“Для удобства” Сбербанк снизил всем клиентам стойкость паролей08.09.2020 12:19

Учетные записи в онлайн-сервисах финансовых организаций — одна из приоритетных целей киберпреступников. Оттого еще более странно узнать, что, оказывается, под предлогом повышения удобства пользователей крупнейший российский банк принудительно снижает стойкость их паролей. Что еще более странно, официальные представители»Сбербанка» заявили, будто никакой опасности в этом нет и такой подход нормален.

На странное поведение приложения-клиента «Сбербанк онлайн» обратила внимание пользовательница Twitter Арина Окшус — она обнаружила, что при вводе пароля не учитывается регистр символов. На соответствующий вопрос, как это понимать, официальный аккаунт банка в этой социальной сети ответил буквально следующее:

Да, логин и пароль не чувствительны к регистру, чтобы пользователям было удобнее. Не переживайте, это безопасно.

Иными словами, представитель «Сбербанка» признал, что, как минимум, в мобильном приложении финансовой организации стойкость учетных записей к взлому методом перебора снижена на несколько порядков. Обсуждение данной новости в Twitter развернулось нешуточное — кто-то иронизировал, мол, а почему бы вообще не отменить тогда пароли и не полагаться на честность людей, а кто-то пытался получить развернутый ответ, чем вызвано такое решение и каким образом «это безопасно».

Несомненно, любая защита аккаунта в подобных сервисах подразумевает и противодействие так называемому брутфорсу (банальному перебору значений пароля), например, не позволяя за ограниченное время совершать больше определенного количества попыток входа. Однако фундаментом любой криптографии на стороне клиента являются стойкие секретные фразы и без обеспечения возможности реализовать сложный пароль, защищенность всей структуры значительно снижается.

Среди ответов на комментарий официального аккаунта «Сбербанка» пользователи Twitter приложили и эту интересную инфографику — стойкость паролей к взлому перебором в зависимости от длины, регистра и используемых наборов символов. Да, здесь не указано оборудование для брутфорса, но общее представление о разнице в стойкости рисунок дает.

Проблем с игнорированием регистра пароля и логина несколько. Во‑первых, такой подход может косвенно свидетельствовать о том, что в системе авторизации ключевые данные передаются в открытом виде, а не в форме хэш-сумм — что является полным провалом с точки зрения кибербезопасности. А во-вторых, это говорит об отношении службы безопасности банка и разработчиках его сервисов к защите клиентской информации. Оба этих вопроса в «Сбербанке» пока никак не комментируют.

Крупнейший отечественный банк уже не раз становился виновником общественного обсуждения на тему кибербезопасности и защиты личных данных клиентов. Кроме того, довольно часто появляются известия об очередных утечках баз «Сбербанка», например, одна из самых заметных произошла осенью прошлого года.