bzwbk.pl
Kilka dni temu na klientów domu maklerskiego BZ WBK padł blady strach. Podejrzewano, że nie trzeba znać całego hasła do serwisu transakcyjnego, aby przeprowadzić udane logowanie.
W "Dzienniku Internautów" przeczytaliśmy:
Jeden z Czytelników Dziennika Internautów opisał w liście do redakcji niespotykany i niepokojący sposób logowania do Domu Maklerskiego BZ WBK. Czytelnik korzystał z hasła składającego się z blisko 20 znaków ale zauważył, że wystarczy wpisać pierwsze 8 znaków aby się zalogować. Co więcej, logowanie było możliwe nawet wtedy, gdy po 8 pierwszych znakach znalazły się całkowicie losowe znaki.
Sytuacja była o groźna, bo długość kodu jest jednym z najważniejszych czynników decydujących o jego odporności na złamanie.
W poniedziałek "DI" uzyskał wyjaśnienia od Agaty Wypychowskiej, kierownika zespołu marketingu w BZ WBK. Okazało się, że dom maklerski korzysta z dwóch rodzajów haseł - maskowanego i zwykłego. Jako dodatkowe zabezpieczenie może być wykorzystywany token. I dalej:
Wcześniej stosowane hasło zwykłe zawierało od 6 do 8 znaków. Ten typ hasła nadal funkcjonuje i wymusza od Klienta poprawne wprowadzenie wszystkich sześciu, siedmiu lub ośmiu zdefiniowanych wcześniej znaków. 10 maja Dom Maklerski BZ WBK S.A. umożliwił korzystanie z hasła maskowanego, które składa się z co najmniej dziesięciu i maksymalnie dwudziestu znaków.
Klienci mogą nadal logować się przy pomocy hasła zwykłego. Ale:
W celu zachowania spójności obu systemów logowania przy definiowaniu nowego kodu PIN system wymaga od Klienta wprowadzenia od dziesięciu do dwudziestu znaków oraz określenia hasła jako zwykłego lub maskowanego. System podczas definiowania zapamiętuje wszystkie wprowadzone znaki bez względu na to jaki typ hasła został wybrany przez Klienta.
Wypychowska wytłumaczyła też:
System pozwala wprowadzić kolejne, dowolne znaki ze względu na funkcjonowanie nowego typu hasła, które jest dłuższe, ale ich nie weryfikuje co jest konsekwencją pierwotnego ograniczenia długości hasła zwykłego do ośmiu znaków. Taka konstrukcja definiowania kodu PIN pozwala zachować zgodność ze starszymi wersjami logowania oraz daje Klientowi wygodę późniejszej zmiany hasła zwykłego na maskowane bez konieczności podawania nowego hasła, ponieważ wszystkie zdefiniowane znaki hasła zostały przez system zapamiętane.
Według banku klienci są informowani o nowym typie hasła na stronach BZ WBK. Zachęca się do korzystania z bezpieczniejszego kodu maskowanego.
Całą sytuację można podsumować jednym zdaniem - "wiele hałasu o nic". Nie był to atak hakerów, a pieniądze klientów nie znalazły się z niebezpieczeństwie. Jednak zamieszanie z hasłami pokazało, jak ważne w bankowości jest jasne i szybkie informowanie użytkowników serwisów transakcyjnych o wszelkich wprowadzanych zmianach.
wow
Czytaj także:
