Цифры подбирать не бросим!
Ну нельзя же так банк подставлять. Теперь все будут знать, что один вариант четырехзначного числа из десяти тысяч - это 8299.
Цифры подбирать не бросим!
Работал 2 года продаваном в магазине видеоигорей, периодически краем глаза палил пин-пад, у половины мужчин от мала до велика пин 1488
Удоли подумой!
Откуда ты узнал пин-код моей кредитной карты?
у всех пинкод одинаковый, просто банки скрывают это.
Позвони и мы пробросим
Ну хотя-бы не 1984, хотя тенденции пугают
Просто он бывший сотрудник банка и знает секретный код!
И волшебный номер карты с которой деньги удваиваются.
ты лапа =3
Теперь я взломать тебя по IP!
Аха, у меня и денег то там нету.
Бля, Стасян, ну и пиздец у тебя со зрением
Отпишитесь, кто использовал.
Аха, смешно что пиздец.
меня радуют коды тинькоффа для подтверждения оплаты. в них ВСЕГДА совпадают 2 и 4 цифры.
с чем совпадают?
с другими цифрами
с остальными десятью
Звучит небезопасно.
там 4 цифры. 2 и 4 всегда одинаковы (друг с другом).
перепутал 2 и 4 с 1 и 3. суть та же
3131
Ну, не абсолютно всегда, но часто. Но в целом да, у них слишком простые комбинации всегда. Т.е. там не 10000 вариантов, а дай бог 2000 (лет 15 назад я бы даже смог посчитать точное число, но сейчас не хочу париться и гуглить все эти формулы по теорверу).
если всегда повторяются две цифры - то всего 1000. а в реальности может оказаться, что выбирается рандомное значение из заготовленного массива из 50-100 значений и в БД хранится не само значение кода, а его индекс.
зачем хранить это в бд? Это временный код, нужный для аутентификации конкретного пользователя. Совпал - значит все хорошо, пускаем дальше. Не совпало - отшиваем.
ты же не думаешь, что все эти аутентификаторы генерящие код каждые 10 минут - где-то хранят эти коды?
ты же не думаешь, что все эти аутентификаторы генерящие код каждые 10 минут - где-то хранят эти коды?
Хранят, так как госорганы их потом запрашивают. Типа "такой-то такой-то утверждает, что не отправлял деньги, просьба предоставить такие и такие сведения для расследования, в том числе введенный код, дату и время введения" и т.д. и т.п.
Зачем проверять какой был код, если утверждается что деньги не отправлялись, стало быть ни правильный, ни неверный код пострадавший не вводил.
если уж так надо, код из смс хранит опсос, потому что он по-умолчанию хранит все смс. У него и можно запросить какой был код, только зачем? Система так работает, что для перевода важно только соответствует ли код посланному на номер человека. 1488 там было или 6969 никого не интересует.
если уж так надо, код из смс хранит опсос, потому что он по-умолчанию хранит все смс. У него и можно запросить какой был код, только зачем? Система так работает, что для перевода важно только соответствует ли код посланному на номер человека. 1488 там было или 6969 никого не интересует.
Ты, наверное, забыл, где живёшь.
Они запрашивают ещё 20 пунктов всякой херни, от логов системы до различных документов, но из всего там реально нужная разве что инфа, когда, от кого и кому был перевод, а это клиент сам видит.
Но сиди, ищи инфу, составляй ответ размером в диплом. Это же не клиент по тупости слил свои данные или не туда перевёл. Это же банк решил украсть 1500 рублей у клиента.
Они запрашивают ещё 20 пунктов всякой херни, от логов системы до различных документов, но из всего там реально нужная разве что инфа, когда, от кого и кому был перевод, а это клиент сам видит.
Но сиди, ищи инфу, составляй ответ размером в диплом. Это же не клиент по тупости слил свои данные или не туда перевёл. Это же банк решил украсть 1500 рублей у клиента.
в американских банках та же фигня, скорее всего специально так делают
Ну тогда показывал бы свой, на фиг мой показывать?
тоесть он у них один, для всех?
Если занудствовать, эти одноразовые пароли генерируются по уникальному для каждого пользователя ключу и времени. Если знать алгоритм генерации и достаточное количество ключей с точным временем, можно в теории зареверсить ключ и получить возможность создавать эти пароли для пользователя.
почему ты думаешь, что там не просто рандом?
вообще, там может быть всё что угодно, от +1 к предыдущему коду до сложных формул, берущих значения с чипа-рандомайзера.
Проблема в том, что ты не узнаешь точное время в их базе вплоть до 1000-й секунды. А если вдруг почему-то знаешь, то смысл что-то реверсить, если можно взять этот код там же, где взял точное время?
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!