.
Хмм, а получается можно хешировать многократно и разными способами? Условно внутренним хешированием компании обработать исходный пароль, а потом это месиво прогнать через другое хеширование скажем подрядчика-безопасника. Получится менее устойчиво к стабильности работы всей системы, но более безопасно. Ну и так искать оптимальный баланс между стабильностью и безопасностью
Современные алгоритмы хеширования а-ля стандартные для индустрии SHA-2 и так имеют под сотню раундов "перемешивания" в себе. Чем больше раундов, тем больше циклов процессора на это затрачивается, а поскольку большое кол-во раундов не всегда гарантирует надежность, то стараются построить такой алгоритм, который устойчив к атакам, и не давит на ресурсы.

Кому интересно, в открытом доступе есть бесплатная книжка по азам криптографии: https://github.com/crypto101/book
обычно все методы слишком долгие.
нужно чтобы никто не увидел пароль в открытом виде при обращении к базе.

например, у вас пароль - password. в чтобы проверить корректность его ввода, его нужно где-то как то хранить для сравнения. если в БД (или где-то еще) хранить пароль в открытом виде - password - то злоумышленник может его както спиздить, войти в ваш аккаунт и сделать чтото плохое.

Поэтому применяют функии шифрования которые из password (или лубого другого слова) получат чтото в стиле jhflsjdflj398r9rj32j8fh8fyiw3i74y

когда вы вводите пароль, к вашему значение применяет такая же финкция, получается "хеш" и он сравнивается со значением в БД.

.lower() ни? и потом в хеш

approach approach 02.09.202417:35 ответить ссылка 0.9
Нас наебали, заявленная фича не работает. Пароль на самом деле регистрозависимый.
flameon flameon 02.09.202418:14 ответить ссылка 0.1
баян конешн
vover vover 02.09.202418:36 ответить ссылка 0.1
пароль в бд 100% захеширован, посолен и может даже хранится отдельно на зашифроанной бд. что не исключает того, что захеширован он в нижнем регистре и при проверки пароль переводится в нижний регистр.
denielli denielli 02.09.202422:11 ответить ссылка 0.0
Щас бы твитеру верить
10:42 Ж
© е* <? © ^ № .>111 0
О -о web2-new.online.sberbank.ru/	©
• м-
< Назад
Смена пароля
Введите текущий пароль
Введите новый пароль О
Добавьте минимум 1 заглавную букву Повторите новый пароль
®о в 9
12 3	4		5	6	7	8	9	0
ц м е	Г			У	и	1	0	р
@ # а б	С)5	г	-	& д	Ь	+	к'	
* N О	X	с		V	ь
Вообще то это реальная история, и они действительно не учитывали регистр. Их моментально подняли насмех другие банки, и даже делали посты, что уж у них то всё по другому.
Сбер потом это исправил. Истории несколько лет.
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
<
Твит
©Сбербанк О
@sberbank
Этот твит придумывали 3 человека,
а согласовывали 33.
17:11 • 05.08.2019 • Twitter Web App
672 ретвита(-ов) 8 427 отметки(-ок) «Нравится»
подробнее»

сбербанк twitter интернет компании мартышкин труд

< Твит ©Сбербанк О @sberbank Этот твит придумывали 3 человека, а согласовывали 33. 17:11 • 05.08.2019 • Twitter Web App 672 ретвита(-ов) 8 427 отметки(-ок) «Нравится»
\/асПт
(¡йдгеаиагтезэ
После возврата денег за ноутбук «Сбербанк» отобрал у меня за него кэшбэк.
Они изобрели КЭШБЭКБЭК
подробнее»

твиттер интернет сбербанк кэшбэк

\/асПт (¡йдгеаиагтезэ После возврата денег за ноутбук «Сбербанк» отобрал у меня за него кэшбэк. Они изобрели КЭШБЭКБЭК
#techicom startup
@tychycorn
Все хотят работать в IT, но никто не хочет пахать по 20 часов внеделю за $100К в год
3:26 РМ • 12 и юл. 2022 г. • Twitter for iPhone
41 етвит 8 твитов с цитатами 214 лметок «Нравится»
подробнее»

твиттер интернет айти it-юмор geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор

#techicom startup @tychycorn Все хотят работать в IT, но никто не хочет пахать по 20 часов внеделю за $100К в год 3:26 РМ • 12 и юл. 2022 г. • Twitter for iPhone 41 етвит 8 твитов с цитатами 214 лметок «Нравится»
, , Жорно
@рпциее
Читать
) -
Сбербанк признал утечку данных 200 клиентов
Сбербанк признал утечку данных 5000 клиентов
—ВЫ НАХОДИТЕСЬ ЗДЕСЬ—
Сбербанк признал утечку данных 250000 клиентов
Сбербанк признал утечку данных 1500000 клиентов
Сбербанк признал утечку данных всех 60000000 клиентов
подробнее»

Вы находитесь здесь твиттер интернет сбербанк

, , Жорно @рпциее Читать ) - Сбербанк признал утечку данных 200 клиентов Сбербанк признал утечку данных 5000 клиентов —ВЫ НАХОДИТЕСЬ ЗДЕСЬ— Сбербанк признал утечку данных 250000 клиентов Сбербанк признал утечку данных 1500000 клиентов Сбербанк признал утечку данных всех 60000000 клиентов
Bob Färber
@Bobchensk
Сбербанк успешно отбился от хакерских атак.
Вот в какой стране ай-пи получали, вот там и атакуйте
4:12 - 30 нояб. 2018 г.
Читать ^ V
9 ретвитов 63 отметки «Нравится» -з-Ф	*>©Q
Q
tl 9
Z> 63
подробнее»

твиттер интернет сбербанк удалённое

Bob Färber @Bobchensk Сбербанк успешно отбился от хакерских атак. Вот в какой стране ай-пи получали, вот там и атакуйте 4:12 - 30 нояб. 2018 г. Читать ^ V 9 ретвитов 63 отметки «Нравится» -з-Ф *>©Q Q tl 9 Z> 63