Pull to refresh

Comments 102

2. Сменить пароль можно «напрямую в DBA» (умные люди с Хабра, вы понимаете что это заклинание значит?).

к сожалению знаю =) несколько дней провел пытаясь завести этот бсклиент… а про «Калуга Астрал» вообще говорить не хочется, вот уж где Астрал, так Астрал…
Смена ключей в первый раз были пляски с бубном и постоянные звонки в тех. поддержку. Спустя месяц от них уже видел новую инструкцию по смене ключей :)
Хм. Я БС не пользовал (точнее у меня бухи не пользуют), но в Сбербанковским КБ не то, что пароль менее 5 (вроде) символов нельзя, дык там еще и сравнивает с 4-мя (если мне не изменяет память) предыдущими и не дает поставить новый, если он уже был.
Вот спасибо. Сегодня мозг чуть не сломал, почему не могу поставить пароль конкретный на один из ключей.
получется что они сохраняют 4 предыдущих пароля?
Это Вы давно не смотрели на Сбербанковский Клиент-Банк. С безопасностью там очень и очень грустно.

Выглядит надежно и серьёзно: транспортные ключи, админские, руководителя, всё на отдельных флешках (ну не понимает каталоги), но самое главное — впн-шифратор, мощъ, ага! Однако несколько паролей (кому интересно — ищите в инструкции по установке) одинаковы для всех клиентов. Ну, чтобы проще было, наверное.
Ну мы по старинке: модем+дискеты :-)
Причем бухи решительно отказываются от КБ с флешками и интернетом.
А я всегда думал, что крыжик — это крестик (белор. крыжык )
Видимо термин происходит с тех времен, когда вместо подписи на документе ставили.
Вау, сколько же я интересного узнал на словоборге… не только про крыжик!
Ржали всем офисом.
у бухов есть такая операция называется «крыжить». Означает сверять что то с чем то путем визуального сравнения и проставления крыжиков, то есть галочек, или плюсиков у кого что.
Разбирали с программистом бухгалтерский сленг. Пришлось даже залезть в Даля, чтобы выяснить происхождение некоторых слов. Выяснилось, что «крыжить» происходит от «крыж», то есть крест, и исходно значило «помечать крестом», хотя сейчас большинство бухгалтеров крыжат галочками. Заодно разобрали слово «херить», происходящее от «хер», старого названия буквы Х, и означающее по Далю перечеркивать или помечать косым крестом. Программист подумал и сделал вывод, что херить – это крыжить под углом пи на 4.
(С) Записки автоматизатора, Андрей Орлов
ну такого не встречал, сколько их видел всяких разных(примерно с 20-25 видов), и со странной подпиской пароля который надо генерировать, отвозить лично в офис, потом приезжать забирать его, и еще раз подписывать его, вот такое было но чтобы пароль был зашит это что-то просто и рода вон выходящие
Поэтому надо обеспечить, чтобы «за компьютер бухгалтера не сел посторонний») Не важно какой там пароль в БК.
После прочтения статьи остаётся два вопроса: правильно ли я угадал ваш пароль из трёх букв, и что такое «крыжик»?
после вашего топика и особенно после этих строк:
«Поскольку система BS-Client предназначена для работы с финансовыми документами, вопросам безопасности в ней уделяется повышенное внимание. В системе используется криптографические стойкие шифрование и электронно-цифровая подпись (ЭЦП) всех данных, которыми Клиенты обмениваются с Банком. Шифрование защищает данные от перехвата злоумышленником, ЭЦП однозначно удостоверяет авторство данных.»…

