Сейчас у всех банков, что я знаю, аутентификация на уровне однофакторной, то есть безопасность на уровне нуля. А там, где она вроде бы полноценная двухфакторная, легко сбрасывается до вообще 0-факторной путем звонка с любого номера и диктовки паспортных данных (тинькофф).
Что я имею в виду, говоря, что у всех "аутентификация на уровне однофакторной"? А то, что почти везде есть вход по номеру карты и смс коду. А там где его нет, есть сброс пароля/логина по номеру карты и смс коду. Номер карты не является секретной информацией, поэтому фактором не является.
Соответственно, пытаюсь найти хоть 1 банк в РФ, где есть полноценные 2 фактора при авторизации. И главное, чтобы пароль сбросить дистанционно было невозможно (иначе это 1 фактор).
21
показ
8.2K
открытий
1
репост
А что по твоей логике тогда является двухфакторной авторизацией?
Логин+пароль первый фактор, смс-код второй.
Ну в Сбере так, например.
Я же писал:
А там где его нет, есть сброс пароля/логина по номеру карты и смс коду.Ну сбросить логин-пароль-то ты сможешь, но новый установить сможешь только в отделении или банкомате с помощью физической карты.
Это 100%? Звучит что-то сомнительно.
Что здесь сомнительного? Есть и возможность настройки входа не только по паре логин/пароль, но и дополнительно по смс после ввода пароля.
А новые логин/пароль реально только в банкоматах или у операциониста в отделении с паспортом.
Я именно про сброс пароля. Сомнительно, что его можно задать только в банкомате с физической картой и в офисе.
Если не знаешь старый пароль, то новый задать не сможешь. Сбросить можно, но тогда только с физической картой и пин-кодом либо паспортом в отделе.
https://bankiros.ru/wiki/term/zabyl-login-i-parol-ot-sberbank-onlajn
Чет тут совсем другое пишут. Можно сбросить по логину. Это уже лучше, то есть по карте 100% точно нельзя?
Да, точно - сейчас попробовал, приходит смс для смены пароля и пароль меняется в интернете прямо.
Ну вот :)
Ага. Но, правда, шансов, что кто-то получит доступ к смс без замены симки вроде как мало, верно?
Мало, но это и есть однофакторная аутентификация, о которой я писал.
Ну я к тому, что для доступа в Сбер нужен пароль, который сменить можно только с помощью СМС от банка. СМС приходит на твой номер, то есть его вряд ли кто-то иной получит. Если кто-то захочет восстановить твою сим-карту, то в моём случае Мегафон присылает об этом сообщение и блокирует все входящие СМС на номер на сутки, то есть залочить карту (а с ней и счёт) в Сбере ты за это время точно успеешь. Правда, чтобы её восстановить потом всё-таки нужно в отделение приходить (правда, любое, а не то, "в котором получали"). То есть всё-таки двухфакторная авторизация (дажё четырёх): логин/пароль, СМС, паспорт при восстановлении симки и паспорт при восстановлении карты банка.
Все это очень слабо, у меня многие аккаунты на сервисах, никак не связанных с деньгами или персональными данными, защищены лучше)
Ну я вижу только одну проблему: если вообще возможно клонирование номера, то есть получение смс на твой номер кем-то другим при одновременном нормальном функционировании этого же номера у меня. Не знаю, возможно ли это вообще.
Вспомнил ещё один банк - Авангард. Давно, правда, им не пользуюсь, но там на КАЖДУЮ итерацию можно либо настроить использование одноразовых кодов, которые ты периодически получаешь в отделении, либо ЭЦП. Сейчас задумался о том, чтобы снова туда вернуться. Интернет-банк у них поудобнее Сбера, кстати.
Комментарий недоступен