На OZPP.RU

Вернуться   Главный форум потребителей России > Общество защиты прав потребителей > Финансовые услуги и страхование
Регистрация Справка Пользователи Календарь Поиск Сообщения за день Все разделы прочитаны

Добавить в Facebook Добавить в Twitter Добавить в Вконтакте
Ответ
 
Опции темы Опции просмотра
Untitled Document
Старый 10.11.2017, 06:09   #1
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию Безопасность Банка

Приветствую,

Подскажите, существуют ли какие-то регламенты, нормативы Центрального Банка для Банков, или же законодательные базы, судебные практики по Службе безопасности Банка?

Большинство Банков, например, при снятии крупных сумм с банкоматов, и серии подозрительных операций ДО этого, временно блокируют операцию снятия средств, и звонят клиенту с уточнением кодового слова и проверкой личной информации на тему - а он ли эти операции делает?
Т.е. срабатывает служба безопасности.

Вопрос в том - на каком основании она срабатывает? Регулируется ли это каким-либо законом?

Была украдена дебетовая карта и мобильный телефон.
Оперативно не успел среагировать для блокировки.
В итоге вывели крупную сумму - более 1 млн. руб. за 20 минут в банкоматах.
Дневного лимита в Банке нет, только лимит в месяц.

Перед обналичкой средств в банкомате, провели ряд подозрительных операций:

- восстановление пароля в Личный кабинет сайта (информация приходит на мобильный телефон)

- в Личном кабинете сменили пин-код к карте (это почему-то делается за сумму если ты не помнишь старый пин-код) Это очень странный момент.

- перевод всей суммы со Вклада на счёт карты (это допустимо по тарифу)

- обналичка всей суммы в банкоматах

СБ Банка не среагировала ни на каком этапе вообще, хотя по информации из других Банков, на пороге 300-400 тыс. могли бы произвести блок с проверкой личности (контрольный звонок).

Возможно ли подойти к делу со стороны ЗПП?
И регулируется политика безопасности законодательной базой, регламентами, возможно какие-то нормы ЦБ и т.д.?
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 06:46   #2
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Если вы имеете виду некий перечень конкретных операций на которые тем или иным образом должна реагировать СБ, то такового НПА нет. У каждого банка свои внутренние стандарты, алгоритмы и инструкции.
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 06:49   #3
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от minos66 Посмотреть сообщение
У каждого банка свои внутренние стандарты, алгоритмы и инструкции.
А они должны основываться хоть на какой-нибудь законодательной базе?
То есть, хотя бы основа/база какая-то должна быть? Какие-то обязанности, не прям конкретные инструкции, но хоть что-то.
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 06:53   #4
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Что то есть. Банк должен обеспечивать безопасность своего продукта. Банк должен пресекать подозрительные, странные... по моему так и написано в 115-ФЗ "странные" и экономически необоснованные операции. Ну у вас операции странными не назовешь, а вот по поводу безопасности.... "восстановление пароля в Личный кабинет сайта" - разве кодового слова не требуют? Какого иного подтверждения личности, номер паспорта и пр.? А логин как узнали? А смена пинкода? Разве старый пинкод знать не надо? Шас в своих ЛК попробую...
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...

Последний раз редактировалось minos66; 10.11.2017 в 07:10..
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 07:01   #5
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от minos66 Посмотреть сообщение
"восстановление пароля в Личный кабинет сайта" - разве кодового слова не требуют?
Нет
И более того, даже номер телефона не требуют или ещё какие-либо данные.

Просто пишем номер кредитки и капчу, и на телефон приходит и логин и пароль.
Еще можно вроде ставить Мобильное приложение, и тоже вся информация приходит, если его ставят в первый раз.

Цитата:
Сообщение от minos66 Посмотреть сообщение
Ну у вас операции странными не назовешь
по отдельности странными их не назовёшь, а вот серия и последовательность их, может обратить на себя внимание.

совсем утрированный пример, но он реальный - человек каждый месяц переводил по 1 000р, на телефон, и однажды перевёл 1 000р не на свой, ему тут же позвонили и спросили, Вы ли это делаете? (это совсем конечно критическая ситуация, но такое было)

Всю эту ситуация рассматриваю, как недостаточную безопасность в целом, по сравнению с другими Банками, а также претензии к СБ Банка по поводу не реагирования на серию операций, которые вполне могут подпадать под подозрительные.
Но как к этому подойти именно законно, по каким-то статьям и т.д. не могу понять.
Т.е. грубо говоря, морально всё понятно, что могли бы и пресечь, к тому же речь про сумму более 1 млн.
Но пресечь на основании чего?? Не ясно
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 07:12   #6
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Просто пишем номер кредитки и капчу, и на телефон приходит и логин и пароль.
По повадкам Сбербанк вырисовывается. А смена пинкода? Тоже ничего не надо?
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 07:16   #7
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от minos66 Посмотреть сообщение
По повадкам Сбербанк вырисовывается. А смена пинкода? Тоже ничего не надо?
Кстати, была заодно украдена и карта СБерБанка, но с неё ничего снять не удалось.
+ в СберБанке лимиты 500к в день, либо с подтверждением личности в Колл-центре.
Хотя бы так! Но и этого нет.

смена пин-кода, цитирую:
Для смены пин-кода вы должны ввести свой старый пин-код.
Если вы не помните Ваш старый пин-код, то за операцию по смене пин-кода будет удержана комиссия.
200р.
Нормально??

