Что не так с крупными компаниями в России?

Я хотел бы затронуть тему, которая беспокоит меня и многих людей — почему чем крупнее компания, тем хуже отношение к технологиям? Почему каждая такая компания идет по граблям изобретая свои велосипеды с кривыми решениями?

Речь конечно же о системах авторизации и идентификации юзера хоть в окне кассы, хоть на сайте.

За все время мы, люди, прошли долгий путь от login/password до умных и неудобных решений с двухфакторкой, и еще более умных и уже удобных, в виде SSO и войти через

Поговорим о двухфаторке, а именно двухфакторке через СМС

Почему её так любят наши компании? Почему компании вообще любят СМС?

У меня есть для вас, компании, новость: коды через СМС, это устаревшее в плане технологичности решение, небезопасное (симка клонируется при желании). Решение дорогое для вас, ведь каждая СМС стоит денег! Не убедил?

А ещё, авторизация через СМС сильно тормозит процесс авторизации юзера и раздражает.

Некоторые компании «повышая секъюрность и экономичность» вместо СМС используют пуш уведомления, прикостылив на скорую руку от уже реализованной системы с СМС. Складывается впечатление, что делают подороже в реализации, посложнее, лишь бы не сделать нормально.

Что происходит на сервере при каждой авторизации: Нужно взять юзера который логинится, запомнить что юзер должен ввести код. Сгенерировать код, отправить (СМС платно или Пуш), подождать пока юзер введет код и потом его пустить.

В этой схеме с СМС все что угодно может пойти не так, например у юзера сел телефон, СМС не прилетит. Например СМС сервис работает с задержками (надо иногда задержка составляет минуту). Например СМС может вообще не прилететь.

Есть способы надежнее, лучше и проще в реализации, а главное бесплатные.

Пуши! Нет, с пушами такие же проблемы. Тем более, я не знаю ни одной компании, которая бы сделала пуши правильно. При логине на сайте, пуш приходит в приложение. Почему при логине на сайте не сделать пуши для браузера или вам так нужно что бы юзер бежал за телефоном?

Пуш при логине на сайте, приходит в приложение на устройство, а устройство может быть просто севшим. И получаем те же грабли что и с СМС, пуш не доставлен, юзер не может залогиниться.

Пуш так же может не прилететь, нет гарантированной доставки так же как и с СМС.

Пуш может быть вообще отключен если предварительно ваше приложение спамило юзера рекламой СМС, хотя бы отключить нельзя.

Юзер во время авторизации через двухфакторку испытывает стресс, ему нужно бежать за телефоном/смотреть на часы/быстро проскроллить до кода и ввести его пока не скрылось сообщение. Все это стресс. Стресс при каждом входе!

У СМС даже есть некоторые плюсы из за того что пуши так криво релизованы. СМС например может переадресовываться на macOS при логине на сайте.

Но зачем, зачем вообще делать так плохо, когда можно сделать проще, безопаснее, удобнее а главное дешевле...?

Как сэкономить 90% денег на разработке авторизации, на поддержке и эксплуатации, сделав приятно и пользователю? Сделать секъюрно и надёжно. Такое вообще возможно?

Авторизация должна быть быстрой, в идеале вообще прозрачной для пользователя. И большинство компаний в приложении для iPhone/iPad/Mac используют именно прозрачную авторизацию, например защитив биометрий вход в приложение.

Более большие компании и дяди отвечающие за секъюрность в этих компаниях, сами того не понимают, что у них уже реализована система лучше чем костыльное решение с СМС и Пушами.

Я хочу до вас донести вести, которым уже без малого 100 лет в обед!

На сайте тоже можно сделать авторизацию по биометрии!

Неожиданно!? Неслыханно!? Какая наглость!

