?

Log in

No account? Create an account

Страна пугливых идиотов - Общество дровосеков Бердичева по изучению Мишны

Apr. 5th, 2012

01:28 am - Страна пугливых идиотов

Previous Entry Share Next Entry

В городе, где я живу, электричество, вода и служба уборки мусора городские, и их можно оплачивать кредитной карточкой (что редкость для служб подобного сорта, уважаю) онлайн. Для этого нужно завести на городском сайте аккаунт, логином к которому служит e-mail адрес, а пароль должен быть не короче 8 символов, и содержать буквы обоих регистров и хотя бы одну цифру.

Но если пароль забыт, то не беда. Чтобы можно было тут же установить новый пароль взамен забытого, достаточно ввести e-mail адрес и 4 последние цифры SSN (ИНН).

Comments:

[User Picture]
From:grey_horse
Date:April 5th, 2012 08:37 am (UTC)
(Link)
В чем проблема, если пароль к e-mail не менее стойкий? Или он не на почту высылается?
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 5th, 2012 08:48 am (UTC)
(Link)
При правильном введении 4 цифр тут же появляется форма, где можно ввести новый пароль.
(Reply) (Parent) (Thread)
[User Picture]
From:grey_horse
Date:April 5th, 2012 08:49 am (UTC)
(Link)
:(
(Reply) (Parent) (Thread)
[User Picture]
From:fenikso
Date:April 5th, 2012 08:39 am (UTC)
(Link)
ну а как можно проэбьюзить чужой логин? :) заплатить на весь кредитный лимит за вывоз мусор? :)
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 5th, 2012 08:51 am (UTC)
(Link)
Там можно посмотреть содержимое счетов за прошлые месяцы и сделать из них какие-то выводы, что есть нарушение прайваси.
(Reply) (Parent) (Thread)
[User Picture]
From:alon_68
Date:April 5th, 2012 08:58 am (UTC)
(Link)
У нас всё давно можно оплатить кредиткой, и городское, и федеральное. А раньше было по телефону. Так что я даже не помню, сколько лет назад последний раз ходил за этим на почту.
(Reply) (Thread)
[User Picture]
From:maksa
Date:April 5th, 2012 09:05 am (UTC)
(Link)
На одном форуме, если отправить личное сообщение его участнику, тому приходит письмо, а в конце — напоминание, логин и пароль в самом что ни на есть plain text. С отличной вероятностью человек отвечает на это письмо, цитируя всё, что было во входящем сообщении…
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 5th, 2012 03:09 pm (UTC)
(Link)
Красиво.
(Reply) (Parent) (Thread)
[User Picture]
From:larisaka
Date:April 5th, 2012 11:32 am (UTC)
(Link)
смешно, конечно. но правда -who cares! кто-то узнает, сколько я плачу за электричество.
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 5th, 2012 03:12 pm (UTC)
(Link)
Теоретически из этого можно вывести, когда человека может не быть дома, и когда можно дом грабить. Но пуант не в том - независимо от того, к какой информации получается доступ, зачем заставлять людей выдумывать сложные пароли, когда реальная защита - всего 4 цифры?
(Reply) (Parent) (Thread)
[User Picture]
From:stas
Date:April 5th, 2012 11:39 pm (UTC)
(Link)
Инструкция такая. А про SSN в инструкции не написано - гуляй, рванина.
(Reply) (Parent) (Thread)
[User Picture]
From:spamsink
Date:April 5th, 2012 11:45 pm (UTC)
(Link)
Вот я и говорю третье слово сабжа. :)
(Reply) (Parent) (Thread)
[User Picture]
From:stas
Date:April 5th, 2012 11:39 pm (UTC)
(Link)
Меня всегда восхищают конторы, требующие пароля не менее 8 символов длиной, с большими и маленькими буквами, цифрами и знаками препинания - и допускающие secret question & answer для смены этого пароля из одной буквы. Это происходит примерно в 99.9% мест, смутно помню 1 исключение из всех известных мне логинов.
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 5th, 2012 11:47 pm (UTC)
(Link)
Я тоже смутно помню, что где-то была нижняя граница длины ответа на секретный вопрос. А что если у кого-то девичья фамилия матери - Ng?
(Reply) (Parent) (Thread)
[User Picture]
From:stas
Date:April 5th, 2012 11:50 pm (UTC)
(Link)
Но на самом-то деле все эти системы довольно несложно обходятся телефонным звонком с теми же данными. Если узнать имя, адрес и 4 последних цифры SSN, можно просто позвонить в суппорт и попросить сменить пароль. Сменят с радостью, а что им ещё делать остаётся?
(Reply) (Parent) (Thread)
[User Picture]
From:spamsink
Date:April 7th, 2012 03:29 am (UTC)
(Link)
Иногда без радости - например, когда человек говорит имя китайское, а акцент у него явно не китайский, - но таки да, ничего не остаётся.
(Reply) (Parent) (Thread)
[User Picture]
From:kroha376
Date:April 6th, 2012 07:36 am (UTC)
(Link)
Если у меня были бы 4 последние цифры Вашего SSN, то я бы заглянула с большим удовольствием (и большей пользой) в Ваш банковский счет :)
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 7th, 2012 03:29 am (UTC)
(Link)
К счастью, для доступа к банковскому счету сейчас нужно знать больше, чем 4 цифры SSN.
(Reply) (Parent) (Thread)
[User Picture]
From:vmtcom
Date:April 6th, 2012 09:36 pm (UTC)
(Link)
А вот и xkcd в тему подоспел ;-)
(Reply) (Thread)
[User Picture]
From:spamsink
Date:April 7th, 2012 03:27 am (UTC)
(Link)
Правду говорят, что для ответов на любые секретные вопросы лучше придумать одну хорошую пассфразу подлиннее, но есть проблема: на некоторых сайтах просят ответить на 5-6 разных вопросов, а потом спрашивают случайные два - вдруг у них там проверка, чтобы на все вопросы были разные ответы?
(Reply) (Parent) (Thread)
[User Picture]
From:fatoff
Date:April 7th, 2012 11:19 pm (UTC)
(Link)
Фремонт?... то-ли что-то слышал от бывших коллег, толи что-то с памятью моей стало.
Ещё и пойнты на том зарабатывать. Мечта всех рациональных плюшкиных. :-)
(Reply) (Thread)