BBVA conto online con cashback - Cap. XI [INFO: post #1]

[Ogon batto]

Cioè chiedono nome utente o nome e cognome più due caratteri della psw?

Non ricordo bene, è passato un po' dall'unica volta che ho chiamato, ma mi pare mi abbiano chiesto solo nome e cognome e due caratteri della password, non il nome utente

 

[Ogon batto]

Non credo, devi usare la carta con una spesa di almeno 5€.

Nè la promozione passaparola al momento in vigore nè quella che ho attiva io richiede un importo minimo per l'acquisto

 

[Raphael_Ltd]

Ho posto i questi perché ho mandato via chat la richiesta di innalzamento dei bonifici e domani dovrei chiamare. Domani pubblicano i rendimenti del BTP valore 3 e se fosse interessante avevo intenzione di spostare la liquidità dal conto verso il mio conto titoli.

 

[salsipuede]

Due caratteri della password.

questa è da lapis rosso! Se alla prima chiamata ti chiedono il 3° e il 5°, alla seconda il 1° e il 4°, alla terza il 2° e il 6°... comincerei a preoccuparmi (e se gli dici che non vuoi comunicarli rispondono che allora "non possono aiutarti"). Tanto vale che memorizzino direttamente le password nel sistema senza passarle attraverso la procedura di "hashing", anzi... mi chiedo come facciano a verificare la correttezza dei due caratteri

 

[Ogon batto]

questa è da lapis rosso! Se alla prima chiamata ti chiedono il 3° e il 5°, alla seconda il 1° e il 4°, alla terza il 2° e il 6°... comincerei a preoccuparmi (e se gli dici che non vuoi comunicarli rispondono che allora "non possono aiutarti"). Tanto vale che memorizzino direttamente le password nel sistema senza passarle attraverso la procedura di "hashing", anzi... mi chiedo come facciano a verificare la correttezza dei due caratteri

Quando ho chiamato mi ha detto che "il sistema avrebbe detto quali caratteri le dovevo dire" quindi immagino che qualcosa decodifichi 2 caratteri random per l'identificazione. Ovviamente subito dopo aver riattaccato ho cambiato la password.

 

[Raphael_Ltd]

Quando ho chiamato mi ha detto che "il sistema avrebbe detto quali caratteri le dovevo dire" quindi immagino che qualcosa decodifichi 2 caratteri random per l'identificazione. Ovviamente subito dopo aver riattaccato ho cambiato la password.

Alla fine con la nuova psw a 16 caratteri comunicarne 2 al servizio clienti non dovrebbe essere un problema.

 

[anelcipa]

Chiuso CREDEM col cambio facile di bbva, dopo qualche giorno compariva pratica sospesa, stasera vedo il bonifico del saldo trasferito con successo..alla fine hanno rispettato la.data

 

[neo1731]

Ciao a tutti, innanzitutto complimenti per la meravigliosa community. Vi seguo da tempo ma scrivo solamente ora il primo messaggio. Troppe info preziose all'interno di questo forum. Volevo farvi una domandina siccome forse mi sto perdendo un passaggio semplice, il conto deposito BBVA va al 4,25%, mentre leggevo da App che il conto è retribuito al 4% mensilmente. Nel calcolo della tassazione per conti sopra 5k conta sia il deposito che il conto corrente o si può usare il deposito per tenere il cc sotto la giacenza media dei 5k? (perchè i depositi hanno già la loro tassazione) c'è una qualche differenza ho il prezzo del vincolo a un anno è veramente solo il 0,25% rispetto a quanto andrebbe di default? Sto ancora valutando se prendere un BTP o inserire tutto deposito bbva per impiego liquidità che difficilmente dovrebbe servirmi.

Grazie mille

 

[gamall]

Chiuso CREDEM col cambio facile di bbva, dopo qualche giorno compariva pratica sospesa, stasera vedo il bonifico del saldo trasferito con successo..alla fine hanno rispettato la.data

Stessa cosa io. Pratica chiusa oggi, per caso hai contattato anche Credem per confermare?
Per quanto riguarda la credemcard invece che bisogna farne?

 

[keki]

Nel calcolo della tassazione per conti sopra 5k conta sia il deposito che il conto corrente o si può usare il deposito per tenere il cc sotto la giacenza media dei 5k? (perchè i depositi hanno già la loro tassazione) c'è una qualche differenza ho il prezzo del vincolo a un anno è veramente solo il 0,25% rispetto a quanto andrebbe di default? Sto ancora valutando se prendere un BTP o inserire tutto deposito bbva per impiego liquidità che difficilmente dovrebbe servirmi.

