Угораздило меня получать на работе зарплату на карту сбербанка.
Ну подключил как-то с пол-года назад "Сбербанк Онлайн", всё работало нормально, даже удобно было, до тех пор, пока я не забыл логин и пароль
Ну, думаю, не беда, пошел в ближайший банкомат, взял бумажку с новым временным логином и паролем.
Пришел домой, ввел с бумажки новые логин пароль, залогинился, сразу поменял логин на более удобочитаемый.
Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл).
Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!
Теперь у меня на руках ДВА логина и ДВА пароля от личного кабинета Сбербанк Онлайн и оба работают!
Причем опции "удалить лишний логин" вообще не предусмотрено в принципе.
Вопрос, что курили разработчики ??
А если старый логин и пароль скомпрометированы и бумажку с ними нашел бы не я?
Как вообще могло прийти в голову сохранять активной старую связку логин/пароль, после того как пользователь в явном виде заказал себе новую?
--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
Здравствуйте, AndrewN, Вы писали:
AN>Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл). AN>Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!
тут уже кто-то писал, что первый логин у них прибит гвоздями, не важно что его сразу же меняли.
Здравствуйте, RonWilson, Вы писали:
RW>тут уже кто-то писал, что первый логин у них прибит гвоздями
Видать — это ID пользователя в системе. Соблазн у программистов так делать велик (а чо — он же уникальный и, как правило, возможностей для его изменения — нет).
Только потом приходит понимание, что что-то было сделано не так
P.S. Мораль сей байки такова — идентификатор субъекта доступа в системе не должен совпадать с логином пользователя потому, что:
1. Логин действительно иногда есть необходимость менять
2. А кто сказал, что субъект доступа — это только пользователь? Мало ли как будут развиваться сервисы системы...
Здравствуйте, AndrewN, Вы писали:
AN>Вопрос, что курили разработчики ??
... AN>А если старый логин и пароль скомпрометированы и бумажку с ними нашел бы не я? AN>Как вообще могло прийти в голову сохранять активной старую связку логин/пароль, после того как пользователь в явном виде заказал себе новую?
Жаль что я тоже потерял/выбросил эту бумажку и не могу проверить.
На месте СБ и IT отдела Сбербанка я бы плохо спал ночь после обнародования такой информации.
Скорее всего это косяк проектирования.
Здравствуйте, AndrewN, Вы писали:
AN>Теперь у меня на руках ДВА логина и ДВА пароля от личного кабинета Сбербанк Онлайн и оба работают!
Вот нарыл инфу на просторах интернета, походу так оно и есть:
Для каждой карты Сбера- свой логин и пароль, если у вас две карты то два разных логина и соответственно пароля к ним. При этом обе пары логин/пароль активны и зайти можно по любому логин/паролю.
Если у вас 10 карт сбербанка то у вас 10 активных разных логин/паролей.
Получая новый чек с логин/паролем к какой либо карте- меняется пароль но только к логину этой карты.
Все остальные логин/ пароли продолжают действовать.
Помимо этого можно к действующим логин/паролям карт для входа в Сбол, получить единый логин/пароль в кабинете Сбол.
Этот единый логин/пароль никак не отменяет логин пароли карт.
Так же как и наоборот, получение нового чека к какой либо карте — не отменяет индивидуальные логины пароли карт.
Общий пароль на кабинет СбоЛ можно задать СВОЙ, индивидуальные пароли для карт — можно только сгенерить новые с отправкой на СМС.
Крутая система. Заходи кто хочешь, бери что хочешь.
Теперь буду сразу в день получки снимать все деньги с карты сбера и перекладывать на карту другого банка, от греха подальше.
--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
Здравствуйте, AndrewN, Вы писали:
AN>Крутая система. Заходи кто хочешь, бери что хочешь.
AN>Теперь буду сразу в день получки снимать все деньги с карты сбера и перекладывать на карту другого банка, от греха подальше.
А Вы не хотите задать им провокационный вопрос,каким образом можно удалить скомпрометированный логин/пароль?
Хотя имхо они ответят, что сделают это в случае, если Вы пожалуетесь, на то что пароль могли похитить злоумышленники.
Здравствуйте, AndrewN, Вы писали:
AN>Угораздило меня получать на работе зарплату на карту сбербанка.
AN>Ну подключил как-то с пол-года назад "Сбербанк Онлайн", всё работало нормально, даже удобно было, до тех пор, пока я не забыл логин и пароль
AN>Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл). AN>Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!
не, ну косяк конечно. Но там же всё таки двух-факторная аутентификация?
и оба работают!
