(no subject)
Apr. 20th, 2023 12:32 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dzzНекоторым кажется, что чем навороченнее система безопасности, тем она безопаснее. Характерный пример - любимый Райффайзенбанк и его мобильный и web-клиенты.
В мобильном клиенте приходит сообщение "пора сменить пароль". Пароль есть. Только в мобильном клиенте вводить его нельзя, патамушта "вам удобнее вводить 4-значный пинкод", без вариантов. Но поменять его нужно, хотя мы всячески не даём вам его вводить. Пароль можно ввести в web-клиенте. И логин тоже. Только этого недостаточно, извольте получить одноразовый пароль по SMS. Сменили пароль? Отлично, теперь введите его в мобильном клиенте и смените ещё и пин-код.
При этом то, что подсмотреть 4-значный пин-код на экране мобильника проще, чем 15-значный пароль, банк особенно не волнует.
В мобильном клиенте приходит сообщение "пора сменить пароль". Пароль есть. Только в мобильном клиенте вводить его нельзя, патамушта "вам удобнее вводить 4-значный пинкод", без вариантов. Но поменять его нужно, хотя мы всячески не даём вам его вводить. Пароль можно ввести в web-клиенте. И логин тоже. Только этого недостаточно, извольте получить одноразовый пароль по SMS. Сменили пароль? Отлично, теперь введите его в мобильном клиенте и смените ещё и пин-код.
При этом то, что подсмотреть 4-значный пин-код на экране мобильника проще, чем 15-значный пароль, банк особенно не волнует.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2023-04-21 12:15 pm (UTC)Стандартная схема защиты приложений в Android — 4-значный PIN, который хранится в хранилище самого Android под пальцем. Современные пользователи не вводят ни PIN, ни пароль, они жмут пальцем.
Зачем при этом нужен ещё какой-то пароль, который надо менять — это вопрос.
no subject
Date: 2023-04-21 01:55 pm (UTC)Ну, тут нужно рассматривать ситуацию в историческом разрезе.
Сначала был логин-пароль в веб-клиенте. И никакого телефона.
Потом появился мобильный клиент с логином-паролем. Логин запоминался при первом вводе, пароль нужно было вводить каждый раз.
После этого кто-то решил, что пароль — слишком утомительно для юзеров. В мобильном клиенте сделали пин-код поверх пароля. Т.е. при первом вводе запоминаются логин и пароль, после чего вход в приложение работает по 4-значному пин-коду, но логин и пароль используются при установлении сессии.
Чуть позднее мобильный клиент стал предлагать сохранить пин-код под пальцем.
И в качестве вишенки на торте теперь предлагают ввести код из СМС при входе по логину-паролю в web-морду.
При этом пароль настоятельно советуют периодически менять как в вебке, так и в мобилке (постоянно всплывает нудная подсказка).
В общем, глубоко эшелонированная система безопасности :)
P.S. По мне, так ввести длинный пароль — вообще не проблема, но я олдфаг и не понимаю боли современного массового пользователя :)))