я кстати и не знал что так можно, и многие клиенты были не в курсе, такой "дыры" с пин-кодом.
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 07:28   #8
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

А вы подали заявление о фроде в установленном порядке в банк? В полицию заявление писали? Я про то, что можно посудиться попробовать - сумма то не копеечная.... Особенно меня удивляет процедура смены (именно смена, а не получения пинкода по новой карте) пинкода.
Цитата:
Сообщение от D.S.K. Посмотреть сообщение
но с неё ничего снять не удалось.
А на ней что нибудь было? А как то странно даже, если было и не сняли... В Сбере счета регулярно чистят и без наличия карты, достаточно получить возможность получать смс на зарегистрированную симку (разными способами).
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 07:46   #9
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от minos66 Посмотреть сообщение
А вы подали заявление о фроде в установленном порядке в банк? В полицию заявление писали? Я про то, что можно посудиться попробовать - сумма то не копеечная....
На карте СБерБанка было средств совсем не много, меньше 10 тыс.
Почему не сняли - не понятно. Может не успели. И в СберБанке менять пин-код кажется нельзя, его вообще меняют только с перевыпуском карты, лично в офисе. В каких-то банках меняют только если помнишь старый.

Заявление-претензию подал, как полагается по закону до конца следующего дня.
И в тот же день в полицию.

На след. день звонили из банка, спрашивали номер заявления в полицию.

Через 3 дня банк выслал официальное письмо.
Основная суть - стандартная отписка, что вы заявили о блокировке карты позже чем была операция списания средств в банкомате, поэтому банк ничего не нарушил.
Привели хронологию по времени.
Про серию операций по смене всех паролей - умолчали вообще.

Судиться хотел, только тема иска не понятна.
Если цепляться со стороны безопасности, то на сновании чего? Не нахожу пока, ни норм, ни статей и т.д. по безопасности.

А то что банк осуществил перевод и обналичку - тут никаких нарушений с его стороны нет. Он был уверен, что это я, поэтому банк своих договорных правил не нарушил.
Тут как бы будет отказ. Всё законно.

Но почему банк допустил такую серию операций без контроля, и вообще позволяет такой низкий уровень защиты пин-кодов и вкладов - это вот да.
Только на какой законодательной базе всё это будет держаться?? Не ясно.

Банк обязан обеспечить должную защиту? Так он и обеспечил - логины, пароли, подтверждение входа в Личный кабинет по СМС.
А что считается должной защитой или не должной, тут как-то размыто.
Менять пин-коды за 200р. если не помнишь старый, - с одной стороны это абсурд. Потому что уязвимость зоны, которая относится к повышенному риску.
Но опять же, это всё моральные аспекты. А закон-то где??? Пока вроде бы нигде А суд будет опираться на закон.

Последний раз редактировалось D.S.K.; 10.11.2017 в 08:03..
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 08:01   #10
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Судиться хотел, только тема иска не понята.
как непонятна? Предмет иска - вернуть такую то сумму. Основания иска - п.п. 11 и 12 Статья 9. Порядок использования электронных средств платежа / КонсультантПлюс Ну там еще пристегнуть можно от обьязанности банка обеспечить безопасность продукта до права потреба на качественную услугу по ЗоЗПП... подумать только надо что и как пристенивать...
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 08:14   #11
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от minos66 Посмотреть сообщение
как непонятна? Предмет иска - вернуть такую то сумму. Основания иска - п.п. 11 и 12 Статья 9. Порядок использования электронных средств платежа / КонсультантПлюс
По этим пунктам будет отказ, т.к. по таймлайну блокировка мной карты произошла после списания средств, т.е. банк свои договорные обязанности не нарушал до этого времени.
Если бы списание средств было после блокировки - тогда да.

А так, судебная практика показывает практически 0% выигрыша.
К тому же, утеря/кража карты - это не соблюдения мной мер безопасности, которые привели к таким последствиям. Собственно это написано в официальном ответе банка на заявление.

Тут только если хватать банк за безопасность и её практически отсутствие. Но тут мы выходит на то, что не понятно чем это регулируется.
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 08:46   #12
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
т.к. по таймлайну блокировка мной карты произошла после списания средств,
Вы саму то норму читали? Причем здесь блокировка карты?
11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта <......> его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
Доказали, что обнаружили факт фрода аж через месяц после списания, например при получении очередной месячной выписки, ибо она и есть уведомление банка об операциях, которое вменено банку законом (остальные способы уведомления - читайте конкретно свой договор) и которую вы обязаны получать и изучать, вот и действуйте - "не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции" надо успеть подать соответсвующее заявление. Успели подать - вот вам и п. 12 - возместить! Это основания иска. Ну а остальное это собственно и есть состязательность сторон, кто что докажет.
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 08:56   #13
ALPRO
 
Аватар для ALPRO
Активный участник
 
Регистрация: 14.05.2013
Сообщений: 2,384
Репутация: 25229708
По умолчанию

судебная практика по таким делам именно по картам - безнадежная для клиента... еще по хищениям с счетов в банке я встречал положительные решения с возвратом украденных средств. а по картам мертвяк. карту потерял, пароль скомпрометирован. а тут еще и с телефоном в привязке... от банка будет отписка в стиле сам дурак. а суд напишет, что банк ничего не нарушил, а истец сам не смог обеспечить безопасность своего пароля.
я когда-то решений 50 по этой теме анализировал. статью даже писал в какой-то сборник. с тех пор у меня на карточке до 5 тысяч рублей. все что выше в день прихода снимается.
есть реально знакомый, у которого счета в СБ обчистили через их онлайн систему на несколько сот тыров.
__________________
ALPRO вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 09:03   #14
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от ALPRO Посмотреть сообщение
судебная практика по таким делам именно по картам - безнадежная для клиента... еще по хищениям с счетов в банке я встречал положительные решения с возвратом украденных средств. а по картам мертвяк. карту потерял, пароль скомпрометирован. а тут еще и с телефоном в привязке... от банка будет отписка в стиле сам дурак. а суд напишет, что банк ничего не нарушил, а истец сам не смог обеспечить безопасность своего пароля.
Вот так оно и есть!
Вчера тоже заглянул к знакомому адвокату по банковским делам, всё тоже самое сказал точь в точь.

Единственный нюанс, это то о чём я говорю - про серию операций, реакцию СБ Банка, и общую безопасность, т.е. как она устроена именно в этом банке, потому что нигде в других такого беспредела нет.
Но чем подкрепить иск в этом направлении??? Ни чем что ли?(
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 09:04   #15
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Когда деньги уводят с помощью пинкода, то здесь действительно весьма сложно что то оспорить, но и в этом случае встречал положительные решения. Но у нас ведь есть сильный аргумент - пинкодом легко может завладеть любой, кто имеет доступ к телефону истца (всего за 200 рублей). О какой сохранности пинкода речь? Правда оспаривание подтверждения по 3D Secury это тоже не легче, чем с пинкодом, но ведь и сумма не несколько тысяч, а тысяча тысяч....
А то что у вас на карточке 5 тыр, то вас бы это не спасло в подобной ситуации (напились, заснули, собутыльник завладел картами и телефоном и, не зная более ничего, опустошил все ваши счета по указанной выше схеме.... просто получив физический доступ к карте и к телефону), если у вас в этом банке еще какие продукты есть, например кредитка - перевели бы с вашей кредитки весь доступный кредитный лимит, еще бы и комиссию охренительную заплатили бы...
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 09:40   #16
ElizarovPetr
 
Аватар для ElizarovPetr
Активный участник
 
Регистрация: 03.12.2013
Адрес: Петербург
Сообщений: 6,300
Репутация: 96183506
По умолчанию

Я тоже считаю, что, как минимум, надо начать с жалобы на банки.ру и готовить исковое в суд. Так как этот банк дает слишком много возможностей для вороваек. Такие вещи, как смена пин-кода в личном кабинете при утере, никакой дополнительной аутентифенкации при этом, вообще крайне странно или ТС это Вы так личный кабинет настроили - выключили всякие 2-сторонние проверки и прочее? Я один раз потрошил карту ГПБ на Якиманке по 500 рублей, в банкомате не было покупюрного набора, а мне нужно было 15000 именно 500-ками. На 10 снятии мне позвонили из СБ банка, а на 20 уже и секьюрити подошел в отделении.
__________________
High and mighty alone we are kings, Whirlwinds of fire we ride,
Providence brought us the crown and the ring, Covered with blood and our pride
ElizarovPetr вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 09:46   #17
ALPRO
 
Аватар для ALPRO
Активный участник
 
Регистрация: 14.05.2013
Сообщений: 2,384
Репутация: 25229708
По умолчанию

ну вы мне еще советы подавайте по этой теме.
естественно никаких счетов нет в этом банке. и в кредит я не живу
тема безопасности вкладов и средств на картах очень актуальна. но тут вопрос во многом в другом. пострадавший всегда ставит вопрос о самой надежности предоставляемых банковских продуктов (например, онлайн систем), указывая на вопиющие моменты - вот эти же 200 рублей за новый пароль. то есть, некачественной банковской услуге. но какой российский суд нагнет банк, если есть возможность свалить все на самого пострадавшего?! это объективная реальность.
читал апелляционное определение этого года. слежу за темой. так вот, тетя взяла кредит под миллион рублей. в банке ее подключили к системе онлайн. она доехала до дома, а на счету уже пусто! и никакие аргументы не прошли. суд пишет, что не доказаны нарушения банка. а то, что за столь кроткий срок деньги несколькими действиями были уведены, проблема только самого потерпевшего. опять же, скомпромитировал пароль и проч.
а теперь простой пример: я многократно видел в СБ, да и со знакомыми такое случалось, что сотрудник банка сам через терминал распечатывает талон с логином и паролем и потом отдает его клиенту. что мешает ему быстренько отфоткать и потом передать злоумышленникам? да ничего не мешает. было бы желание. очевидно, что сотрудник банка сам распечатывать такой талон не имеет право. это конфиденциальная информация. а у нас это обычное явление.
ну и еще один аспект: иногда пострадавшим звонят якобы из коллцентра банка. они знают всю информацию о клиенте. они провоцируют его на действия, которые потом повлекут потерю средств. и попадаются люди. потом с банка ничего по суду получить невозможно. типа, сам информацию передал. но люди уверены, что злоумышленники, как минимум, имеют в своих рядах человека из банка. иначе откуда у них банковская информация клиента.
просто сравнение по страховкам ОСАГО и КАСКО. почитайте какой-нибудь приговор преступным группам мошенников, которые наживаются на левых ДТП. там все. и сотрудники страховых, и судейские в доле...

Цитата:
Сообщение от ElizarovPetr Посмотреть сообщение
Я тоже считаю, что, как минимум, надо начать с жалобы на банки.ру и готовить исковое в суд. Так как этот банк дает слишком много возможностей для вороваек. Такие вещи, как смена пин-кода в личном кабинете при утере, никакой дополнительной аутентифенкации при этом, вообще крайне странно или ТС это Вы так личный кабинет настроили - выключили всякие 2-сторонние проверки и прочее? Я один раз потрошил карту ГПБ на Якиманке по 500 рублей, в банкомате не было покупюрного набора, а мне нужно было 15000 именно 500-ками. На 10 снятии мне позвонили из СБ банка, а на 20 уже и секьюрити подошел в отделении.
судиться надо. хотя бы для самоуспокоения, что сделал все что мог.
но тут еще траты на юриста вылезут. вот как раз мой знакомый за две инстанции 40 тысяч рублей адвокату и отдал...
__________________

Последний раз редактировалось Alex133; 10.11.2017 в 10:32..
ALPRO вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 09:50   #18
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от ElizarovPetr Посмотреть сообщение
Я тоже считаю, что, как минимум, надо начать с жалобы на банки.ру и готовить исковое в суд. Так как этот банк дает слишком много возможностей для вороваек. Такие вещи, как смена пин-кода в личном кабинете при утере, никакой дополнительной аутентифенкации при этом, вообще крайне странно или ТС это Вы так личный кабинет настроили - выключили всякие 2-сторонние проверки и прочее?

Личный кабинет не настраивал в невыгодное положение для себя, точно.
После того как клиенты банка у которых крупные вклады, узнали о такой возможности в личном кабинете, теперь почёсывают голову.

Смена пин-кода в личном кабинете без доп.проверок - конечно странно, но нельзя же так в иске написать.
Это речь о безопасности. А где нормы?? Нигде вроде. А тогда что писать??
Вероятный ответ банка - как хотим, так и делаем тогда, раз законов нет.
Хотим пин-код менять, и меняем, сделали вам для удобства.

Тут корень в этом пин-коде, если бы не было его смены без проверки - ничего бы никуда не ушло, а если бы ушло, то проще было бы найти.
Да и вообще, на пороге 300-400 ну пусть 500к, можно было и среагировать СБ и позвонить уточнить кто снимает и проверить кодовое слово. - не сделали! Почему?? А почему должны ?? регулируется чем? Вроде ни чем. Тогда тоже в пролёте?!
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 09:57   #19
ElizarovPetr
 
Аватар для ElizarovPetr
Активный участник
 
Регистрация: 03.12.2013
Адрес: Петербург
Сообщений: 6,300
Репутация: 96183506
По умолчанию

Пост 12+пишите все факты-дыры в системе банка, дающее возможность вывода денег. Что за банк то такой, кстати?
__________________
High and mighty alone we are kings, Whirlwinds of fire we ride,
Providence brought us the crown and the ring, Covered with blood and our pride
ElizarovPetr вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 10:54   #20
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от ElizarovPetr Посмотреть сообщение
Пост 12+пишите все факты-дыры в системе банка, дающее возможность вывода денег. Что за банк то такой, кстати?
Банк - МКБ

так это не дыры, а недостаточная безопасность, а суду нужны статьи закона, где есть нарушения.
А где нарушения?? нигде! Морально да есть, а по закону нет.

я пока не вижу статьей, которыми можно прицепиться к банку, за исключением 161-ФЗ 9 ст.
Но на ответ банка, который он скажет в суде и который уже официально пришёл: - мы ничего никаких законов не нарушали, заблокировали карту тогда, когда поступил сигнал от клиента, но средства уже были сняты, поэтому ответственности не несём.
Так указано в нашем договоре. Чётко ему следовали.

мне нечего противопоставить

Скажу: у вас не сработала СБ Банка!
Мне будет простой ответ: покажите статьи где написано что она должна сработать??

Скажу: у вас смена пин-кода за 200р без дополнительной идентификации!
тоже самое: покажите статьи где должна быть идентификация?? это наш внутренний регламент.

Да хоть: Ваш банк не соблюдает рекомендации норм ЦБ по безопасности (хотя пока не нашёл их)
Тоже самое: ЦБ нам не закон и не хозяин, это рекомендации, а не законодательство.

и всё
и что мне доказывать??
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 11:01   #21
KotMatroskin
Юрист
 
Регистрация: 07.08.2012
Сообщений: 4,511
Репутация: 61501566
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Скажу: у вас смена пин-кода за 200р без дополнительной идентификации!
А Вы об этом разве не знали заранее, когда в правоотношения с этим банком вступали?

Зачем Вы на таких условиях, если они Вас не устраивают, соглашались сотрудничать с банком?
KotMatroskin вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 11:06   #22
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Об это не знали даже клиенты этого банка у которых крупные вклады, потому что это не написано в договорах.

А в Личном кабинете это находится внутри в глубине. Поэтому многие и не знали. А вот теперь после моего случая головы зачесали.

Если бы я это знал, то такую карту не выносил даже из дома, тем более когда там больше 1 млн, на вкладе!, а не на счёте карты.

Абсолютное большинство банков звонят и проверяют при снятии средств, блокирует на 300-400к при серии подозрительных операций, пин-коды меняют только в офисах или с доп.проверкой.
А такое я вижу первый раз.

Это соответствует нормам безопасности? с натяжкой. Но где хотя бы рекомендации ЦБ по поводу таких норм?? Пока не наблюдаются. А тогда что предъявлять??

Последний раз редактировалось Alex133; 10.11.2017 в 14:19..
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 11:17   #23
KotMatroskin
Юрист
 
Регистрация: 07.08.2012
Сообщений: 4,511
Репутация: 61501566
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Об это не знали даже клиенты этого банка у которых крупные вклады, потому что это не написано в договорах.
Вы в этом уверены? В договоре с банком могут быть ссылки и на иные условия и регламенты банка.
KotMatroskin вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 11:20   #24
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

я конечно пересмотрю еще раз, но "мы меняем пин-код за 200 руб." или " меняем пин-код по тарифу", я не видел ни в бумажных договорах, что я подписывал, ни в информационных файлах на сайте, которые я не подписывал.

Возможно там была информация про возможность, как функцию смены пин-кода. Что такое вообще возможно.
Но что это можно делать не зная старый пин-код, и просто за деньги - такого там не было. Потому что это абсурд и дыра.

Последний раз редактировалось Alex133; 10.11.2017 в 14:20..
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 11:23   #25
KotMatroskin
Юрист
 
Регистрация: 07.08.2012
Сообщений: 4,511
Репутация: 61501566
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
ни в информационных файлах на сайте, которые я не подписывал.
На эти информационные файлы (условия) могут быть ссылки в самом договоре.


З.Ы. Не следует цитировать полностью предыдущее сообщение, на которое Вы отвечаете.
KotMatroskin вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 13:42   #26
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Пока не нашёл, ищу.
Только это всё равно не отменяет же инструкции СБ Банка.
Почему надо блокировать операцию, когда переводишь кому-то 2 000р.

