ПриватБанк (2010 - 2021)

Сегодня полез в privat24 а тут мне выдало:
Ви вперше увійшли в систему на новому комп'ютері, телефоні або в новому браузері. Для Вашої безпеки, будь ласка, виберіть карту і введіть її PIN-код.
Что это за фигня такая? Пин-код от карты вводить на сайте - это что-то новое...

Здравствуйте!
Проверка с помощью ввода ПИН кода необходима нам для дополнительного подтверждения Ваших данных, чтобы убедиться в безопасности Вашего аккаунта Приват24 и что вход в него совершает непосредственно владелец аккаунта. Пожалуйста, помните, что вводить ПИН код или любую другую персональную информацию можно только на нашем сайте по ссылке privat24.ua или перейдя на него с нашего официального сайта privatbank.ua.
С уважением, Дмитрий.
ПриватБанк.

PrivatBank

Проверка с помощью ввода ПИН кода необходима нам для дополнительного подтверждения Ваших данных, чтобы убедиться в безопасности Вашего аккаунта Приват24 и что вход в него совершает непосредственно владелец аккаунта. Пожалуйста, помните, что вводить ПИН код или любую другую персональную информацию можно только на нашем сайте по ссылке privat24.ua или перейдя на него с нашего официального сайта privatbank.ua.
С уважением, Дмитрий.
ПриватБанк.

Вы про PCI DSS слышали? В курсе, что пин-код нигде не должен обрабатываться в открытом виде? И должен вводиться только через EPP (Ecrypted Pin-Pad) клавиатуры, являющиеся TRSM (Tamper Resistant Security Module). А Вы предлагаете клиентам вводить его с клавиатуры компьютера. Вы в курсе как устроена клавиатура банкомата, сколько она стоит и почему?

Я балдею от Вашего банка. Ну нельзя ж так отрицать информационную безопасность, существующие правила и стандарты. Когда уже Виза и Мастеркард запретят Вам работать с их картами по причине нарушения их требований по PIN Security? Или Вы платите им огромные штрафы, но все равно продолжаете их нарушать?

IMPRINTER

вводите - все норм

А на основании чего такая уверенность, что норм? И норм для кого?

Вы уже запроторили спрашивавшему кейлоггер на его комп и ждете ввода им пин-кода?

З.Ы. Хотя перехватывать пин-код на компе, наверное, лучше не с клавы, а на входе в приватовский иб. Там меньше мусора будет.

[2 1]

PrivatBank

Проверка с помощью ввода ПИН кода необходима нам для дополнительного подтверждения Ваших данных, чтобы убедиться в безопасности Вашего аккаунта Приват24 и что вход в него совершает непосредственно владелец аккаунта. Пожалуйста, помните, что вводить ПИН код или любую другую персональную информацию можно только на нашем сайте по ссылке privat24.ua или перейдя на него с нашего официального сайта privatbank.ua.
С уважением, Дмитрий.
ПриватБанк.

Вы про PCI DSS слышали? В курсе, что пин-код нигде не должен обрабатываться в открытом виде? И должен вводиться только через EPP (Ecrypted Pin-Pad) клавиатуры, являющиеся TRSM (Tamper Resistant Security Module). А Вы предлагаете клиентам вводить его с клавиатуры компьютера. Вы в курсе как устроена клавиатура банкомата, сколько она стоит и почему?

Я балдею от Вашего банка. Ну нельзя ж так отрицать информационную безопасность, существующие правила и стандарты. Когда уже Виза и Мастеркард запретят Вам работать с их картами по причине нарушения их требований по PIN Security? Или Вы платите им огромные штрафы, но все равно продолжаете их нарушать?

пин вводится с виртуальной клавиатуры которая там для этого появляется специально

пин вводится с виртуальной клавиатуры которая там для этого появляется специально

причём циферки после каждого нажатия перемешиваются.

Но блин кумарит это неимоверно.

IMPRINTER

вводите - все норм

А на основании чего такая уверенность, что норм? И норм для кого?

Вы уже запроторили спрашивавшему кейлоггер на его комп и ждете ввода им пин-кода?

З.Ы. Хотя перехватывать пин-код на компе, наверное, лучше не с клавы, а на входе в приватовский иб. Там меньше мусора будет.

пин там только мышкой можно ввести с перетасовкой цифр после каждого ввода...

IMPRINTER

пин вводится с виртуальной клавиатуры которая там для этого появляется специально

И шо? Виза и Мастеркард признали виртуальную клавиатуру соответствующей стандарту EPP и являющейся TRSM? Не знал

То, что банки используют ее для ввода паролей - это их дело. Так они усиливают безопасность своих ИБ, в которых EPP и TRSM не требуются.

А то, что такое уже можно делать и с банкоматными пин-кодами, не знал. Тогда можно снимать с банкомата пин-клаватуру за штуку баксов и рисовать на его экране виртуальную клавиатуру, а пин-код вводить касаниями.

ol_zy

пин там только мышкой можно ввести с перетасовкой цифр после каждого ввода...

Я знаю. Это, возможно, несколько затрудняет перехват пина (или пароля), но не делает это невозможным. Долго ли умеючи

Ну а какой практический смысл в перехвате пина на компе? Ну ладно бы там нас заставляли полностью ввести номер карты. Так нет же - выбираем из списка с неполным номером.
По моему это в сто раз лучше чем заставлять сэлфи с газетой делать. Или вам так хочется?
Им и так занятся нечем, этим сотням программеров на зарплате.

У кого что с акцией ГОЛД-шоппинг?
В понедельник 14 декабря заказал обмен. Написали, что позвонят в течение 2 суток.
Хм, уже и 19 декабря на исходе...
У всех так?