Grazie mille

Sono 2 cose distinte ed indipendenti : Sul cc fino a 5k di giacenza media non paghi il bollo, oltre paghi 34,20 € fissi. Sul CD si paga per qualunque cifra lo 0,2%.

 

[Ogon batto]

Alla fine con la nuova psw a 16 caratteri comunicarne 2 al servizio clienti non dovrebbe essere un problema.

Non dovrebbe, ma male non fa...

 

[Ogon batto]

Ciao a tutti, innanzitutto complimenti per la meravigliosa community. Vi seguo da tempo ma scrivo solamente ora il primo messaggio. Troppe info preziose all'interno di questo forum. Volevo farvi una domandina siccome forse mi sto perdendo un passaggio semplice, il conto deposito BBVA va al 4,25%, mentre leggevo da App che il conto è retribuito al 4% mensilmente. Nel calcolo della tassazione per conti sopra 5k conta sia il deposito che il conto corrente o si può usare il deposito per tenere il cc sotto la giacenza media dei 5k? (perchè i depositi hanno già la loro tassazione) c'è una qualche differenza ho il prezzo del vincolo a un anno è veramente solo il 0,25% rispetto a quanto andrebbe di default? Sto ancora valutando se prendere un BTP o inserire tutto deposito bbva per impiego liquidità che difficilmente dovrebbe servirmi.

Grazie mille

Benvenuto, sul cc paghi 34.2euro per ogni importo oltre i 5k. Sui soldi nel conto deposito paghi lo 0.2% di quello che depositi. Ti consiglio di fare il conto del rendimento netto...

 

[JohannesBrahms]

questa è da lapis rosso! Se alla prima chiamata ti chiedono il 3° e il 5°, alla seconda il 1° e il 4°, alla terza il 2° e il 6°... comincerei a preoccuparmi

Non so se è un caso, ma le poche volte che ho telefonato i caratteri richiesti erano compresi tra i primi 5, mentre, quando cambi la password da app, puoi sceglierla di 16. Quindi ci sono fino a 10 caratteri che non sapranno mai.
Inoltre, spesso (non sono sicuro se la maggior parte delle volte, o addirittura tutte) i caratteri venivano richiesti da un sistema automatico, e non da un operatore in carne ed ossa.
Infine, nulla vieta, se proprio uno non si fida, di cambiare la password prima di telefonare, e ripristinare la precedente alla fine della telefonata (o semplicemente di cambiarla dopo la telefonata).

(e se gli dici che non vuoi comunicarli rispondono che allora "non possono aiutarti").

Beh, questo è normale, altrimenti potrebbero dire tutti i cavoli tuoi a chiunque. In qualche modo devono autenticarti. Se l'autenticazione tramite sistema automatico è sufficiente, è sicuramente meglio che non comunicare a voce all'operatore.

Tanto vale che memorizzino direttamente le password nel sistema senza passarle attraverso la procedura di "hashing", anzi... mi chiedo come facciano a verificare la correttezza dei due caratteri

Ecco, questo me lo chiedo anch'io.

 

[blu24]

Ecco, questo me lo chiedo anch'io.

Ma sarà un semplice sistema automatico, cioè chi ci risponde a video avrà la richiesta di quei due caratteri, come capita coi sistemi automatici. Certo personalmente preferirei un riconoscimento automatico senza intermediario umano, una volta loggati si va a parlare con un operatore.
Devo dire però che non ricordo di aver mai chiamato, quindi commento solo su esperienze altrui

 

[JohannesBrahms]

Ma sarà un semplice sistema automatico, cioè chi ci risponde a video avrà la richiesta di quei due caratteri, come capita coi sistemi automatici. Certo personalmente preferirei un riconoscimento automatico senza intermediario umano, una volta loggati si va a parlare con un operatore.
Devo dire però che non ricordo di aver mai chiamato, quindi commento solo su esperienze altrui

