Сообщение Re: Принципы сравнения номеров при проверке доступа от 08.04.2026 10:25
Изменено 08.04.2026 10:29 Pavel Dvorkin
Re: Принципы сравнения номеров при проверке доступа
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?
Несколько последних цифр номера паспорта меня однажды действительно где-то спросили. Не помню, где именно. Но именно их и проверяли. Точным сравнением.
А запрашивать полный номер и сравнивать несколько последних (или начальных) цифр — как-то все же странно.
Ну хотя бы из того соображения, что при проверке N последних цифр получится, что первые можно ввести с ошибкой. Кто-то это однажды заметит и растрезвонит на весь Интернет.
-Я ввел номер паспорта с ошибкой на сайте банка ABC, а мне все равно доступ дали. Смотрите, какое дырявое в плане безопасности ПО у банка ABC! Бегите прочь из этого банка.
Другие проверят — а ведь и правда! Бежать отсюда надо.
А в итоге ущерб репутации банка и потеря клиентов.
ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?
Несколько последних цифр номера паспорта меня однажды действительно где-то спросили. Не помню, где именно. Но именно их и проверяли. Точным сравнением.
А запрашивать полный номер и сравнивать несколько последних (или начальных) цифр — как-то все же странно.
Ну хотя бы из того соображения, что при проверке N последних цифр получится, что первые можно ввести с ошибкой. Кто-то это однажды заметит и растрезвонит на весь Интернет.
-Я ввел номер паспорта с ошибкой на сайте банка ABC, а мне все равно доступ дали. Смотрите, какое дырявое в плане безопасности ПО у банка ABC! Бегите прочь из этого банка.
Другие проверят — а ведь и правда! Бежать отсюда надо.
А в итоге ущерб репутации банка и потеря клиентов.
Re: Принципы сравнения номеров при проверке доступа
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?
Несколько последних цифр номера паспорта меня однажды действительно где-то спросили. Не помню, где именно. Но именно их и проверяли. Точным сравнением.
А запрашивать полный номер и сравнивать несколько последних (или начальных) цифр — как-то все же странно.
Ну хотя бы из того соображения, что при проверке N последних цифр получится, что первые можно ввести с ошибкой. Кто-то это однажды заметит и растрезвонит на весь Интернет.
-Я ввел номер паспорта с ошибкой на сайте банка ABC, а мне все равно доступ дали. Смотрите, какое дырявое в плане безопасности ПО у банка ABC! Бегите прочь из этого банка.
Другие проверят — а ведь и правда! Бежать отсюда надо.
А в итоге ущерб репутации банка и потеря клиентов. И никому потом ничего не докажешь — не будешь же обшаривать весь Интернет и рассказывать про вероятность.
ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?
Несколько последних цифр номера паспорта меня однажды действительно где-то спросили. Не помню, где именно. Но именно их и проверяли. Точным сравнением.
А запрашивать полный номер и сравнивать несколько последних (или начальных) цифр — как-то все же странно.
Ну хотя бы из того соображения, что при проверке N последних цифр получится, что первые можно ввести с ошибкой. Кто-то это однажды заметит и растрезвонит на весь Интернет.
-Я ввел номер паспорта с ошибкой на сайте банка ABC, а мне все равно доступ дали. Смотрите, какое дырявое в плане безопасности ПО у банка ABC! Бегите прочь из этого банка.
Другие проверят — а ведь и правда! Бежать отсюда надо.
А в итоге ущерб репутации банка и потеря клиентов. И никому потом ничего не докажешь — не будешь же обшаривать весь Интернет и рассказывать про вероятность.