Как банки борются со злоумышленниками

[ny_quant]

Мне пришел чек на сумму $270.16, который мне выписал один крупный банк от имени своего клиента, который был мне должен эту сумму. Там, где обычно прописана сумма циферками, было вот это:



Софт моего банка, куда я хоте это чек депозитировать телефоном, с этой капчей не справился, поэтому придется ехать в банк лично. Какие же все молодцы!

Comments

[nlothik.livejournal.com]

> Смысл наверное в том, чтобы злые люди не могли увеличить сумму на чеке.

Так всё равно прописью ещё обычно написано — как тут увеличишь? В-общем, странное какое-то решение.

[ny-quant.livejournal.com]

Damn right! Я даже хотел поставить тэг "дебилы". Такие интеллектуалы заправляют всем, что касается вопросов безопасности.

У нас, например, есть главное в нашей работе приложение, которое не требует дополнительных паролей, если ты уже в системе банка. Теперь дебилы из информационного гестапо нас оттуда автоматически разлогинивают если ты ничего не делал 5 минут. Зайти обратно - просто кликнуть на "логин". Но если там висела недоделанная работа, а тебя просто отвлекли, то придется делать всё сначала. Все всё понимают, но сделать с придурками ничего нельзя. Я уже не говорю про смену паролей при 2FA, причем разрешены только цифры и буквы.

[nlothik.livejournal.com]

Отвечу как айтишник, так сказать, с другой стороны, из противоположного окопа, внедрявший подобные вещи на некоторые компьютеры для финансовых или медицинских клиентов.
Эти меры — не наша идея. Медиков сношают регуляциями HIPAA, а финансовых товарищей сношает FDIC наш дорогой, регуляциями, например, PCI DSS (это для тех, кто проводит платежи с кредиток).
И в этих самых регуляциях прописаны требования по session timeout. И не важно, хочу я, не хочу я, но если эту самую сессию прерывать не буду после 15 минут (обычно 15. 5 минут это уже слишком круто), то компьютерная система не пройдет аудит безопасности и ей просто не разрешат работу.
Так что да, ничего сделать нельзя. Я тебя понимаю конечно — неудобно. Просто ты обижаешься не по адресу. Это федеральное правительство наше дорогое так придумало.

[ny-quant.livejournal.com]

Я этих регуляций не читал (и не планирую) так что не знаю.

Но если бы был хоть какой-то здравый смысл, то требования там где банк сношается с клиентами должны быть одни, а там где внутре себя другие. При всем уважении к федералес, трудно представить чтоб они это не прописали черным по белому.