А когда идёт, повторюсь серия операций, которая в совокупности говорит о подозрительных действиях, то все "спят".
1) восстановление и смена пароля личного кабинета
2) перевыпуск пин-кода на платной основе, не зная прошлый пин-код
3) перевод ВСЕХ средств со вклада на счёт карты
4) снятие всех средств со счёта карты, в банкомате 13 операций по 100к и более

сотрудники других банков сделали акцент на:
1) почему меняют пин-код без подтверждения личности, т.к. это зона риска и нужна доп.проврека
2) при совокупности всех операций, почему не блокируют хотя бы на 300-400к для подтверждения операций по телефону через кодовое слово.

где СБ Банка??
и причём тогда что было бы написано в договоре про пин-коды.

Последний раз редактировалось D.S.K.; 10.11.2017 в 14:22..
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 15:37   #27
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

А почему 300-400 тыс. а не 50-100, или 1 млн-2 млн?
Не вижу критериев для установки такой величины.
Вот смена пина без старого и без идентификации - да, это недочет.

Но все же на банку надейся, а свои меры безопасности должны быть тоже. То есть в телефоне не отключать запрос пинкода симкарты и поставить пароль на разблокировку.
В этом случае злодеи не смогут воспользоваться украденным телефоном. пока не перепрошьют, а симкарту не смогут вставить в свой телефон, поскольку пин карты подобрать невозможно.
Если они еще и номер телефона не знают, то ничего больше сделать не смогут.
А если знают, то могут по поддельному паспорту получить новую симку, но это все требует времени и не так просто.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 16:07   #28
HellZone
 
Аватар для HellZone
Активный участник
 
Регистрация: 29.07.2009
Сообщений: 2,335
Репутация: 17667187
По умолчанию

надо было еще и ключи от квартиры и сейфа потерять, потом жаловаться интересней.... а то миллион на карте есть, а в голове ничего нет. Даже телефон без пароля, ну и правильно , зачем он. И банк такой, где делай что хочешь. совпадение наверное.
__________________
Не забудьте нахамить мне в ответ!
HellZone вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 16:11   #29
KotMatroskin
Юрист
 
Регистрация: 07.08.2012
Сообщений: 4,511
Репутация: 61501566
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Только это всё равно не отменяет же инструкции СБ Банка.
Какие инструкции? Сошлитесь на них, если Вы их упоминаете.

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
А когда идёт, повторюсь серия операций, которая в совокупности говорит о подозрительных действиях, то все "спят".
А вот в чем подозрительность этих действий? Нельзя пароль поменять? Его, вообще-то, рекомендует регулярно менять.
KotMatroskin вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 16:20   #30
minos66
 
Аватар для minos66
Активный участник
 
Регистрация: 22.01.2009
Сообщений: 15,585
Репутация: 109593325
По умолчанию

Цитата:
Сообщение от HellZone Посмотреть сообщение
надо было еще и ключи от квартиры и сейфа потерять,
ну зачем терять. Ехали на машине, попали в аварию... или шли, никого не трогали, машина сшибла. Сердобольный прохожий, не имея собственного мобильника, воспользовался вашим для вызова скорой.. ну бумажник заодно открыл - ну скорая же запрашивает данные пациента, мож в бумажнике какие документы. Пока скорую вызывал, обчистил ваши счета, имея на руках только ваш мобильник и ваши карточки... Вы то причем здесь, вы в ауте! Или предложите мобильник отдельно от карт хранить? Это в разных карманах?
__________________
Детям и идиотам нельзя пользоваться интернетом. Интернет от детей и идиотов глупеет...
minos66 вне форума  
Ответить с цитированием
Untitled Document
Старый 10.11.2017, 21:56   #31
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от KotMatroskin Посмотреть сообщение
Какие инструкции? Сошлитесь на них, если Вы их упоминаете.
Пока это мне сообщили работники (но не служба СБ) других банков, что есть регламент и инструкции у СБ. Но насколько понял, разглашать подробности они не имеют права по соглашению о неразглашении.

Цитата:
А вот в чем подозрительность этих действий? Нельзя пароль поменять? Его, вообще-то, рекомендует регулярно менять.
Подозрительны не отдельные действия (с отдельными всё ок), а совокупность действий - пункты 1,2,3,4.
Это очевидно, что не может человек забыть пароль в Личный кабинет, тут же вдруг и пин-код карты забыть (идёт платная замена без упоминания старого, хотя возможность поменять бесплатно имеется), и тут же пожелать вывести весь вклад в размере более 1 млн. По крайней мере обратить внимание на ход событий СБ могла бы, как это и делается в других банках и на более простых операциях.

Дополнительно со стороны ЗПП не подойти к этому?
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 11.11.2017, 01:49   #32
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

Вы все не с той стороны ищете подход, ничего там нет.
И подозрительного тут тоже нет ничего. Если клиент потерял файл (или бумажку), где у него записаны все пинкоды и пароли, и обнаружил это когда деньги понадобились - вот и ваш случай во вполне легальном варианте.
Нереально помнить все шифры и коды, если не быть профессиональным шпионом. У меня в менеджере паролей 160 записей, как это можно запомнить?

Вернитесь к сообщению № 12 - это единственный правильный совет.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 11.11.2017, 06:45   #33
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Цитата:
Сообщение от Alex133 Посмотреть сообщение
А почему 300-400 тыс. а не 50-100, или 1 млн-2 млн? Не вижу критериев для установки такой величины.
Вот смена пина без старого и без идентификации - да, это недочет.
300-400 тыс. - это ответ сотрудников других банков, что на 5-ой, 6-ой операции уж точно заблокировали бы операцию и провели контрольный звонок исходя из предшествующих операций по смене всех доступов.

И из опроса, пока что человек 50 моего личного окружения - это те, которые держат суммы в различных банках, практически каждый второй встречался с блокировкой операций, все случаи различные банки:

- регулярная пересылка средств на один и тот же мобильный телефон, но как только начали делать пересылку на другой телефон, получили блок и звонок – вы ли это делаете? И подтвердите контрольную информацию (кодовое слово и данные)

- снятие крупной суммы в банкомате мелкими купюрами множеством операций – блок, звонок.

