Европейский онлайн-банк FinecoBank, имеющий 1,3 млн клиентов в Италии и Великобритании, предложил необычный способ проверки пароля на уникальность — пробить его в Google, сообщает портал Motherboard. Эта информация была размещена на официальном сайте кредитной организации и демонстрировалась всем клиентам при регистрации аккаунта.
«Удостоверьтесь в надежности своего пароля. Введите его в поиск Google — если таких результатов меньше 10, то это означает, что пароль хороший», — говорилось при процедуре выбора комбинации.
Одним из тех, кто заметил спорную рекомендацию, стал IT-эксперт Джорджио Бонфильо, написавший об этом в своем Twitter-аккаунте.
A well known online bank in Italy, @FinecoLive, is:
— Giorgio Bonfiglio (@g_bonfiglio) November 12, 2019
a) limiting the max password length to 8 chars (a red flag as hashes have consistent length)
b) suggesting you should google your password to ensure it's unique
@troyhunt we need you
(Thanks @gvarisco and @Clodo76) pic.twitter.com/Q1sYXQwk4A
Бонфильо также отметил некоторые другие странные советы от банка. Например, пользователю предлагалось ограничиться лишь восемью символами для составления комбинации.
Кроме того, FinecoBank предлагал несколько готовых паролей на выбор, если вдруг клиенту было лень придумывать и «гуглить». При этом пароли не генерировались случайным образом, а всегда были одни и те же — из-за этого большое количество клиентов этого банка на текущий момент могут иметь одинаковые комбинации из списка «рекомендованных».
Однако, это были не все сюрпризы, поджидавшие Бонфильо.
«Я уже жалею, что полез в эту кроличью нору. Смена пароля стоит €0,95. И сменить его можно лишь раз в семь дней», — написал техэксперт.
Таким образом, если вдруг пароль будет скомпрометирован, то оперативно сменить его не получится — мало того, что за дополнительную безопасность придется заплатить, так еще и нужно выждать семь дней, если ранее имела место еще одна смена.
На странную находку отреагировал известный эксперт по кибербезопасности и владелец сервиса Have I Been Pwned Трой Хант. «Банк просит клиентов «гуглить» пароли — что это за фигня?!», — написал Хант в своем Twitter-аккаунте.
Как сообщает Motherboard, клиентская служба FinecoBank подтвердила, что действительно рекомендует клиентам проверять пароли в Google, чтобы сделать его максимально надежным. Однако, после обращения в пресс-службу порталу ответили, что «поняли критику в свой адрес и решили больше не советовать клиентам так поступать».
Стоит отметить, что у FinecoBank были благородные намерения — заставить людей придумывать уникальные пароли для того, чтобы повысить свою безопасность. Однако, публикация пароля в поисковике для проверки надежности явно не входит в правила цифровой гигиены, так как он становится доступен как Google, так и потенциально другим третьим лицам.
По словам начальника отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексея Сизова,
проверка паролей на внешних ресурсах — это всегда их компрометация.
«Такая просьба от банка выглядит по меньшей мере крайне странно. Банки должны на своей стороне выработать правила формирования паролей и проверять соответствие в момент создания. Кроме того, опасной практикой считается и использование одинаковых паролей, так как вскрытие пароля на одном из ресурсов позволяет злоумышленникам использовать его далее, как это происходило, например, с почтовыми сервисами. Взломав почтовый аккаунт жертвы, мошенники пытались использовать скомпрометированный пароль на других используемых ей сервисах», — пояснил собеседник «Газеты.Ru».
Инженер департамента информационной безопасности компании Oberon Георгий Хандога дал корреспонденту «Газеты.Ru» рекомендации, как максимально обезопасить себя при выборе подходящего пароля. Прежде всего, следует использовать случайные пароли, состоящие из строчных и заглавных букв, цифр, специальных символов, при этом длина комбинации должна быть больше 10 символов.
Эксперт также предложил использовать генераторы паролей и специализированные программы для их хранения.
В случае возникновения подозрений о том, что пароль мог быть скомпрометирован, эксперт также посоветовал воспользоваться сервисом Троя Ханта Have I Been Pwned, но проверять в нем исключительно компрометацию логина или электронной почты, ни в коем случае не вводя на сайт сам пароль.