niedziela, 20 grudnia 2009

Słabe zabezpieczenia w Deutsche Banku

Niedawno musiałem założyć konto bankowe w Deutsche Banku. Ponieważ jestem zwolennikiem dostępu elektronicznego do konta, więc od razu powiedziałem, że to jest dla mnie warunek konieczny. Dzisiaj otrzymałem list z kartą z kodami. No trudno, pomyślałem sobie, pewnie nie da się aby hasła przychodziły na SMS, jak to jest od lat w mBanku. Po telefonicznej rejestracji udało mi się ustalić hasło do mojego nowego konta. Na szczęście hasła nie musiałem podawać przez telefon dyktując je jakiejś Pani. Zostałem bowiem przełączony na rozmowę z automatem, który prosił o podanie hasła z klawiatury telefonu. No więc super, pomyślałem.

Przejdźmy więc do najciekawszego. Czyli do tego, co zobaczyłem po zalogowaniu w systemie easyNET, bo tak się nazywa system obsługi kont osobistych w Deutsche Banku.
Jak się pewnie domyślacie, od razu chciałem zmienić swoje hasło, bo przede wszystkim hasło złożone z samych cyfr, które podawałem przez telefon jest kiepskim hasłem.
No i nie uwierzycie z czym się spotkałem.
Hasła w easyNET mogą być złożone tylko z cyfr, a ich długość nie może być większa niż 6.

Załamałem się tym tak bardzo, że musiałem o tym tutaj napisać.

Masakra, co nie? Całe szczęście, że https im działa, no i że mają podpisane certyfikaty.

Uwaga: aby ułatwić hakerom łamanie haseł Deutsche Bank dodaje, że:
hasło nie może zawierać obok siebie trzech kolejnych ani takich samych cyfr.

4 komentarze:

Anonimowy pisze...

Rzeczywiście, zabezpieczenie w postaci 6-cyfrowego hasła nie jest żadnym zabezpieczeniem. Nie mam konta w tym banku, wiec mogę jedynie zgadywać.
Czy przypadkiem do wykonania transakcji nie potrzebne są kody TAN? Jeśli tak, to nawet po odgadnięciu hasła [czyt. zbrutowaniu ;p] można jedynie pooglądać sobie kogoś konto. Choć zgodzę się - również nie czułbym się najlepiej, wiedząc, że ktoś przeglądał moje konto ;>

Jeszcze taka mała "uwaga". Osoby bawiące się w takie rzeczy, to nie hakerzy, a zwyczajni crackerzy, czy nawet script-kiddies :) Słowo haker tu nie pasuje :0

Przy okazji: Wesołych Świat :)

Anonimowy pisze...

To jeszcze nie wszystko.
Karta kodów jednorazowych tak naprawdę nie jest kartą kodów jednorazowych - bo po pewnym czasie numery powtarzają się i podaje się nie tylko niezdrapane numery ale również te już wczesniej zdrapane i wykorzystane.

A wiec jeśli ktoś robi dużo przelewów i to jakiś haker który włamał się do kompotera może po jakimś czasie odtworzyć dużą część karty kodów.

Moim zdaniem to dużo większa słabość tego konta niż sześciocyfrowy kod.

Nie na darmo w rankingach bezpieczeństwa Deutsche Bank zajmuje jedno z ostatnich miejsc.

Szkoda, bo gdyby nie to konto byłoby wręcz idealne.
Ale karta kodów wielorazowych moim zdaniem dyskwalifikuje to konto...

Rebson pisze...

Stare informacje, już od dawna w DB funkcjonują SMS

Rafał Nowak pisze...

Sprawdziłem, czy rzeczywiście są to stare informacje.

Niestety od trzech lat zmieniło się tylko tyle, że hasło musi zawierać 8 cyfr, a nie 6. Wow.

"Prosimy pamiętać, że kod dostępu jest numerem poufnym. W związku z tym nie powinien być ujawniany osobom trzecim.
Definiując swój kod dostępu pamiętaj o zachowaniu podstawowych zasad bezpieczeństwa:
Kod Dostępu:
- musi składać się z 8 cyfr,
- nie może zawierać obok siebie 3 identycznych znaków,
- nie może zawierać w sobie ciągu kolejnych cyfr w porządku rosnącym bądź malejącym (np. 123456, 654321)."