Míval jsem hypošku u Wustenrotu. Tam to taky bylo veselý. Portál, kde to šlo kontrolovat (a kde byly osobní údaje) měl jako jméno uživatele číslo účtu bez kódu banky a jako heslo čtyřmístný PIN bez možnosti změny. Takže 10k hesel (teoreticky) a pravidla pro tvorbu čísel účtů jsou taky známý. Pokud mají blokování na počet hádání hesla k účtu, mají limit na počet hádání účtů k jednomu PINu? A všiml by si admin, kdyby se do toho opřel nějaký bot, podle trafficu? Jako studna osobních údajů (jméno, adresa, datum narození, číslo účtu, stav dluhů, ...) je to totiž naprosto super. A i předání loginu zákazníkovi je super. Dojdou dva obyčejný dopisy, jeden s infem o tom, jaký je user name, druhý s pinem. A podle pracovníků banky nikde v dopise není login name. Což je blbost, v záhlaví je číslo účtu, ke kterýmu se to vztahuje... A 2FA neexistuje, že.
Česká škubatelna zase jeden čas limitovala Servis24 na heslo do 10 znaků a nedvolila nic mimo čísel a písmen, vynucená změna hesla byla až na 8.-10. pokus, než jsem vždycky vyladil generátor hesla tak, aby bylo nepřijatelně slabý pro mě a přijatelně silný pro ty pakoně.
A UniCredit si zase z 2FA udělal husu nesoucí zlatý vejce. Chceš zkontrolovat zůstatek? No tak se přihlas (ověřovací SMS) a když chceš ještě jakoukoliv operaci, bez ohledu na to další SMS... Když jsem chtěl za měsíc 10 plateb a ob den kontrolovat stav účtu, potřeboval jsem (za předpokladu, že jsem platby zadával při kontrolách) 25 ověřovacích SMS, jeden balík 10 SMS za 200. Takže 450 jenom za bankovnictví k účtu zdarma... Holt jsou to koumáci, ale navzdory jejich prudké inteligenci jsem u nich vydržel jenom měsíc.
Soudruzi z tusim CSOB to meli nejakou dobu taky - cislo uctu + 4mistnej pin. Na 5tej vadnej pokus se pristup na 24 hodin zablokoval === anobrz genialni zpusob jako rychle a efektivne zablokovat pristup natrvalo komukoli.
ČSOB minimálně 14 let jako login číslo účtu nepoužívala (předtím nevim, ale pochybuju o tom), používala 8mi místný uživatelský login, který byl náhodně generován.
PIN byl pětimístný a šel změnit.
Nevýhoda byla blokace po 5ti pokusech, nutnost dojít na pobočku (možná šlo volat) a další pokus byl jenom jeden (dokud se uživatel nepřihlásil znovu). Problém byl v momentě, kdy člověk PIN zapomněl, tak byl poplatek za vydání nového, kdežto odblokování bylo zdarma...
ČSOB ale má podobný problém, kdy u každé platby kartou sdílí ve SS posledních 10 číslic jejího čísla... Aspoň, že na daném výpisu nebylo prvních 6 číslic... ale složit si číslo karty jde díky tomu z pohybů a detailu karty... :)
ČLÁNKY DO MAILU