Тинькофф-банк ослабил безопасность

У российских банков есть идиотская черта - верить в безопасность смс. В большинстве банков для получения доступа к деньгам достаточно на короткий срок получить доступ к вашему номеру телефона для получения сообщений.

Сделать это можно множеством разных способов и в целом есть консенсус, что аутентификация по одной смс - это небезопасно. Например, в месенджере Telegram уже давно есть функция двухфакторной аутентификации, которую сделали как раз после многочисленных случаев угона телефонных номеров.

Забавно, что украсть вашу "телегу" сложнее, чем ваши деньги.

Тинькофф какое-то время был светлым пятном на этом фоне. Аутентификация там проводилась при помощи смс И пароля. Не знаешь пароль - звони в колл-центр, а там уж при помощи какой-нибудь биометрии твои деньги спасут (наверное)

Но недавно я обнаружил, что они эту прекрасную фишку убрали и теперь для входа интернет-банк достаточно одной смс и номера любой вашей карты.

Банк конечно спросит у вас пароль при попытке входа. Но достаточно нажать волшебную кнопку "не помню пароль" и вместо пароля у вас спросят номер любой карты. Да, именно так, знание номера карты, по сути публичной информации, теперь приравнено к знанию пароля.

Не могу даже представить сколько совещаний высокооплачиваемые руководителя Тинькофф провели для внедрения столь замечательного улучшения.

Но может быть вы сделаете галочку в настройках "не пускать без пароля"? Зачем считать всех своих клиентов слабоумными, которые не в состоянии пароль запомнить?

55
49 комментариев

Когда вы входите в личный кабинет или мобильное приложение система мониторинга проверяет множество фактов и, если посчитает, что нужно дополнительное подтверждение личности при входе помимо смс-кода, то запросит дополнительную информацию. Все возможные настройки для входа находятся в личном кабинете на сайте. Необходимо войти в кабинет - нажать в правом верхнем углу на значок профиля - Настройки профиля - Безопасность.

почему бы вместо "проверки множества фактов" не проверять знание пароля? ведь пароли за тем и придумали.

сейчас я в принципе не понимаю зачем нужен пароль доступа к интернет-банку тинькофф, если можно легко зайти не зная этого пароля.

3

У тинька вся система безопасности капец какая дырявая. Я в этом банке себя безопасно не ощущал, поэтому ушел давно

1

but still remember получается?) то что в посте описано не только у тинька. По мне так критичного нет ничего

1

Мне на днях позвонили мошенники и сказали, что требуется переоформление моих договоров на обслуживание с банком Тинькофф. Им для этого нужны были последние 8 цифр любой моей действующей карты Тинькофф. Я по их скрипту дальше не пошел, но, видимо, идея была в том, чтобы вытащить дальше первые 8 цифр и использовать эти данные вместо пароля. Это нововведение прям кладезь для спецов из колл-центров.

Здравствуйте.

Даже если злоумышленник получит доступ к номеру карты и попробует восстановить доступ к приложению/личному кабинету, операцию нужно будет подтвердить кодом из СМС/пуш. Доступ к устройству и контактному номеру телефона должен быть только у вас. Коды подтверждения нельзя сообщать никому.

ох ещё бы эти ироды 2x факторку ввели, но они до усёра делают вид что 2 ой фактор это смс, ибо так а) легче жёпу прикрывать б) якобы клиентам проще, но как опцию на выбор можно же было бы сделать? госуслуги и те позволяют получать временные коды в аутентификаторе помимо обязательного логина и пароля