Вспоминается отличный мульт студии Пилот:
www.youtube.com/watch?v=gQbUzJUkBXg
и пароль этот — «sql»…
а вы что подумали? :)
Это же бухгалтер, а не доморощенный DBA и пароль там 123.
Думаю, что даже будь реализована функция смены пароля, пароль по-умолчанию поменяло бы менее половины юзеров.
Украина. Банк «Аваль» (Райффайзен банк Аваль). Клиент-банк нормальный и понятный. Пароль нужно менять раз в пару месяцев — система сама заставляет… Правда, тот же пароль проходит, но он у меня достаточно «криптостойкий» (или как это точнее называется?)
криптостойкими бывают алгоритмы. А пароли бывают лоховскими и пацанскими :D
Значит, он у меня достаточно пацанский )
Их явовская приблуда, которая каждый раз загружается с их сайта или та которая установлена локально, и если была открыта в момент подвисона/ресета/пропадания питания, с завидным постоянством убивает собственную локальную базу?
Установлена локально. пользуюсь около 1,5 года — никаких нареканий ниразу не было. Правда, установлена она у меня на ноуте, так что проблема с пропаданием питания отсутствует (UPS для Вас никто не отменял).
Дело не в UPS и backup, и первое и второе присутствует, дело в реакции на нештатные ситуации, которая мне не нравится.
Для нормальной реакции на нештатные ситуации необходима мощная база данных, которую нецелесообразно поставлять с «легковесной» программой для обмена данными (грубо говоря)
UFO just landed and posted this here
У Аваля так и сделано. После смены ключа в банк передается хэш на бумажке с печатью и подписями для его узаконивания.
А у нас пароля вообще нет. Клиенты делают себе флэшки с ключом эцп и хранят ея как зеницу ока в сейфе с печатью. Зачем еще пароли на ключ вешать если он по догвороу не может попасть в третьи руки ибо будет скомпроментирован.
Затем, чтобы, если флешка с ключом таки попадет в руки третьим лицам, до того, как это будет обнаружено и об этом заявлено в банк, третье лицо не могло воспользоваться ключом.
Черт, я даже знаю пароль =)

Если за комп бухгалтера может сесть посторонний и увидеть знакомый ярлычок банк-клиента, он смело может писать пароль из трех букв и оперировать вашим счетом.

А вот тут не совсем правильно. Можно будет только локально сделать какие-то документы, передать же их будет нельзя без наличия носителя с ключем (он у вас ведь в сейфе хранится, а не воткнут в комп постоянно?)

Более того, при отправке данных в банк обязательно выводится всякая отчетность, в которой есть все отправляемые документы, это дополнительная мера безопасности — бух обязан отследить, совпадают ли их суммы с реально отправляемыми (это на случай, если кто то втихаря документов насоздавал).

Так что пароль на клиентское приложение — защита от честных людей, не более. При наличии физического доступа к консоли можно любой пароль, хранящийся локально, поменять в три секунды.
>… передать же их будет нельзя без наличия носителя с ключем (он у вас ведь в сейфе хранится, а не воткнут в комп постоянно?)....

Кхм…
Ха! У нас ключ вообще на хард записан.
а какой толк в пароле? Платежки посмотрит человек, имеющий физический доступ к компьютеру с БК? Дык, ему это не надо делать, он с таким же успехом может достать папку с надписью «Платежки» из шкафа рядом =)
А по договору, если бабки со счета уведут использовав пароль из трех букв, то виноват будет естественно клиент? Ибо сам лошара допустил что бы посторонние лица завладели паролем? А у банка еще поди 100500 лицензий и сертификатов есть о том что их система непогрешима.

Вот ты какая — банковская безопасность. Бессмысленная и беспощадная :)
напрямую в DBA — там в папке с программой аксесовский файлик лежит… так вот — от него тот пароль
Использую как клиент одного из банков web-версию клиент-банка BSS.

Такое ощущение что систему проектировал даун и садист одновременно.

А видели бы вы их требования к Mac-пользователям! Предлагают использовать Internet Explorer for Mac! Интересно, там на всю контору есть хотя бы один мак-юзер что они такие смешные.
Этому клиенту лет восемь, если не ошибаюсь. Проблема в том, что новая версия стоит денег, и ее внедрение тоже не бесплатно (даже если банк сам его будет проводить — время специалистов банка стоит денег). А банки обычно тратиться не спешат =)
Самый большой головняк в том что в фсб ключи апрувятся. Без этого все развивалось бы как надо.
Не ключи (иначе каждый клиентский дистрибутив пришлось бы аппрувить), а алгоритмы шифрования. И это забота не БСС, а провайдера криптографии (Крипто Про, Верба и прочие). На клиентскую часть это не оказывает никакого влияния.
UFO just landed and posted this here
Я тоже знаю этот пароль :))

Вообще, по-моему у БСС была утилита, которая давала доступ к настройкам клиент-банка недоступным через интерфейс самой программы. Так вот в этой утилите можно было снять галку типа «использовать один пароль для DBA и входа в систему» и после этого можно было смело менять через интерфейс программы, при этом пароль к базе останется прежним.

