Страна пугливых идиотов

[spamsink]

В городе, где я живу, электричество, вода и служба уборки мусора городские, и их можно оплачивать кредитной карточкой (что редкость для служб подобного сорта, уважаю) онлайн. Для этого нужно завести на городском сайте аккаунт, логином к которому служит e-mail адрес, а пароль должен быть не короче 8 символов, и содержать буквы обоих регистров и хотя бы одну цифру.

Но если пароль забыт, то не беда. Чтобы можно было тут же установить новый пароль взамен забытого, достаточно ввести e-mail адрес и 4 последние цифры SSN (ИНН).

Comments

[grey-horse.livejournal.com]

В чем проблема, если пароль к e-mail не менее стойкий? Или он не на почту высылается?

[spamsink]

При правильном введении 4 цифр тут же появляется форма, где можно ввести новый пароль.

[grey-horse.livejournal.com]

:(

[fenikso.livejournal.com]

ну а как можно проэбьюзить чужой логин? :) заплатить на весь кредитный лимит за вывоз мусор? :)

[spamsink]

Там можно посмотреть содержимое счетов за прошлые месяцы и сделать из них какие-то выводы, что есть нарушение прайваси.

[alon_68]

У нас всё давно можно оплатить кредиткой, и городское, и федеральное. А раньше было по телефону. Так что я даже не помню, сколько лет назад последний раз ходил за этим на почту.

[maksa.livejournal.com]

На одном форуме, если отправить личное сообщение его участнику, тому приходит письмо, а в конце — напоминание, логин и пароль в самом что ни на есть plain text. С отличной вероятностью человек отвечает на это письмо, цитируя всё, что было во входящем сообщении…

[spamsink]

Красиво.

[larisaka.livejournal.com]

смешно, конечно. но правда -who cares! кто-то узнает, сколько я плачу за электричество.

[spamsink]

Теоретически из этого можно вывести, когда человека может не быть дома, и когда можно дом грабить. Но пуант не в том - независимо от того, к какой информации получается доступ, зачем заставлять людей выдумывать сложные пароли, когда реальная защита - всего 4 цифры?

[stas]

Инструкция такая. А про SSN в инструкции не написано - гуляй, рванина.

[spamsink]

Вот я и говорю третье слово сабжа. :)

[stas]

Меня всегда восхищают конторы, требующие пароля не менее 8 символов длиной, с большими и маленькими буквами, цифрами и знаками препинания - и допускающие secret question & answer для смены этого пароля из одной буквы. Это происходит примерно в 99.9% мест, смутно помню 1 исключение из всех известных мне логинов.

[spamsink]

Я тоже смутно помню, что где-то была нижняя граница длины ответа на секретный вопрос. А что если у кого-то девичья фамилия матери - Ng?

[stas]

Но на самом-то деле все эти системы довольно несложно обходятся телефонным звонком с теми же данными. Если узнать имя, адрес и 4 последних цифры SSN, можно просто позвонить в суппорт и попросить сменить пароль. Сменят с радостью, а что им ещё делать остаётся?

[spamsink]

Иногда без радости - например, когда человек говорит имя китайское, а акцент у него явно не китайский, - но таки да, ничего не остаётся.

[kroha376.livejournal.com]

Если у меня были бы 4 последние цифры Вашего SSN, то я бы заглянула с большим удовольствием (и большей пользой) в Ваш банковский счет :)

[spamsink]

К счастью, для доступа к банковскому счету сейчас нужно знать больше, чем 4 цифры SSN.

[vmtcom.livejournal.com]

А вот и xkcd в тему подоспел ;-)

[spamsink]

Правду говорят, что для ответов на любые секретные вопросы лучше придумать одну хорошую пассфразу подлиннее, но есть проблема: на некоторых сайтах просят ответить на 5-6 разных вопросов, а потом спрашивают случайные два - вдруг у них там проверка, чтобы на все вопросы были разные ответы?

[fatoff.livejournal.com]

Фремонт?... то-ли что-то слышал от бывших коллег, толи что-то с памятью моей стало.
Ещё и пойнты на том зарабатывать. Мечта всех рациональных плюшкиных. :-)