Сейчас у всех банков, что я знаю, аутентификация на уровне однофакторной, то есть безопасность на уровне нуля. А там, где она вроде бы полноценная двухфакторная, легко сбрасывается до вообще 0-факторной путем звонка с любого номера и диктовки паспортных данных (тинькофф).
Что я имею в виду, говоря, что у всех "аутентификация на уровне однофакторной"? А то, что почти везде есть вход по номеру карты и смс коду. А там где его нет, есть сброс пароля/логина по номеру карты и смс коду. Номер карты не является секретной информацией, поэтому фактором не является.
Соответственно, пытаюсь найти хоть 1 банк в РФ, где есть полноценные 2 фактора при авторизации. И главное, чтобы пароль сбросить дистанционно было невозможно (иначе это 1 фактор).
21
показ
8.1K
открытий
1
репост
А что по твоей логике тогда является двухфакторной авторизацией?
Логин+пароль первый фактор, смс-код второй.
Ну в Сбере так, например.
Нет, в мобильное приложение пароль не нужен. Только логин и код из смс.
Это пин код на вход в уже установленное приложение. Мошеннику для регистрации в МП на своем телефоне достаточно логина и кода из смс. А что вы там у себя делаете - отпечаток, пин на вход, никакого значения не имеет.
Я же писал:
А там где его нет, есть сброс пароля/логина по номеру карты и смс коду.Ну сбросить логин-пароль-то ты сможешь, но новый установить сможешь только в отделении или банкомате с помощью физической карты.
Это 100%? Звучит что-то сомнительно.
Вру: логин можно сменить в интернет-банке, пароль (если не знаешь старый) - нет. Но логин в Сбере "двойной" - можно и придуманный собой юзать, и физический номер карты.
Что здесь сомнительного? Есть и возможность настройки входа не только по паре логин/пароль, но и дополнительно по смс после ввода пароля.
А новые логин/пароль реально только в банкоматах или у операциониста в отделении с паспортом.
Я именно про сброс пароля. Сомнительно, что его можно задать только в банкомате с физической картой и в офисе.
Если не знаешь старый пароль, то новый задать не сможешь. Сбросить можно, но тогда только с физической картой и пин-кодом либо паспортом в отделе.
https://bankiros.ru/wiki/term/zabyl-login-i-parol-ot-sberbank-onlajn
Чет тут совсем другое пишут. Можно сбросить по логину. Это уже лучше, то есть по карте 100% точно нельзя?
Да, точно - сейчас попробовал, приходит смс для смены пароля и пароль меняется в интернете прямо.
Ну вот :)
Ага. Но, правда, шансов, что кто-то получит доступ к смс без замены симки вроде как мало, верно?
О, были многочисленные прецеденты.
По доверенности "восстанавливали" симку и потом потрошили счет с 2-х факторной
Я и сам однажды в салоне МТС по глупости консультанта восстановил чужую симку. Охуел, когда смс-ки пошли о зачислениях на 6-значные суммы по несколько раз за вечер.
Эта проблема в Мегафоне решается тем, что смски после восстановления симки на номер блокируются на сутки. За эти сутки ты явно успеешь увидеть сообщение от Мегафона, что твоя симка восстановлена.
Мало, но это и есть однофакторная аутентификация, о которой я писал.
Ну я к тому, что для доступа в Сбер нужен пароль, который сменить можно только с помощью СМС от банка. СМС приходит на твой номер, то есть его вряд ли кто-то иной получит. Если кто-то захочет восстановить твою сим-карту, то в моём случае Мегафон присылает об этом сообщение и блокирует все входящие СМС на номер на сутки, то есть залочить карту (а с ней и счёт) в Сбере ты за это время точно успеешь. Правда, чтобы её восстановить потом всё-таки нужно в отделение приходить (правда, любое, а не то, "в котором получали"). То есть всё-таки двухфакторная авторизация (дажё четырёх): логин/пароль, СМС, паспорт при восстановлении симки и паспорт при восстановлении карты банка.
Все это очень слабо, у меня многие аккаунты на сервисах, никак не связанных с деньгами или персональными данными, защищены лучше)
Ну я вижу только одну проблему: если вообще возможно клонирование номера, то есть получение смс на твой номер кем-то другим при одновременном нормальном функционировании этого же номера у меня. Не знаю, возможно ли это вообще.
Вспомнил ещё один банк - Авангард. Давно, правда, им не пользуюсь, но там на КАЖДУЮ итерацию можно либо настроить использование одноразовых кодов, которые ты периодически получаешь в отделении, либо ЭЦП. Сейчас задумался о том, чтобы снова туда вернуться. Интернет-банк у них поудобнее Сбера, кстати.
Комментарий недоступен
Чтобы считаться за отдельный фактор, они должны быть независимы. Паооль, который можно изменить СМС, отдельным фактором считать нельзя.
Комментарий недоступен
Если вы забыли логин или пароль от СберБанк Онлайн, нужно пройти повторную регистрацию в личном кабинете (это простой процесс, который не займет много времени). Для регистрации потребуется активная карта СберБанка, подключенная к СМС-банку. Отметим, что логин от СберБанк Онлайн через контактный не предоставляется и никогда не предоставлялся 🙂
Вот именно, "простой процесс" - это и есть проблема. Все держится на одном коде из смс.
Комментарий недоступен
Это раньше, щас все через смску))
https://online.sberbank.ru/CSAFront/index.do#/restore
ТОчнах. Трахался с этим
Оказалось, что можно - посмотри переписку в этой ветке выше.
а смысл от сброса пароля онлайн если все равно идти к банкомату или банк?!
Сбросить скомпрометиррованный
что бы не смогли воспользоваться им до посещения банкомата или банка?!