Я, когда еще работал в банке и обслуживал в том числе и этот банк-клиент, а было это три года назад и программа имела версию 15.х, после того как создавал дистрибутив клиент-банка для клиента и перед тем как записать его на диск и передать клиенту, сам вносил в базу данных необходимые изменения, чтобы клиенты могли без лишнего шаманства менять пароль.
Не скажу какой банк. В качестве клиента для Интернет-Банкинга используется сугубо браузер с java и апплетом от Bifit. Авторизация сводится к набору пароля, каковой позволяет воспользоваться ключём — некий USB-фишк. Так вот, пока этой фишки в компе нет, вам просто нет смысла набирать пароль, сколь простым бы он ни был — приложение и пальцем не шевельнёт, чтобы что-то там проверить или поменять. Вся конфиденциальность и безопасность обеспечивается этой самой фишкой, каковая обязана храниться в сейфе и всё такое. В данном случае пароль — не то дань моде, не то чисто для понта.
Полагаю, в случае автора дело тоже не ограничивается одним паролем — должно быть что-то ещё. И ежели сие что-то ещё лежит в надёжном месте и почём зря сие место не покидает, то не имеет смысла заморачиваться с паролем. Ежели же кроме собственно пароля ничего нет, то я могу только посоветовать автору сменить банк — столь “мощная” защита многое говорит и о самом банке.

Информационная безопасность такая информационная, что имеет смысл озаботиться чем-либо материальным. К примеру, что толку в PGP, если под виндой по умолчанию обе связки ключей хранятся в профиле пользователя в известном его месте? Ну какой тогда от этого смысл? Взломали профиль, подобрали пароль к связкам — и весь хвалёный PGP сдулся, как мыльный пузырь. Дайте себе труд хранить эти связки на, к примеру, флешке. И возьмите себе за правило вставлять сию флешку в комп только тогда, когда хотите что-то зашифровать или подписать. И вот тогда-то PGP предстанет перед вами во всей своей красе — можно будет взломать ваш профиль и там же и повеситься от отчаяния, потому что ключей в нём нет.

Совмещайте и комбинируйте, господа, и да пребудет с вами секурность.
«В данном случае пароль — не то дань моде, не то чисто для понта.» — этот пароль является ключем дешифрования данных на флеш карте (симметричного алгоритма ключик, посредством которого зашифрован асиметричный ключ). Это стандартно для многих систем, например для систем пластиковых карт (там паролем является пин код). Суть в том, что если кто-то украдет вашу флеш карту, то вероятность её использования за обозримое будущее (месяц-год) остается достаточно низкой.
Ну, собственно, об том и речь. На взлом пароля требуется, условно, неделя. При этом едва ли вы будете знать, что вот именно сейчас ваш пароль кто-то ломает — мало какие сервисы предупреждают о подобного рода инцидентах. А вот ежели у вас пропал USB-токен, то вы это враз обнаружите и примете меры. В данном случае этот пароль — всего лишь такая декоративная панель, прикрывающая огромный амбарный кодовый замок, каковой и обеспечивает основную безопасность.
Пароль, о котором идет речь в посте — пароль к клиенту, контейнер с ключами там можно отдельно защитить (разными способами, в зависимости от используемого провайдера криптографии).
Можете не говорить. )) Bifit, ключ на флэшке, деревянные игрушки…
Вы о чём, ежели не секрет?
О банке и Бифитовском клиенте. )
UFO just landed and posted this here
ну я думаю если есть специальная форма для смены пароля — она должна работать.
иначе просто не надо её показывать, это же билд, тем более клиент-банка, а не какой-нибудь бесплатной программы. думаю немалых денег стоит)
смотрите. я — юзер. я имею право быть занятым и не очень компетентным. мне банк предоставляет некий сервис и инструкцию. мой админ поставил банк-клиент, потанцевл с бубном, все работает.

