RSS
 

Lloyds is pants!

16 Sep

 أطلعني أحد الأصدقاء منذ أيام على قصة طريفة لا تخلو من تجاوزات مزعجة حدثت في بريطانيا قبل ما يقارب الأسبوعين..
فقد قام عميل مستاء من بنك Lloyds الشهير في بريطانيا و يدعى (ستيف جيتلي) ، قام بإختيار هذه الجملة ككلمة مرور للهاتف المصرفي:

 Lloyds is pants

و هذا تعبير بريطاني و يعني أن بنك Lloyds لا يعدو كونه قمامة (أكرمكم لله)! :mrgreen:
ستيف اختار كلمة المرور هذه عن تعبئة نموذج فتح الحساب بعد أن خلاف نشب بينه و بين البنك حول بوليصة تأمين اشتراها من البنك.
لكن ما حدث بعد ذلك كان أمرا غير متوقع، فعندما حاول ستيف الاتصال بالبنك لاجراء بعض العمليات المصرفية، تفاجأ بأن كلمة المرور الخاصة به قد تم تغييرها إلى:

 no it’s not

فحاول (ستيف) الاتصال بأحد موظفي خدمة العملاء ليخبره بذلك، ليفاجأ بالموظف يبلغه بأن كلمة المرور التي كان قد اختارها سابقا “لا تبدو مناسبة” و أن أحد موظفي البنك قد قام بتغييرها، و ان كانت كلمة المرور الحالية لا تعجبه، فعليه اختيار كلمة مرور جديده!
تعجب (ستيف) كيف يمكن للبنك تغيير كلمة المرور الخاصة به دون إخطاره، لكنه سأل موظف البنك فيما اذا كان بإمكانه إعادة كلمة المرور السابقة، و كانت الاجابة انه لا يمكنه ذلك، ثم سأل (ستيف) فيما اذا كانت كلمة pants هي المشكلة؟ حيث يمكنه تغييرها إلى rubbish! :mrgreen:
و بالطبع تم رفض ذلك، و طلب منه اختيار كلمة مرور بعيدة عن هذا المعنى، فقرر (ستيف) اختيار كلمة المرور التالية:

 Barclays is better

و Barclays هو بنك شهير منافس لـ Lloyds! :mrgreen:
ايضا تم رفض ذلك، بحجة ان هناك نظاما جديدا ينص على أن كلمة المرور يجب ان تتكون من كلمة واحدة فقط!
فأجاب (ستيف) بإنه يود إذاً أن يجعل كلمة المرور الخاصة به كلمة “censorship” و تعني “رقابة”! :mrgreen:
إلا أن حتى هذه الكلمة تم رفضها، بحجة أن كلمة المرور يجب أن لا تتعدى 6 أحرف!!
الأمر الذي أدى إلى شكوى تقدم بها (ستيف) إلى السلطات المسؤوله في بريطانيا.

البنك أصدر بيانا صحافيا بعد ذلك، اعتذر فيه من السيد ستيف و أكد على أن سياسة البنك ترفض تعديل كلمات مرور العملاء أو حتى الإطلاع عليها دون حاجه ملحة، و أن للعملاء مطلق الحرية في إختيار كلمات المرور الخاصة بهم. كما أكد البنك على أن الموظف الذي قام بتغيير كلمة المرور الخاصة بالسيد ستيف تم فصله من عمله في البنك.
للمزيد حول القصة، إضغط هـنـا.

 
2 Comments

Posted in InfoSec News

 

Leave a Reply

 
 
 
 

  1. Mansour

    October 3, 2008 at 1:51 am

    السلام عليكم ورحمة الله

    فعلا خبر مضحك جدا ليس بسبب الكلمة نفسها فقط ، ولكن لان الموظف الذي دفعته حميته لشركته بتغير الكلمة تعرض للفصل :D ، لا أعتقد بأننا لحاجة للتفكير طويلا لمعرفة كلمة السر التي أختارها الموظف المفصول :p

    السؤال الذي يطرح نفسه هنا ، لماذا لم يتم تشفير كلمة السر لحمايتها ، بدلا من تسجيلها كما هي في قواعد البيانات!
    أعتقد أن كلمة السر المقصود بها هنا هو نوع إضافي من التحقق من هوية المتصل يستخدمه البنك في حال أستخدم العميل النظام البنكي عبر الهاتف. وهذا يتطلب أن يطلع موظف البنك على كلمة السر لكي يتمكن من التحقق من هوية المستخدم.

    ولكن لازلت اعتقد بان البنك قادر على تنفيذ هذا التحقق بالإضافة إلى حماية كلمة السر لحماية العملاء ، وفي نفس الوقت لكي لا يقع في موقف محرج كهذا :)

    تستغرب أحيانا عندما تفقد كلمة السر في أحد الأنظمة وترسل طلب باستعادة كلمة السر لتفاجئ بأنه تم إرسال كلمة السر لبريدك كما هي ، وهذا يعني بان كلمة السر لم يتم تشفيرها في قاعدة البيانات.

    المشكلة في ذلك أن كثيرا من المستخدمين يعتمدون على استخدام كلمة سر واحدة في جميع الأنظمة التي يسجلون فيها ليسهل عليهم تذكرها ، وهذا يعني إذا لم يتم تشفير كلمة السر في أحد الأنظمة فانه من السهولة اختراق جميع الحسابات الأخرى للمستخدم إذا ما تم كشف كلمة السر. طبعا لا يتطلب الأمر بالضرورة أن يتم اختراق الموقع، قد يكون صاحب الموقع نفسه أو الشخص الذي لديه صلاحية على قواعد البيانات هو من يستغل ذلك.

    أعتقد أن الحل يكمن في أنظمة إدارة الهوية ، عجلوا علينا يا دكتور :D

     

  2. Waleed Alrodhan

    October 3, 2008 at 7:23 am

    و عليكم السلام و رحمة الله و بركاته,
    أهلا أبو صالح :)

    شكرا جزيلا على تعقيبك المهم حقيقة
    كما تعرف يا منصور فأغلب المؤسسات الخدمية في بريطانيا والتي تتيح للعملاء الاطلاع على حساباتهم من خلال الانترنت و أيضا من خلال الهاتف.. تقوم بالتحقق من نفس كلمة المرور عند الاتصال الهاتفي كبعض البنوك و شركات الاتصالات و مزودي خدمة الانترنت، و تسمح للموظفين بالاطلاع على كلمة المرور للتحقق من هوية المتصلين.. و عذرهم في ذلك أنهم لا يرغبون في إرهاق المستخدمين بالطلب منهم أن يحفظوا أكثر من كلمة مرور.. واحدة للموقع و أخرى للإتصال.. و للأمانة فعذرهم نوعا ما مقبول في رأيي.. فكما تعرف مشكلتنا دائما في أمن المعلومات هي تأمين المعلومة لكن بنفس الوقت الحفاظ على درجة عالية مما يسمى بالـ
    Usability
    و الـ
    User Convenience

    الحل هو كما تفضلت.. أنظمة هوية مبتكرة لا تعتمد أصلا على كلمات مرور.. و ابشرك ان الأمور في هذا المجال تطور بسرعه.. انت بس اصبر علينا شوي :mrgreen:

    أسعدتني مشاركتك :)