Карты сбера нет - не проверить
От: aios  
Дата: 08.09.20 18:44
Оценка: 76 (1) :)
Правда, или врут?

Re: Карты сбера нет - не проверить
От: Xander Zerge Россия www.zerge.com
Дата: 08.09.20 18:58
Оценка: +3
Здравствуйте, aios, Вы писали:

A>Правда, или врут?


Правда.

Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Серёжа Новиков,
программист
Re[2]: Карты сбера нет - не проверить
От: VladFein США  
Дата: 08.09.20 19:17
Оценка: 7 (2) +2 -1
Здравствуйте, Xander Zerge, Вы писали:

XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.


Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Re[3]: Карты сбера нет - не проверить
От: John1979  
Дата: 08.09.20 19:27
Оценка: 1 (1) +13
Здравствуйте, VladFein, Вы писали:

VF>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.
Re[3]: Карты сбера нет - не проверить
От: Pzz Россия https://github.com/alexpevzner
Дата: 08.09.20 19:31
Оценка: +1
Здравствуйте, VladFein, Вы писали:

VF>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль


Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...
Re[4]: Карты сбера нет - не проверить
От: VladFein США  
Дата: 08.09.20 20:56
Оценка: +5 :))) :))) :))) :))
Здравствуйте, John1979, Вы писали:

VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

J>Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.

Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
Re[4]: Карты сбера нет - не проверить
От: VladFein США  
Дата: 08.09.20 20:59
Оценка: +1
Здравствуйте, Pzz, Вы писали:

VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль


Pzz>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...


Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...
Re[5]: Карты сбера нет - не проверить
От: fmiracle  
Дата: 08.09.20 21:03
Оценка: +1 :)))
Здравствуйте, VladFein, Вы писали:

VF>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...


В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.

Страшно подумать, что у них там может быть с хранением почты и паролей
Re[2]: Карты сбера нет - не проверить
От: fmiracle  
Дата: 08.09.20 21:05
Оценка: 1 (1)
Здравствуйте, Xander Zerge, Вы писали:

XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.


Но это надо знать что надо компенсировать выпавшие большие буквы. Поведение непривычное и довольно неожиданное.

Хотя, большинство аудитории не задумывается про такие мелочи и сложность пароля вообще.
Re: Карты сбера нет - не проверить
От: velkin Удмуртия https://kisa.biz
Дата: 08.09.20 22:26
Оценка:
Здравствуйте, aios, Вы писали:

A>Правда, или врут?


Проверил сейчас сбербанк онлайн. Да, правда. Если бы не двухфакторная аутентификация, я бы сказал, что они поступают очень не умно.
Re[2]: Карты сбера нет - не проверить
От: sambl74 Россия  
Дата: 09.09.20 02:53
Оценка: +1 :)
Здравствуйте, velkin, Вы писали:

V>Проверил сейчас сбербанк онлайн. Да, правда. Если бы не двухфакторная аутентификация, я бы сказал, что они поступают очень не умно.


Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны
Re[3]: Карты сбера нет - не проверить
От: aios  
Дата: 09.09.20 03:56
Оценка:
S>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны

при первом запуске тоже?
Re: Карты сбера нет - не проверить
От: Pavel Dvorkin Россия  
Дата: 09.09.20 04:12
Оценка: +1
Здравствуйте, aios, Вы писали:

A>Правда, или врут?


Да, верно. Я им даже вопрос задавал об этом и получил ответ — штатное поведение.

Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.

— Я точно помню свой пароль, а он меня не пускает, помогите, что делать ?
— А как Вы его набирали — заглавными или строчными ?
— А я не помню. А не все ли равно ?

Что касается безопасности, то тут проблемы нет. Как уже отметил Xander Zerge, добавь один символ и будет компенсировано. Реально же и вообще ничего делать не надо, и сообщать об этом тоже.

P.S. Кстати, существуют языки, где один регистр букв. Иврит, например.
With best regards
Pavel Dvorkin
Отредактировано 09.09.2020 11:14 Pavel Dvorkin . Предыдущая версия .
Re[5]: Карты сбера нет - не проверить
От: MaxxK  
Дата: 09.09.20 08:52
Оценка: +1
VF>>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

Pzz>>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...


VF>Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...


И это тоже можно делать, храня только хэш пароля. Достаточно привести к некоторому нормальному виду перед вычислением хэша (с учётом регистра, раскладки, опечаток и т.п.).
Более того, в теории можно даже добавлять новые варианты нормализации пошагово и обновлять хэши паролей при следующем входе.
Я тоже сначала посмеялся, но, если задуматься, то в системах, для которых брутфорс не является угрозой, это было бы очень хорошим решением, повышающим удобство пользователей.
Хотя большинство, конечно, давно хранит пароли в браузере и вручную их не вводит.
Re[2]: Карты сбера нет - не проверить
От: Mihas  
Дата: 09.09.20 09:23
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.

Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
Re[4]: Карты сбера нет - не проверить
От: mike_rs Россия  
Дата: 09.09.20 09:36
Оценка:
Здравствуйте, aios, Вы писали:


S>>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны


A>при первом запуске тоже?


при первом запуске используется одноразовый пароль, не пофиг что там с регистром, если он больше не актуален?
Re[3]: Карты сбера нет - не проверить
От: mike_rs Россия  
Дата: 09.09.20 09:37
Оценка: +1
Здравствуйте, Mihas, Вы писали:

M>Здравствуйте, Pavel Dvorkin, Вы писали:


PD>>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.

M>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки

лучше сразу позволять набирать любой пароль, все будут верными
Re[2]: Карты сбера нет - не проверить
От: fmiracle  
Дата: 09.09.20 09:40
Оценка: +2
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.


Я сам сегодня 3 раза вбивал пароль чтобы войти в винды, пока не понял, что капслок зажат

У техподдержки сбербанка вполне может быть серьезная проблема с подобными жалобами.
Re[3]: Карты сбера нет - не проверить
От: Pavel Dvorkin Россия  
Дата: 09.09.20 11:11
Оценка:
Здравствуйте, Mihas, Вы писали:

M>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки


Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.
With best regards
Pavel Dvorkin
Re[4]: Карты сбера нет - не проверить
От: Mihas  
Дата: 09.09.20 11:20
Оценка: +1
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Здравствуйте, Mihas, Вы писали:


M>>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки


PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.

Я и пользуюсь на компе. И то была шутка
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.