Это вообще конкретная дыра в безопасности. Хук в челюсть и делай с руками жертвы что угодно. Даже не настаивал эту дактилоскопию мобильную.

Второй момент. Сотрудник сбера в открытой переписке обсуждает технические детали безопасности банковской системы.
Ну тут уль говорить, одна весьма высокопоставленная особа из внешторгбанка или из центробанка (лень искать) унесла рабочий жесткий диск на починку в палатку у метро. На диске было много закрытой серьёзной информации составляющей служебную тайну, но на её счастье палаточники туповаты были и просто решили развести эту бабёшку на 15к.руб, а она в свою очередь подала заявление в полицию на них, почему и вскрылась эта вся история. Где там ИБ, чем они там занимаются , зачем они там вообще, если женщина (словившая порнобанер походу) смогла выкрутить ХДД из корпуса и вынести его из здания.

Напомнило прикол про выбор пароля, непомню дословно, но там было что-то типа «вы не можете выбрать этот пароль т.к он у юзера васи пупкина»

Вот это тоже полный ахер. Поэтому юзаю единственный банк РФ (знакомый мне) без привязки мобилки - Авангард.

Как говорил наш препод: «безопасность не продукт, безопасность процесс»
Поэтому следует уделять внимание всем аспектам влияющим на это дело.

Ну это классика жанра. Человек самое слабое звено в любой системе (с) Кевин Митник.

это видимо перебором по слогам ломается?

Сервер с 0.5млн проксей с брут базами на десяток миллионов записей это одно.Вырыбачивает он в лучшем случае чтоб расходы отбить и немного хлеба с маслом поесть.  С другой стороны «проекты» с бюджетами в 10/100к$ в охоте на крупную рыбу, там в ход уже и идёт «слом» людей.
Но опять же это крайние ситуации, между ними куча комбинированных методов.
Например взять в жеке ключи от подвала по корочке интернет монтажника распечатанной на приниере и напрямую воткнуть что угодно в банковский свич который открыто висит и светит портами в подвале (потому-что отделение маленькое и места нет под эти шкатулки и не красивые они).
Занимаюсь (в том числе) вопросами безопасности как хобби/консультации/проектирование/внедрение уже больше 15 лет, такой дичи насмотрелся.

Это тупо формальное правило забитое в валидатор. Нет спецсимвола и апперкейса — слабый пароль.

Ну не совсем уж тупо. Кипас вычисляет энтропию пароля. Подробнее тут
https://ru.m.wikipedia.org/wiki/Сложность_пароля

Ты цыфирки не включил. А это 24(26 англицкого алфавита минус Il) символа вместо 32(+10цифр -0о).

Бит 10 энтропии.

Ну не 10, а эммм... 14х(log²32-log²24)

Ну я то предлагал ещё +10 спецсимволов+10цыфирок-4неоднозначных символа, чтобы получилось вместо некрасивого 24 красивое число 42)

=5.8

Не, ту 6 бит энтропии, это уопщем не особо много, согласен. И эт при условии 14 символьного пароля.

Впрочем качественно солёные хеши так-же бодро ломаются? Я чо-т хз. Кто пробовал?

Ох, сколько бы я вам сейчас рассказал про умолчальные пароли банков, но тут без срока не получится... 😏

Сбербанк выдаёт инициализационный к своей подсистеме H2H пароль длиной в 6 символов. Он действителен после смены полгода. После смены пароля старый действителен ПОЛГОДА.

Вот тебе, Чуви, стикеров сбертеховских ;)