V Komerční Bance se asi někdo zbláznil. Řeší zda vás přihlásit do bankovnictví pod špatným heslem.

Tohle je dost neuvěřitelný záležitost na Facebooku Komerční Banky. Pořádají tam anketu, ve které se ptají, zda mají uživatele přihlásit pokud třeba zadal heslo se špatnou velikosti písmena nebo na konci hesla omylem přidali něco navíc (třeba čárku nebo mezeru).

2020-06-26 21_15_34-Window.png

Když byste udělali v zadaném heslu jednu z několika námi vybraných chyb – třeba zaměnili na začátku malé písmeno za velké, nebo na konci omylem klepli do klávesnice, i tak bychom vás přihlásili. 
Takže například pro 𝗵𝗲𝘀𝗹𝗼𝟭𝟮𝟯 by bylo platné i 𝗛𝗲𝘀𝗹𝗼𝟭𝟮𝟯, nebo třeba heslo123 s mezerou na konci.

Ano, dá se to chápat. Přihlašování na mobilu má velmi častý problém s prvním písmenem. Přihlouplé nápady klávesnic a systémů tam běžně napíší velké písmeno, aniž by uživatel chtěl.

Celé je to ale zhůvěřilost co znamená, že nemáte „heslo123“ ale funguje i „Heslo123“ (a opačně). Což je ale zcela jiné heslo – takové co uživatel nezadal.

Co navíc, dva uživatelé s heslem „Heslo123“ a „heslo123“ náhle mají stejné heslo. Stejně jako uživatel s „Heslo123,“ a uživatel s „Heslo123“.

Komerční banka to zabíjí další větou : Líbilo by se vám to? Váš názor je pro nás důležitý. 👍 Přesto stále platí, že vaše bezpečnost je pro nás tou nejvyšší prioritou. 

V otázce bezpečností (zejména u bankovnictví) se nelze ptát, jestli by se uživatelům líbil nějaký ten kompromis bezpečnosti na úkor bezpečnosti. A zároveň navíc tvrdit, že „bezpečnost je tou nejvyšší prioritou“.

2020-06-26 21_24_03-Window

Odvolávat se na pASSWORD tYPOS and How to Correct Them Securely vypadá velmi odborně a promyšleně, ale zároveň svědčí o nepochopení.

Opět je nutné zdůraznit, tady řešíme bankovnictví a tím peníze uživatelů.  Realisticky by žádné bankovnictví nemělo být přístupné pouze zadáním klasických „jednorozměrných“ (ID + heslo) přihlašovacích údajů.

2020-06-26 21_32_37-Window.png

V zmíněné studii si navíc nejspíš nevšimli problémů na které autoři přišli. Typicky například: Moving from Ctop2 to Ctop3 can result in a relatively big jump in security loss. The reason is that the rm-last typo corrector admits many higher-mass balls than only correcting the considered capitalization errors. For example, adding a character to many popular passwords results in another popular password: password and password1, abc123 and abc1234. 

Ne nadarmo asi Dropbox (zmiňovaný i v oné studii) tak daleko nešel a nasadil jedinou hodně užitečnou věc – upozornění uživatele, že má zapnutý Caps Lock.

2020-06-26 21_34_19-Window

A poslední věc. Ani nepřekvapí, že KB na výše uvedený komentáře neodpověděla. Protože KB nesmí mít v žádném případě uložená hesla uživatelů. A protože smí mít uložen jenom hash tak je to celé opravdu postavené na hlavu.