Да, это называется SSO и делается значительно легче, чем вся ваша религия с регистрацией через платные для вас СМС. А для вас, тех кто осилил двухфакторку через ПУШИ, я сообщаю, что SSO приделать проще чем весь ваш нелепый велосипед с генерациями и проверками кодов. Более того, решение на SSO будет надежнее и работать будет быстрее в разы. А главное это действительно секъюрно, да еще и бесплатно для вас.

Примеры из жизни Тинькофф и Точка

Я приведу пример двух банков, Тинкофф (куда же без него) и Точка. Приведу пример Бизнес банков, ведь речь идет о деньгах огромных, деньгах компаний.

Тинкофф, банк хоть и продвинутый, но трусливый до нормальных решений, они вот судятся с ОПСОСами на счет стоимости СМС, а ведь могли просто сделать нормальную авторизацию через sing in with Apple, как например банк Точка.

Смотрите, Точка работает, дает юзерам позитивое впечатление при каждой авторизации, а Тинкофф раздражает при каждой авторизации своими кодами.

Так что конкретно мешает сделать авторизацию нормально, что именно пугает большие компании, простота и экономичнось реализации или дополнительная надёжность и бесплатность решения?

CDEK

Теперь приведу пример компании CDEK, с которой я на днях столкнулся, и которая сподвигла меня написать эту статью. Компания крупная, компания с кабинетом на сайте, который они решили переделать. Переделывают глобально и как обычно принято у больших компаний, ступая по граблям.

Раньше была в CDEK была авторизация через логин/пароль. Теперь они делают СМС!

Вход по телефону и СМС, что может быть хуже в 2021 году?

Ребята… я не знаю о чем думает ваше руководство вваливая деньги в решение которое морально устарело лет на 10. Вкладывая деньги в решение, которое требует огромных вложений в реализацию и поддержку. При этом создавая лишь неудобства для пользователей.

Теперь поговорим о подтверждении человека на кассе.

Каждый раз при обращении на кассе, CDEK, Почта России, и т.д. требуется идентификация личности. Как это сделано? Паспорт.

Т.е. все держится на том, что симку не клонировать… ой, т.е. паспорт не подделать. Скажите мне пожалуйста, у вас на кассе сидят люди имеющие квалификацию по распознаванию фальшивых документов? Если нет то к чему весь этот цирк? Чем поддельный паспорт для кассира отличается от поддельных например прав? Или вы нашли где то описание какой документ сложнее всего подделать, и на основнании этого было решено, паспорт подделать труднее всего, будем требовать его?

Вы говорите, мы боремся с мошенничеством, при этом вы не можете отличить ЛЮБОЙ поддельный документ от оригинального, просто потому что ваш кассир не специалист по подделкам, так что принимайте пожалуйста ВСЕ документы, в том числе и водительские права.

Почта России

Начну сразу с примера компании, которая сначала смогла, а потом попятилась испугавшись как хорошо все заработало.

Когда началась реформа по превращению Почты РФ в магазин и банк и … Вобщем в то самое время у них появилась авторизация на кассе через СМС. Человек подписывал документ для выдачи посылок по СМС один раз с паспоротом и далее все посылки получал уже только по СМС.

И это наверное единственное место, где СМС действительно подошли для быстрой идентификации. Но Почта РФ пошла дальше и сделала невозможное, помимо СМС наладила Пуш уведомления. Стало удобно. На время. Потом опять стало не удобно.

Раньше было как? Пришел, показал штрихкод посылки, тебе прилетела смс/пуш с кодом, код назвал и посылку получил.

Теперь же сделали так… Пришел, показал штрихкод посылки, назвал вслух всем вокруг и кассиру свой номер телефона, тебе прилетела смс/пуш, код назвал и посылку получил.

Кто нибудь мне в комментариях напишите, чем это секъюрнее стало, с называнием вслух номера телефона?

Что там у остальных?

Например постоматы, по факту это такие заменители кассиров. Подходишь вводишь код и получаешь посылку. Между тем, код прилетает заранее и хранится в смс.

Удобно? Удобно. Секъюрно? Ну как и всё с СМС.