Chiaro. Quello che ci chiedevamo io e @salsipuede è come sia possibile riconoscere la correttezza di singoli caratteri, se la password non è memorizzata in chiaro nel database.
Per esempio, lo sha1sum di JohannesBrahms è cf935013cb9158b150e4b56e46e1a4b7dc250b8d. Quindi, se scegliessi "JohannesBrahms" come password, nel database basterebbe memorizzare nel database "cf935013cb9158b150e4b56e46e1a4b7dc250b8d". Quando mi loggo, il server di BBVA calcola lo sha1sum della password digitata, e, se è "cf935013cb9158b150e4b56e46e1a4b7dc250b8d", riconosce "JohannesBrahms" come password corretta, e mi fa loggare nella mia area privata, anche se da nessuna parte, nel database, è memorizzata la password in chiaro.
Se, per errore, digitassi "johannesBrahms" (senza virgolette, ma con l'iniziale j minuscola), lo sha1sum sarebbe "2b8a4f4de8fb8ae40a046533ef9160d78c5c769d". Non solo sarebbe chiaramente errata la password digitata, ma sarebbe completamente diversa la criptazione della password (non cambierebbe un solo carattere).
È chiaro che, se salvassi nel database lo sha1sum della password, potrei riconoscere correttamente la password salvata. Inoltre sarei sicuro che, se qualcuno accedesse fraudolentemente al database, potrebbe leggere solo alla password criptata, e non a quella in chiaro, non potendo, di conseguenza, loggarsi al mio posto. Salvo, ovviamente, password deboli, per le quali un attacco brute-force a dizionario potrebbe decodificarla rapidamente.
Tuttavia, non sarebbe in nessun modo possibile capire la correttezza di un singolo carattere. Questa sarebbe possibile solo "criptando", al più, i singoli caratteri, ma questo diminuirebbe la sicurezza che, violando il database, non si possa risalire alle password in chiaro.

 

[blu24]

se la password non è memorizzata in chiaro nel database.

questo l'ho capito, ma stai andando a cercare il funzionamento del sistema a monte, o sbaglio? ma come funziona normalmente il sistema? come funzionerebbe se (mi pare come con fca) viene chiesto di digitare una certa cifra corrispondente ad una posizione specifica al telefono? funzionerà allo stesso modo, non è possibile che la richiesta del sistema vada a decriptare solo una delle cifre? il sistema ha la pass criptata e il modo per decriptarla solo che al posto di chiedere tutta la password come all'accesso dell'utente, chiede solo 2 cifre ed autorizza l'operatore.

 

[salsipuede]

Quello che ci chiedevamo io e @salsipuede è come sia possibile riconoscere la correttezza di singoli caratteri, se la password non è memorizzata in chiaro nel database.

assumendo che non memorizzino la password in chiaro (che sarebbe il colmo...), sicuramente non la memorizzano in forma "hashata" (sarebbe la soluzione più sicura, ma essendo non-reversibile non gli permetterebbe di risalire ai due caratteri). Probabilmente la memorizzano in una forma crittografata ma reversibile: in tal caso si spera che abbiano ulteriori strumenti per impedire che operatori infedeli siano in grado di approfittarne.

 

[Dinamo]

assumendo che non memorizzino la password in chiaro (che sarebbe il colmo...), sicuramente non la memorizzano in forma "hashata" (sarebbe la soluzione più sicura, ma essendo non-reversibile non gli permetterebbe di risalire ai due caratteri). Probabilmente la memorizzano in una forma crittografata ma reversibile: in tal caso si spera che abbiano ulteriori strumenti per impedire che operatori infedeli siano in grado di approfittarne.

Questo articolo può aiutare capire meglio la "sicurezza" della password:
Why Your Passwords Are Not Secure Enough | The Truth About Common Passwords and Expert Tips for…

Hashing is irreversible ... it is the secure process of credential storing, hashing and authentication, but… What is the vulnerability or danger in this process?
Risposta: Actually, there aren’t at this point, the dangers and problems come when this data is breached and filtrated.

 

[wallner]

Mah, tra tutti i thread del forum, solo qui si sentono ancora queste storie.. mi dispiace per l'accaduto, prova a fare un esposto a banca d'Italia

Questa mattina la situazione sembra finalmente sbloccata. Forse la parola "appropriazione indebita" inserita nell'ultimo reclamo ha avuto il suo effetto. Grazie a tutti per il sostegno.

 

[L'Apocalisse]

buongiorno,
leggo sulla prima pagina che :
- rendicontazione c/c: trimestrale e non è possibile variarla
a conferma vi è anche un link con mail della banca che riporta, a risposta di un cliente che chiede la variazione della rendicontazione da trimestrale ad annuale : "Ti informiamo che non é possibile effettuare questa operazione."
ciò va in contrasto con il Dispositivo dell'art. 119 Testo unico bancario :
2. Per i rapporti regolati in conto corrente l'estratto conto è inviato al cliente con periodicità annuale o, a scelta del cliente, con periodicità semestrale, trimestrale o mensile.

la risposta della banca è in data : 29.10.2023
qualcuno ha novità ? è riuscito a cambiare la rendicontazione in annuale ?