я хочу сменить пароль. разумное желание? почему на этом пути меня вынуждают заниматься исследованием структуры чужого для мена софта, открывать аксессовские базы, менять что-то в настройках неведомыми утилитами? я могу вспомнить что по образованию программист, что лет N назад работал админом и т.п., но я хочу сервиса, который меня не напрягает. не как специалиста — как руководителя.

а этот сервис своей бесчеловечностью и недоработанностью меня напрягает, и свиваться в трубочку чтобы обойти чужие косяки я не хочу.

этот сервис — плохой. пусть станет лучше.

по поводу файла с хелпом, о котором вы говорите — обязательно завтра поищу и почитаю, спасибо за наводку. только почему эту инфу мне дает посторонний коллега с Хабра, а не специалист по этому софту в моем маленьком банке?
UFO just landed and posted this here
Если компания, разрабатывающая софт для обеспечения безопасности чего-то поставляет его с паролем по умолчанию и не предлагает при установке софта его поменять, то… у этой компании большие проблемы с кадрами. Этот несчастный пароль может оказаться только вершиной айсберга. А если там в коде кто-то из хакеров серьезно покопается? А может они для секурности S-блоки в DES свои поставили? А может, как GSM Association с A5/3 лоханулись? Подумали, что они крутые перцы и могут улучшить какой-нибудь алгоритм шифрования…
Банк «Санкт-Петербург». Недавно поменяли систему авторизации.
Теперь при каждом входе в интернет-банк, тебе высылается заново сгенерированный пароль через SMS. Вышел из системы — пароль недействителен.
Номера мобильных телефонов, через которые происходит авторизация, жестко прописаны в договоре.
По-моему, вполне удобно и надежно.
UFO just landed and posted this here
Я клиент этого банка и мне удобно.
А на чем базируется ваше утверждение?
UFO just landed and posted this here
если у вас на счете миллион рублей и он вам нужен, можно потерпеть

конечно, система странная, учитывая что руководитель не всегда сам оперирует счетом, и перелогиниваться может потребоваться раз 20 в сутки, но — имеет право на существование
UFO just landed and posted this here
>Нужен доп. телефон.
Доп. телефон не нужен. Прописываешь в договоре, скажем, номер генерального, главбуха и буха (хоть 10 телефонов). Каждый, при входе в систему, вводит логин и получает на свой телефон (через несколько секунд) пароль.
>Нужно быть в зоне покрытия сети. Зависиность от сотовой компании.
СМС приходит на телефон любого оператора, но если бухгалтер работает в Зимбабве — то это да, проблема.

Значительно хуже, если телефон один, но села батарея (+ нет зарядки) или забыли телефон дома. Но у нас такого не было.
Некоторые телефоны некоторых операторов, не-российских, в принципе не могут получать SMS.
А нафига вам бухгалтер с телефоном «некоторого не российского» оператора? А если вам все же повезло, то нафига вам тогда банк «Санкт-Петербург»?
Значит для генерального, который по большей части живет не в России, вход закрыт?
Или ещё точнее, значит пользоваться этим банком гарантированно могут только те, кто живёт в России? Спасибо за предупреждение, буду этот банк обходить стороной.
А воспользоваться роумингом слабо?
Видимо, я плохо разъяснил. Оператор в роуминге в принципе не поддерживает отправку и получение SMS. К пример, японские NTT DoCoMo и KDDI именно такие.
Это я понял, но непонятно зачем изобретать лишние сложности.
Если человек постоянно за границей и, допустим, у него нет знакомых в России, то зачем ему пользоваться услугами локального русского банка?
Если же он в командировке в Японии и ему приспичило посмотреть транзакции своей компании, то да, надо слегка поизвращаться — к примеру позвонить своему бухгалтеру и попросить скинуть действующий пароль, скажем, на e-mail.
И мне непонятно, зачем изобретать такую угрюмую и ограниченную систему, завязанную на сторонние сервисы. Ведь если все телефоны у начальства находятся у одного оператора, что обычное дело, при пропадении сети по какой-либо причине, предприятие останется без доступа к банку через интернет. Да, можно задуматься и предусмотреть это и еще какие-нибудь другие возможные проблемы, но зачем?..
Идеальных систем не бывает. Накладки могут быть всегда.
К примеру Вася может перерубить интернет-кабель или сгорит подстанция, питающая ваш микрорайон, или цунами накроет и вас и банк ))
телефон тоже можно «временно взять в пользование»
Восстановить чужую симку не так уж и сложно, было бы желание. А если телефоны корпоративные, то для этого достаточно просто выписать доверенность.
BSS — Это жесть, написанная студентами индусами ))
Подозреваю, что у всех BS-Client, вне зависимости от использовавшего их банка один и тот же пароль. Вы, наверное, уже не удивитесь тому, что простой пароль " язык структурированных запросов" стоит в подобных системах года этак с 2001-ого наверное. Был он и в предыдущих версиях. Годы идут, а «твердыня мега-парольной» защиты все там же.

(извините, коллеги, как-то рука не поднимается пароль-то написать в явном виде; полагаю, вы догадались сами)
Это беда многих БК — в моей версии дефолтный пароль вообще из двух букв… моих инициалов :)
Благо сменился без проблем.

А вот БК от СберБанка я так установить и не сумел, видимо опыт юзера PC не достаточен (всего каких-то 15 лет)
Конечно, ведь еще нужны знания алхимии, философии, нелинейной тригонометрии и, куда уж без нее со Сбером, теории относительности (которая, как известно, гласит: относи-не относи — все едино)…
извините, у вас какие-то странные клиент-банки.
стоит тоже bs-client. Пароль к доступа, да, стандартный sql. И че? Ну зашол какой-то левый тип под ним? Максимум что сможет сделать, посмотреть какие платежки были.

Все операции с банковским счетом проводиться использую токен и персональный пароль к каждому токену, который нужно вводить каждый раз.
У нас три фирмы. На каждую фирму по своему токену, к каждому токену свой пароль. Токены храняться в сейфе.
Бухгалтер подготавливает платежки (в 1с), импорт в банк. Приносит токены, подписывает платешки этими токенами, вводит пароли. Отправляет. Токены в сейф.

у кого-то другая схема работы?

*токены — это такая флешка, где храниться ключ\сертификат\файлик (идентифицирующий вас).
Меня вообще смущает даже факт того что кто то может мои платежки смотреть. Хорошо, что МДМ банк сменил клиент-банк — все стало проще и лучше (далеко не идеально конечно).
Человек, имеющий физический доступ к компьютеру с БК может не вводя пароля подойти к шкафу рядом и достать папку «Платежки». Увидит ровно то же самое =)
По поводу «нового дистрибутива» — бред. Даже забытый пароль от базы можно взломать утилитами, а уж пароль от пользователя программы меняется в самой базе, просто ТП не захотела объяснять Вам это…

Далее, деньги перевести можно только отправив документ, подписанный валидными ЭЦП — а при грамотном подходе взять их можно только у бухгалтера, который их вам не даст просто так.

Сама по себе система BSS — невероятно гибкая и при наличии компилятора из нее можно собрать и пароход, и велосипед, и космический корабль. Но проблема таких систем в том, что со временем, когда от написания кода уходят освновные разработчики и их дети, код превращается в чудище болотное.
UFO just landed and posted this here
банк софт системс.
какой у них невероятно клёвый bs-клиент для веба.
хочется крови девелоперов.
Потрясающе. Стёп, ты хоть сдай этот банк, чтобы знали люди. Я в одном банке тоже с этим bs-клиентом работал, проблем с паролем не было — сразу свой ставил.
Выше в каментах было, ценность указанного пароля нулевая (если носители с ключами в сейфе храните, как положено по всем инструкциям). Максимум возможного — просмотр данных о платежах при наличии физического доступа к компьютеру. Но для этого даже компьютер можно не включать, достаточно поискать в шкафу рядом папку «Платежки».
Если не секрет, что за банк и какая компания автор клиента?
Мне просто в скором будущем видимо тоже придется подключать подобную систему.
Хотелось бы избежать лишних грабель=)
-А в какой компании вы работаете?
-В крупной…

(с) Fight Club
UFO just landed and posted this here
Незнаю как в актуальной версии, но я в свое время «ковырял» этот BSS на предмет смены пароля. Натолкнулся на те же самые грабли. В результате лазания по директориям нашел базу данных банк-клиента (в формате MS Access — это уже отдельная тема для лулзов) и сменил пароль на нее стандартными средствами MS Access. Вотъ.
Sign up to leave a comment.

Articles