Друхих способов авторизации на кассе я не знаю. Ну кроме как «паспорт покажите, нет, только оригинал, нет, права не подойдут».

Как авторизоваться у кассы без СМС?

Для начала надо понять, что СМС это не безопасно, склонировать симкарту можно при желании. Гораздо сложнее доказать приложению что ты это ты через поддельную биометрию.

Приложение должно подтвердить, что человек стоящий сейчас перед кассой, это тот самый гражданин который должен получить посылку и рассказать это кассиру через сервер компании.

Как именно это будет реализовано, не так важно, но основные моменты понятны:

1. Приложению нужно получить сигнал о том что сейчас мы авторизуемся на кассе.

2. Пользователь должен подтвердить себя в приложении.

3. Кассир должен получить об этом информацию.

Важно понять, что само приложение должно выступать в роли документа предъявлеямого получателем.

Приведу пример реализации

Например юзер подходит к кассе, через камеру считывает QR код на окне кассира.

Приложение открывается и просит приложить палец, юзер прикладывает палец, кассир видит данные юзера у себя на компьютере и понимает кто стоит перед кассой, видит ФИО, видит номер телефона и т.д.

Как это сделать? Для начала нам нужен принтер для распечатки QR кода, и скотч для наклейки на окно.

QR код должен содержать лишь сссылку, которую открыет приложение, в ссылке должны быть открытые данные о кассе (например номер отделения, номер кассы).

Нужен еще один метод API на сервере в дополнение к остальным методам уже сделанных. Метод будет получать данные от приложения: тот самый номер кассы и номер отделения.

После этого сервер делает пуш на компьютер кассира. (пуш конечно же можно заменить на обычный запрос к серверу по нажатию кнопки «Refresh» кассиром в его приложении).

Схема простая в реализации и более безопасная чем СМС. QR код можно заменить на NFC карточку кассира. А для пущей секъюрности можно добавить к данным примерные координаты GPS получающего посылку.

Систем авторизации на кассе готовых, пока просто нет, но если изобретать велосипед, то нужно хотя бы делать это удобным для пользователя и исходить из безопасности реализации.

У меня всё. Надеюсь я свою мысль донёс и эту заметку прочитают люди из руководства компаний.

66
44 комментария

Комментарий недоступен

3

Комментарий недоступен

2

Я вообще не понимаю о чем вы говорите. Не нужен паспорт и симка. В этом соль. В 2021 году это не нужно.

А попробую-ка я коротко ответить на этот длинный длинный длинный текст.
На самом деле, все просто. Телефон, в настоящее время, есть практически у всех. А смартфон с камерой, сканером QR, браузером, пушами - нет. Не у всех. Многие люди специально покупают "бабушкофоны", потому, что им так удобнее. Поэтому СМС. Не пуш, не QR, не биометрия.   

1

Автор, если вы так топите за биометрию - могли бы изучить ее историю: когда она появилась и с какими проблемами сталкивалась в развитии.
Но я все же напомню, что первой и самой важной проблемой авторизации по отпечатку пальца было и есть определение 'отрезанного пальца'  - тк первое что делали преступники для обхода таких систем это отрезали палец пользователя.

Если вам нужно авторизовать пользователя в банковскую яйчейку или для доступа на ядерный объект - риск отрубания пальца (или глаза ) для такого пользователя приемлем.  Но блин если каждый грабитель будет отрубать у вас по пальцу при попытке взлома - вам не будет стремно? Кринж не словите?

Едем дальше, помимо проблемы выше есть и более приземленная - сохранение этого самого 'биометрического источника'. Вот залили вы подушечки пальцев кислотой, кожа частично слезла - все, биометрию вы не пройдете.
Закинулись наркотой и зрачок расширился  - авторизация по сетчатке не сработает.


Поэтому оставьте лучше биометрию для кино - там это красиво выглядит всегда.

у вас нет айфона, верно?

1

Что не так с вашим заголовком? (Подсказка: что-то с запятыми)