- перевод несколько раз на разные новые чужие счета, суммы от 100к – блок – звонок. Тут возможно имело место смена IP-адреса с которого заходили в Личный кабинет.

- смена сим-карты без смены номера телефона, при заходе в Личный кабинет тут же блок с просьбой подтвердить смену сим-карты лично в офисе (кстати, это мой банк, а в Альфе например, такого нет), т.ч. тут плюс.

- перевод суммы на счёт клиента другого банка через он-лайн кабинет - блок, звонок - Вы ли совершаете операции? подтвердите.

и т.д.

Из всего этого, вижу что СБ банков работает-заботится в должной мере о сохранности средств размеры которых намного меньше чем у меня.
А у меня при выводе более 1 млн. руб. – ноль реакции! еще и после смены всех доступов.
Вопрос - почему??

Цитата:
Сообщение от Alex133;
Но все же на банку надейся, а свои меры безопасности должны быть тоже.
Был графический ключ в телефоне + защита по пин-коду (дополнительный софт) всех разделов телефона СМС и т.д. Просто так в телефон не попадёшь.

Про пин на саму сим-карту – согласен, недосмотрел, поэтому готов к возврату не полной суммы. Потому что объективно рассматриваю, что в какой-то степени вина на всех.

В официальном письме банк мне ответил, что подобная серия операций была возможна при нарушений правил хранения карты.
А где они эти чёткие правила и инструкции?? Карту я никому не передавал, на улицу не выкидывал, пароли не сообщал, в подозрительных местах и на сайтах не расплачивался. А какие еще абстрактные правила??
Я точно также могу и Банку сказать, что у меня фактически не было денег, у меня была карта. А карта это не деньги, а доступ.
А деньги в Банке, и Банк обязан организовать должную достаточную безопасность денежных средств, которые ему доверили, а он их отдал непонятным людям, без моего указания. И также обязан удостоверять мою личность при операциях. А подобные вещи с пин-кодами (не зная прошлый) без удостоверения моей личности (дополнительного контроля), на мой взгляд, совсем не относится к должной достаточной безопасности и сохранности моих средств.

Но суд разве такие нюансы рассматривает?? Не помню где, но хотя какие-то статьи видел про обязанности Банка.
Его претензия ко мне "нарушение правил хранения карты", так же абстракта, как и моя к банку, что "вижу в системе банка недостаточную безопасность"

Цитата:
Сообщение от Alex133 Посмотреть сообщение
Вы все не с той стороны ищете подход, ничего там нет. И подозрительного тут тоже нет ничего.
Возможно не с той, так как я не работаю в СБ Банка и нигде не могу найти нормативы по СБ.
А эти вопросы - "почему не было реакции со стороны СБ", мне стали задавать сотрудники других банков, потому что при такой последовательности операций была бы блокировка операций с доп.проверкой.
Они (сотрудники) мне и задали вопрос, почему СБ в данном случае спит?? сговор?? И тоже самое знакомый адвокат сказал кстати - "странно, почему не было реакции?"

Цитата:
Сообщение от Alex133;
У меня в менеджере паролей 160 записей, как это можно запомнить?
сорри за оффтоп, а какой у Вас менеджер?


Цитата:
Сообщение от Alex133;
Вернитесь к сообщению № 12 - это единственный правильный совет.
Да, спасибо minos66.

Просто хотелось дополнить более масштабно со стороны СБ. Потому что на подобную мою письменную претензию в банк о краже и возврате, банк уже дал официальный ответ: что блок карты был после снятия средств, поэтому не видит никаких причин для возмещения, всё было в рамках договора.
А один из адвокатов, сказал что так они в суде и скажут и % выигрыша = 0! такова судебная практика по таким случаям - поэтому, надо что-то выискивать. И этим "что-то" могут быть не соответствия правил банка нормам ЦБ (возможно безопасность или вот эти пин-коды), а также возможно недостаточная безопасность со стороны СБ банка (только какой статьёй, нормами и т.д. это подкрепить - не ясно)
Про недостаточную безопасность - был иск у знакомых, после взлома СберБанка Он-лайн и кражи 100к.
Суд был 3 месяца, Банк не хотел проводить расследование и утверждал, что это мог сделать сам клиент. Доказывали.
В итоге Банк всё возместил еще и с моральным. Суть иска была "недостаточная безопасность", но не просто "верните деньги".

Последний раз редактировалось D.S.K.; 11.11.2017 в 06:57..
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 11.11.2017, 16:00   #34
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

Алгоритмы безопасности банков - это их внутреннее дело. Никаких НПА по этому поводу, на которые можно сослаться в суде, не существует.
На мой взгляд, МКБ - один из самых замороченных банков в смысле безопасности. Там и обязательные СМС для входа в ИБ (идиотизм, имхо) и очень низкие лимиты на переводы. Но вот в вашем случае как раз нужных ограничений не оказалось.

А менеджер паролей у меня - 1password Pro. Программа платная, но я ее выбрал по единственной причине - она есть для Windows, для iOS, для андроида и работает под линуксами тоже. Синхронизация через дропбокс. Все четыре варианта у меня используются. Так что я имею данные под рукой в любом месте и в любое время.
Притом дропбокс хранит данные не только в облаке, но и имеет локальную копию на всех подключенных устройствах, так что непрерывного доступа в интернет не требуется.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 12:13   #35
Animegravitation
Активный участник
 
Регистрация: 08.07.2015
Сообщений: 966
Репутация: -1082156
По умолчанию

Цитата:
Сообщение от Alex133 Посмотреть сообщение
А менеджер паролей у меня - 1password Pro. Программа платная, но я ее выбрал по единственной причине - она есть для Windows, для iOS, для андроида и работает под линуксами тоже. Синхронизация через дропбокс. Все четыре варианта у меня используются. Так что я имею данные под рукой в любом месте и в любое время.
Притом дропбокс хранит данные не только в облаке, но и имеет локальную копию на всех подключенных устройствах, так что непрерывного доступа в интернет не требуется.

Предоставлять свои пароли стороннему приложению с закрытым исходным кодом ? И выгружать базы паролей на чужие сервера ?
Мсье знает толк безопасности ?
Только открытый исходный код
Хранилище паролей в файле программы с открытым исходным кодом KeePass
А сами базы хранятся только локально на домашнем компе и ноутбуке и на телефона и синхронизируются через программу с открытым исходным кодом Syncthing
Animegravitation вне форума  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 14:00   #36
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

Закрытый код меня никак не волнует. Главное, чтобы он был закрыт от злоумышленников. Присмотр ЦРУ и ФСБ за моими жалкими сбережениями не целесообразен и не беспокоит.
База же неплохо пошифрована, кому надо ее ломать? Владельцам дропбокса? А сторонним мошенникам еще добраться до нее надо.

KeePass у меня есть, пользовался одно время. Но его же нет для iOS, да и для андроида тоже вроде не было.
Интерфейс неудобный к тому же.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 18:11   #37
Animegravitation
Активный участник
 
Регистрация: 08.07.2015
Сообщений: 966
Репутация: -1082156
По умолчанию

Цитата:
Сообщение от Alex133 Посмотреть сообщение
Закрытый код меня никак не волнует. Главное, чтобы он был закрыт от злоумышленников. Присмотр ЦРУ и ФСБ за моими жалкими сбережениями не целесообразен и не беспокоит.
База же неплохо пошифрована, кому надо ее ломать? Владельцам дропбокса? А сторонним мошенникам еще добраться до нее надо.
Вся проблема закрытого кода не в том что он лучше или хуже открытого
А в том что там потенциальные дыры не видели другие люди
А дыры есть везде


Яркий пример

Цитата:
Heartbleed (CVE-2014-0160) — ошибка (англ. buffer over-read) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года.

На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона, это составляло около 17 % защищённых веб-сайтов Интернета[1].
То есть даже в открытом ПО есть уязвимости которые годами не могут найти, сколько таких дыр в закрытом ПО отсаётся только гадать
И самое главное вы никак не можете узнать буду закрывать эти дыры владельцы закрытого ПО или нет

Цитата:
Сообщение от Alex133 Посмотреть сообщение
KeePass у меня есть, пользовался одно время. Но его же нет для iOS, да и для андроида тоже вроде не было.
Интерфейс неудобный к тому же.
Для андроида есть и поддерживает расшифровку по отпечатку пальца
Animegravitation вне форума  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 18:20   #38
ElizarovPetr
 
Аватар для ElizarovPetr
Активный участник
 
Регистрация: 03.12.2013
Адрес: Петербург
Сообщений: 6,300
Репутация: 96183506
По умолчанию

И отпечаток пальца взломать можно. При желании. Помню был давно такой фильм, где все было залочено под сканер сетчатки глаза и ребята ходили с этим глазом на карандаше и открывали двери.
__________________
High and mighty alone we are kings, Whirlwinds of fire we ride,
Providence brought us the crown and the ring, Covered with blood and our pride
ElizarovPetr вне форума  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 20:29   #39
Animegravitation
Активный участник
 
Регистрация: 08.07.2015
Сообщений: 966
Репутация: -1082156
По умолчанию

Цитата:
Сообщение от ElizarovPetr Посмотреть сообщение
И отпечаток пальца взломать можно. При желании.
Я в курсе. Но там эта возможно опциональна
И она даже не рекомендуется у установке по умолчанию
То есть по умолчанию для открытия базы паролей надо вводить Мастер пароль
Плюс можно ещё спец файл указать без которого базу не расшифровать даже при наличии Мастер пароля
Но если внутренний параноик не такой сильный то можно настроить быструю раз блокировку по отпечатку, но спустя некоторое время база все равно начнет требовать полный пароль

Считаю это идеальным соотношением безопасности и удобства на текущий момент
Animegravitation вне форума  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 22:59   #40
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

Все менеджеры паролей периодически проходят сравнительные тесты на уязвимость. 1password показывает хорошие результаты.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 15.11.2017, 23:20   #41
Animegravitation
Активный участник
 
Регистрация: 08.07.2015
Сообщений: 966
Репутация: -1082156
По умолчанию

Вот новость от 2015 года

http://stoplinux.org.ru/security/1Password.html

Цитата:
Популярный менеджер паролей 1Password хранит пароли в открытом виде, а его разработчики не собираются исправлять ситуацию. 1PasswordAnywhere использует для хранения паролей архивы незашифрованных JavaScript-файлов под названием .agilekeychain.
Формат .agilekeychain представляет собой папку с файлом 1password.html. Открыв этот файл в браузере, пользователя просят ввести пароль, после чего файл разблокируется и откроет доступ к информации. Проблема заключается в отсутствии шифрования метаданных - все пароли хранятся в открытом виде в файле 1Password.agilekeychain/data/default/contents.js.

Оказывается, разработчики специально так разработали 1Password, чтобы метаданные хранились в незашифрованном виде. По заявлениям разработчиков, это повышает производительность программы. Разработчики не видят в этом никакой проблемы и не собираются выпускать исправление для 1Password.

