KOC256: Něco podobného mi dělá Amex - pošle mi mail, který označí jako důvěrný, to znamená, že si musíš u nich vytvořit účet - kromě délky to vyžaduje speciální znaky, které ale nikde nemají napsané (je jich dohromady jen 10), zjistíš je až po kontaktování supportu. Nejhorší je, že v tom emailu není nic důvěrného, je to naprostá kravina a ztratíš půl dne, abys to zjistil. Takže jim vždy píšu zpět, že mi to mají poslat normálně.

KID: to omezení znaků do hesla bude podle mě dané nějakou komponentou, kterou použili a která ze seznamu speciálních znaků vyhodila znaky s HTML významem.

KOC256: nemám upc :) ale ano, všeho moc taky škodí. Jenom bych u banky čekal, že ten kompromis mezi bezpečností a pohodlností uživatelů bude blíž té bezpečnosti a nebude uměle omezován.

KID_MCHUTT:
tak se podivej na onanii pri prihlasovani do Mopje UPC. V podstate tam nic duverneho nevidis, nic nezmenis a je tam snad petifazove prihlasovani a heslo musi mit 35 znaku a minimalne 9 cinskych... (nadnesene)

...a pustit na odpovědi na twitter člověka, který neumí česky taky napadlo produktové specialisty? Malé chyby, ale jsou všude, kam se člověk podívá :/ je to skoro až smutné.

VANEK: Jo, něco takového bývalo jednu dobu tuším na ČVUT - výsledek samozřejmě kontraproduktivní, neboť si s sebou to heslo ve výsledku nosil každý napsané (případně nalepené na monitoru) :)

VANEK: tomu nerozumiem, sorry. preco je v tej vete teda "nebo".

LD_DRTH: obrácenou polskou logikou, booleovská tu nefunguje ;-)

Ahoj, chcem sa spytat na jednu vec z noveho cennika k mKonto.
Poplatok za debetnu kartu je po novom definovany: "Vedení hlavní karty (měsíčně) - 29 Kč v případě, že bezhotovostní objem zaúčtovaných plateb danou debetní kartou vydanou k mKontu v daném měsíci bude nižší než 500 Kč nebo držitel debetní karty nemá sjednaný úvěrový produkt u mBank (mPůjčka, mHypotéka, mHypotéka light, kreditní karta, povolené přečerpání)"
Tzn. - Budem platit za poplatok kartu aj vtedy ked mesacme miniem na terminaloch 501KC a viac, pretoze nemam ziaden uverovy produkt?
Alebo ako mam chapat tu vetu? Diks

VANEK: A smíš měnit heslo tak často jak chceš? Ještě by tam mělo být, že nesmíš měnit heslo třikát za den.

VANEK: jo, podobně to měli v několika bankách, kde jsem jako kontraktor pracoval. A nějaký blb to zavedl i u nás (naštěstí bez omezení těch speciálních znaků).

a injection ti nehrozí, pokud pole, do kterého to zadáváš, pracuje s řetězcem a nespouští v sobě scripty. Dneska je omezení znaků kvůli bezpečnosti jenom planá výmluva.

CAIDEL: A jak já jako zákazník se mám zeptat vedení jinak než prostřednictvím Twitteru? K čemu si ho zřídili, když jim tam pak chodí lidi? Jiná věc je, že jiná odpověď než "prostě nám to ve SWOT cost-benefit analýze nevyšlo, jo, konkurence to holt má jinak, od toho se byznys modely liší, a sorry, detaily vám fakt žádná firma nedá" se čekat nedá; ale neumět to nějak pěkně zaobalit, to je fakt SocMktg 101 fail.
Ale důvod by mě fakt docela zajímal, pokud vím, jiné banky / karetní asociace / výrobci plastů to naopak cpou horem dolem (a paranoici si pak stěžují podobným způsobem).

KID_MCHUTT: Script injekce, standardizovaný čistič HTML vstupů, zkušenosti s tím, že si Poláci nastaví ogonky a pak se z cizích počítačů nedostanou na účet, co já vím.

BTW pro zasmání, nejmenovaný systém ČNB pro komunikaci s venkem vyžaduje v hesle 15 znaků, velké a malé písmeno, číslici, speciální znak (z krátkého seznamu), měnit asi po čtvrt roce a je zakázaná shoda asi 10 zpátky.

KOC256: já a právě proto, že je málo lidí používá a většina netuší, jak vypadá tilda nebo jak udělat stupně nebo promile :)
takováhle odpověď je košer - proč ji nedal odpovědný pracovník? :) nebyla by za debila celá banka, ale jenom ten "vývojář" nebo "analytik"

(sice furt nechápu, proč ta maska je omezená tímhle směrem...)

KID_MCHUTT:
to se tu resilo...
protoze tu masku vymyslel nekdo "superchytry" a treba ho ty znaky zrovna nenapadly... Na druhou stranu ve starem hesle stacily cisla a pismenka jedne velikosti. Coz dneska nejde... a zajimalo by me kolik lidi pouziova takto specialni znaky (dobrovolne) ;-)

ADAMM: podívej, řekni mi jediný jiný důvod k omezení možných znaků v hesle - obzvlášť, když se jednalo o znaky jako je ~ nebo <> a podobné... A viděl jsem u konkurence v databázi jiné zhůvěřilosti, takže zrovna tohle by mě nepřekvapilo.

KID_MCHUTT: db s heslama v plaintextu je imho nesmysl a dovolím si o tom na 99% pochybovat. nakonec, teď si po letech udělal profil na LinkedInu borec, co má na starosti oddělení bezpečnosti (a byl tam, ještě když jsem tam byl já), tak se ho můžu zkusit zeptat, jestli to může popřít.

CAIDEL: já, upřímně, ne. Malér je sice trochu troll (kdo z Okouna není, že), ale odpověď "Není dostatečný zájem," je imo košer. Je to stejně nesmyslná reakce, jako ta na dotaz, proč mBank s novým IB snížila bezpečnost hesel.
Z té jsem si pro změnu odnesl, že mBank si koleduje o průser, protože má hesla v DB v plaintextu. A argumentace "silnější heslo k ničemu nepotřebujete" se stala důvodem, proč tam nedržím peníze. A byla jednou z těch kapek, kvůli kterým včera už přetekl pohár.

VANEK: Tady bych se upřímně možná maličko zastal mBanky. Přijde mi, že se tazatel ptá - no, ne na úplně něco, do čeho mu nic není, ale na něco, co nemá korektní odpověď směrem ven. Protože reálný výsledek takové odpovědi by mohl vypadat jako "tak jsme k zavedení bezkontaktních kreditek měli nějakou poradu na vedení a tři z pěti lidí nakonec hlasovali proti". Proč? Jak to mám já jako správce twitteru vědět, zeptejte se jich...

PISTA1: a zkoušel jsi to někdy nastavit?