Tento blog je v současné době uzavřen.
Pokračování blogu na bloguje.cz jsem zrušil. Pokud budu někdy pokračovat, bude to spíš tady.
Kdo provozuje aplikaci náročnou na bezpečnost, měl by ji při vývoji sám zkoušet prolomit a nějak narušit práva uživatelů. V internetové bezpečnosti jsem laik, ale tuhle zásadu bych určitě ctil. ING Bank si tu práci – soudě aspoň podle článku na fincentru – nedala. Ještěže tam nemám účet.
O co jde: aby se uživatel přihlásil do zabezpečené aplikace, potřebuje zpravidla uživatelské jméno a heslo. Některé aplikace se při několikerém zadání špatné kombinace uživatelského jména a heslo rozhodnou účet na nějakou dobu zablokovat. Ale zablokují ho samozřejmě podle uživatelského jména. Takže vám stačí, když znáte něčí uživatelské jméno, párkrát odešlete formulář se špatným heslem – a dotyčný je na nějakou dobu od účtu odstaven. Vy mu z něho sice nic nevyberete, ale přinejmenším se pobavíte či pomstíte.
Uhodnout cizí uživatelské jméno přitom není někdy vůbec těžké. Víte-li, že uživatelská jména jsou třeba čtyřciferná čísla, je velmi pravděpodobné, že náhodně vybrané číslo bude něčí uživatelské jméno. Takže můžete vesele anonymně škodit. Je neuvěřitelné, že tohle ING Bank nedošlo. Patrně nedostal nikdo z jejích zaměstnanců za úkol zkusit škodit. Nebo že by si vybírala za klienty jen anděly?
Jsem důvěřivý člověk, ale čím dál víc si začínám dávat bacha na zdánlivě neškodné věci. Kde jsou ty časy, kdy jsme s Ondřejem Štefflem ve Sciu suverénně zveřejňovali svá rodná čísla.
Abych ještě zvýšil obecnou paranoiu: řada údajů, které lidi o sobě jen tak zveřejňují, se dá docela dobře zneužít. Stačilo by třeba vzít číslo mobilu, které najdete na webu, a dát do inzerce velmi lukrativní inzerát (typu „Nová nejetá Škoda Superb za 20 tisíc. Nevhodný dárek.“, neřkuli nějakou erotickou prasárnu) s tímto mobilem. Dotyčnému tím obstaráte zajímavý program pro několik dní. Mimochodem, tohle už se před časem opravdu stalo.
Ale kdyby se měl člověk pořád něčeho bát, zbláznil by se.
Vložit vlastní komentář – Návrat k článku – RSS komentářů tohoto článku
[1] 9. 1. 2005, 17:28 – Petr Weida (Odkaz)
No myslím si pravý opak. ING na bezpečnost myslelo, a proto přidalo tento bezpečnostní mechanismus. Představ si, že bys mohl zkoušet hesla do nekonečna. To by se prolamovalo...
Spíše je špatná ta kombinace login/heslo. Přijde mi jako těžce nedostattečná. Pokud by měli jako v KB certifikát, tak se nic takového nemůže stát. Prostě místo loginu je ten certifikát. Cokoli méně považuji za nedostatečnou ochranu účtu.
Ad telefon: Proti debilům (sorry jinak to říct nejde) obrana není. Jim stačí adresa a můžou na vás na dobírku objednat klidně stovky věcí z nejrůznějších eshopů atd.
[2] 9. 1. 2005, 17:53 – Endlife (Odkaz)
Co se týče telefonu, zneužití je jasné. Ale jak se dá nějak dost dobře zneužít rodné číslo, to nevím.. a už delší dobu se o tom všude kolem mluví. Může mi to někdo vysvětlit? Dík :)
[3] 10. 1. 2005, 09:07 – Honza Hučín (Odkaz)
Pamatuju si například, že ve Sciu jsme dlouho (aspoň v letech 1998-2001) používali rodné číslo jako username pro vstup do databáze výsledků přijímaček na VŠ, dokonce při nějakém (ne moc stěžejním, ale přece jen) testování žáků 5. tříd bylo možné při znalosti rodného čísla a jména telefonicky změnit místo konání zkoušky apod. Nedivil bych se, kdyby někdo někde rodné číslo používal jako ID (primární klíč) databáze. To samé se dá vztáhnout třeba na IČO nebo DIČ.
Je to ale obecná obava před nemyslícími programátory, nic konkrétního teď neznám.
[4] 10. 1. 2005, 18:54 – Robert Němec (Odkaz)
Nejlepší to má eBanka: unikátní číselné login a vždy nově generované heslo.
Jinak já mám mobil na webu zveřejněný už asi šest let a ještě ani jednou nebyl zneužit! :-)
K tomuto článku není možné vkládat komentáře.
© Honza Hučín 2004–6
Šuplík běží na PIPNI.CZ. Díky!
8. 8. 16:48 | Pepa
7. 8. 21:26 | Honza Hučín
7. 8. 21:02 | Honza
6. 8. 14:29 | Pepa
3. 8. 18:29 | Honza
*1967, absolvent MFF UK v Praze (1991)
statistik, analytik, programátor, učitel, hudebník