Февральское обновление процедуры входа в ВТБ Онлайн принесло неожиданный сюрприз всем пользователям личного кабинета банка ВТБ. В то время как вся банковская отрасль стремится повысить безопасность аккаунтов своих пользователей в сети Интернет, банк ВТБ решил полностью обнулить защищенность личных кабинетов вкладчиков.

Что же решили сделать гении из загадочного зловредного департамента ВТБ? А вот что: теперь при входе в сервис ВТБ-онлайн появляется неотключаемая форма ввода:

Теперь сервис ВТБ-Онлайн принудительно заставляет клиентов вместо использования длинных качественных паролей разрешить доступ к управлению финансами путем ввода всего 4 - 6 цифр. (А как ввести 6 цифр в поле из 4 символов - остается загадкой). И обещают, что вход по этим цифрам будет доступен с любого устройства. Гениально!

Видимо, разработчикам сервиса ВТБ невдомек, что пользователи не просто так используют 15 - 20 значные пароли при работе с сайтами банков. В ВТБ, видимо, не знают, что в устаревших на десятилетия стандартах шифрования SMS-сообщений, защиты клиента никакой нет. SMS расшифровываются мгновенно, если в районе получателя поставить хакерский сотовый узел.

Двухфакторная аутентификация - это фиговый листочек, призваный успокоить недалеких менеджеров отдела безопасности.

В ВТБ, видимо, не понимают, что для современных процессоров перебрать десять тысяч или один миллион комбинаций (4 или 6 цифр) - нет никакой разницы, обе задачи решаются за доли секунды, в буквальном смысле этого слова:

Теперь давайте подумаем, что произойдет, если хеши кодов доступа утекут, или недобросовестный работник решит воспользоваться ими в личных целях, особенно если у него окажется доступ к базе SMS-оповещений. Можно ли как-то от таких сценариев защититься? Теперь нет.

При моем звонке в службу техподдержки мне сообщили, что функция установки кода доступа из 4-6 цифр с февраля 2025 года является неотключаемой, а сделана вся эта феерия юзабилити исключительно для удобства клиентов.

Даже если эти параноидальные измышления неверны, стоит подумать о том, на что похож ввод четырех цифр на форме кода доступа. На ввод PIN-кода? Какой же процент пользователей будут вводить туда свои реальные PIN-коды? А где они будут храниться? В другой базе, не в той где настоящие PIN-коды лежат? Прекрасно, у нас теперь две базы с PIN-кодами.

Уважаемые работники ВТБ, вы действительно настолько хотите приблизить новость о крупнейшем взломе пользователей вашего банка? Но если вы этого действительно ТАК хотите, то дайте возможность ответственным клиентам не попасть в ряды потерпевших. Зачем же вы принудительно делаете всех уязвимыми перед хакерами и мошенниками?