Единственным способом защитить пароли является переход на новый формат OPVault, но по умолчанию рекомендуется использовать Agile Keychain.

http://www.securitylab.ru/news/475824.php
И вот мнение с Хабра

Цитата:
Менеджер пароля — это средство упростить ввод паролей во много приложений, при сохранении разумного уровня безопасности, а не средство повышения этого самого уровня безопасности. Разве мало в Интернете было новостей об взломах и утечках данных из менеджеров паролей?
Animegravitation вне форума  
Ответить с цитированием
Untitled Document
Старый 16.11.2017, 10:55   #42
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

Автор сам-то проверял что написал?
Бред полный. Никаких незашифрованных паролей в contents.js нет и быть не могло.
Там в незашифрованном виде только названия разделов и позиций, логины и пароли зашифрованы.
А еще логотипы сайтов хранятся локально и тоже незашифрованы.
Подход правильный - зачем лишние операции шифрования данных, которые совсем не нужно шифровать.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 16.11.2017, 11:30   #43
Animegravitation
Активный участник
 
Регистрация: 08.07.2015
Сообщений: 966
Репутация: -1082156
По умолчанию

Цитата:
Сообщение от Alex133 Посмотреть сообщение
Подход правильный - зачем лишние операции шифрования данных, которые совсем не нужно шифровать.
Опять же повторюсь
Хранение своих паролей и явок на чужих серверах с неизвестным Вам алгоритмом шифрования, а так же с неизвестными потенциальными дырами уже огромная дыра в безопасности
Ибо любую централизованную БД можно взломать и скопировать
И при этом такие взломы не всегда известны пользователям
Animegravitation вне форума  
Ответить с цитированием
Untitled Document
Старый 19.11.2017, 22:45   #44
D.S.K.
Новичок
 
Регистрация: 10.11.2017
Сообщений: 15
Репутация: 60
По умолчанию

Animegravitation, а разве код таких программ может быть открытым? Ведь если он будет открыт, то будет ясен метод шифровки данных.

Кстати, весь софт, и даже платный, не так сложно ломают, и даже те программы, которые стоят не одну тысячу у.е. вполне можно найти "нулёные", с которых сняты все защиты и активации, и они прекрасно работают.
Это к вопросу о программах в принципе.

Вообще, долго думал про безопасность, самая надёжная записывать пароли в текстовой файл, при этом в начале, или в конце пароля, добавлять некоторое кол-во символов, на тот случай, если "уведут" файл, чтобы вводили не верные пароли. И только сам хозяин будет знать, какую часть пароля писать не нужно.

Я когда писал программу, доступ к которой должен был быть только по паролю, и чтобы пароль был надёжным, он всегда был разный! А какой он будет, человек решал сам, например - прошлый пароль *12/7
Но сам алгоритм просчёта (на что умножаем и делим), решает сам человек.
D.S.K. вне форума  
Ответить с цитированием
Untitled Document
Старый 20.11.2017, 00:20   #45
Alex133
 
Аватар для Alex133
-Модератор-
 
Регистрация: 09.07.2007
Адрес: Москва
Сообщений: 52,553
Репутация: 83799205
По умолчанию

Метод шифрования никто и не скрывает. Их вообще очень мало.
Важен ключ шифрования. Если его длина достаточно большая, то подобрать его за разумное время не удастся.
Достоинство программ с открытым кодом в том, что там энтузиасты могут выявить наличие закладок от фирмы изготовителя или от спецслужб.
Но как я уже писал, лично меня это мало волнует.
К тому же за десятилетия пользования той или иной программой должны быть пострадавшие, если там есть такие закладки.

Если опасаться закладок, то стоит полностью отказаться от Windows, где их точно немало есть.
Кстати, не всё ломают, активацию Windows так никто и не сломал. Используют сворованный мастер-ключ от изготовителя ноутбуков и подсовывают ложный биос через линуксовый загрузчик.
Alex133 на форуме  
Ответить с цитированием
Untitled Document
Старый 23.11.2017, 16:57   #46
Animegravitation
Активный участник
 
Регистрация: 08.07.2015
Сообщений: 966
Репутация: -1082156
По умолчанию

Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Animegravitation, а разве код таких программ может быть открытым? Ведь если он будет открыт, то будет ясен метод шифровки данных.
Как раз это залог безопасности
Ибо если известны способы шифрования то известны и уязвимости данного метода шифрования
Соответсвенно если известен код программы то потенциально известны её слабые места
В случае закрытого кода , вы ничего не можете сказать ни о уязвимости кода программы ни о уязвимости методов шифрования


Цитата:
Сообщение от D.S.K. Посмотреть сообщение
Вообще, долго думал про безопасность, самая надёжная записывать пароли в текстовой файл, при этом в начале, или в конце пароля, добавлять некоторое кол-во символов, на тот случай, если "уведут" файл, чтобы вводили не верные пароли. И только сам хозяин будет знать, какую часть пароля писать не нужно.
Совсем не безопасно, ибо ваши пароли в открытом виде тупо можно перебрать
А при шифровании как минимум необходима сложная и долгая дешифровка если нет закрытого ключа
Animegravitation вне форума  
Ответить с цитированием
Untitled Document
Старый 24.11.2017, 11:50   #47
plover
 
Аватар для plover
Модератор
 
Регистрация: 13.09.2010
Адрес: Сызрань
Сообщений: 7,019
Репутация: 10636695
По умолчанию

Цитата:
Сообщение от minos66 Посмотреть сообщение
По повадкам Сбербанк вырисовывается.
Тиньков это, была тема на Банках.ру, её оперативно снесли, там как-то мутно всё было.

А насчёт смены ПИНа у Тинька дела обстоят так: в ИБ выбираешь "смену ПИНа", вводишь контрольную информацию (обычно дату рождения) и спокойно ставишь новый ПИН (старый не запрашивается!) Дырища, знаете ли...

Как раз у Сбера с этим полный порядок, ПИН можно сменить только в банкомате/тумбе, зная старый. У него другие дыры.
__________________
Я другой такой страны не знаю, где так...
SIM-меню и как с этим бороться, Новая редакция ПОУПС, Вниманию абонентов МТС!, Осторожно - модем от Мегафона!
"Не кормите троллей!" (с) п.3.3.24 Правил форума
plover вне форума  
Ответить с цитированием
Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:40. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.8
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot
Rambler's Top100 Яндекс.Метрика