Názor k článku Když šifrování snižuje bezpečnost a banka vyzrazuje číslo karty od Petr M - Míval jsem hypošku u Wustenrotu. Tam to taky...

Míval jsem hypošku u Wustenrotu. Tam to taky bylo veselý. Portál, kde to šlo kontrolovat (a kde byly osobní údaje) měl jako jméno uživatele číslo účtu bez kódu banky a jako heslo čtyřmístný PIN bez možnosti změny. Takže 10k hesel (teoreticky) a pravidla pro tvorbu čísel účtů jsou taky známý. Pokud mají blokování na počet hádání hesla k účtu, mají limit na počet hádání účtů k jednomu PINu? A všiml by si admin, kdyby se do toho opřel nějaký bot, podle trafficu? Jako studna osobních údajů (jméno, adresa, datum narození, číslo účtu, stav dluhů, ...) je to totiž naprosto super. A i předání loginu zákazníkovi je super. Dojdou dva obyčejný dopisy, jeden s infem o tom, jaký je user name, druhý s pinem. A podle pracovníků banky nikde v dopise není login name. Což je blbost, v záhlaví je číslo účtu, ke kterýmu se to vztahuje... A 2FA neexistuje, že.

Česká škubatelna zase jeden čas limitovala Servis24 na heslo do 10 znaků a nedvolila nic mimo čísel a písmen, vynucená změna hesla byla až na 8.-10. pokus, než jsem vždycky vyladil generátor hesla tak, aby bylo nepřijatelně slabý pro mě a přijatelně silný pro ty pakoně.

A UniCredit si zase z 2FA udělal husu nesoucí zlatý vejce. Chceš zkontrolovat zůstatek? No tak se přihlas (ověřovací SMS) a když chceš ještě jakoukoliv operaci, bez ohledu na to další SMS... Když jsem chtěl za měsíc 10 plateb a ob den kontrolovat stav účtu, potřeboval jsem (za předpokladu, že jsem platby zadával při kontrolách) 25 ověřovacích SMS, jeden balík 10 SMS za 200. Takže 450 jenom za bankovnictví k účtu zdarma... Holt jsou to koumáci, ale navzdory jejich prudké inteligenci jsem u nich vydržel jenom měsíc.