Сейчас у всех банков, что я знаю, аутентификация на уровне однофакторной, то есть безопасность на уровне нуля. А там, где она вроде бы полноценная двухфакторная, легко сбрасывается до вообще 0-факторной путем звонка с любого номера и диктовки паспортных данных (тинькофф).
Что я имею в виду, говоря, что у всех "аутентификация на уровне однофакторной"? А то, что почти везде есть вход по номеру карты и смс коду. А там где его нет, есть сброс пароля/логина по номеру карты и смс коду. Номер карты не является секретной информацией, поэтому фактором не является.
Соответственно, пытаюсь найти хоть 1 банк в РФ, где есть полноценные 2 фактора при авторизации. И главное, чтобы пароль сбросить дистанционно было невозможно (иначе это 1 фактор).
21
показ
8.1K
открытий
1
репост
@Альфа-Банк , @Сбер @Тинькофф а есть возможность сделать к телефону usb ключ через usb порт телефона?
Шикарно было бы.
Да не нужны никакие ключи и даже TOTPы, достаточно черт побери сделать просто полноценную двухфакторную аутентификацию ТОЛЬКО ПО ЛОГИНУ И ПАРОЛЮ + СМС КОД, С ВОЗМОЖНОСТЬЮ ЗАПРЕТА ДИСТАНЦИОННОГО СБРОСА ПАРОЛЯ, ТОЛЬКО ЛИЧНО В ОФИСЕ С ПАСПОРТОМ. НИКАКИХ ВХОДОВ ПО КАРТАМ, НОМЕРАМ ТЕЛЕФОНА, УНК И ТД. Все, проблема решена. Нормальный прошаренный клиент просто поставит себе логин по типу "V5lf6}Wkrr~2J!Jy*sUdY%Fs" и пароль по типу "dfrYzn~MiFVpze3kp}rQ@T*n" и все это дело добивает второй фактор в виде смс кода. Безопасность полная, можно хоть миллиард хранить. Но ни один топовый банк в РФ этого не имеет, это просто жесть.
@Альфа-Банк @Сбер @Тинькофф @ВТБ @Банк ВТБ @Банк Открытие @Райффайзен Банк
Комментарий недоступен
Не вижу проблемы когда у тебя есть менеджер паролей, который сам вставляет всю эту ебанину) Если мне нужно задать пароль, который не может быть сам вставлен, то задаю ебанутое предложение в одну строку с парой спец символов
Комментарий недоступен
Мой вариант: выбираешь три русских слова и пишешь их латиницей, разбавляя парой тройкой цифр и спецсимволов и регистром (если буквы и так не попали на цифры.
Комментарий недоступен
Работал в Сбере, на поддержке юрлиц, так вот у юриков на тот момент дистанционного сброса пароля не было, забыл пароль - топай ножками в отделение с заявлением на бумаге. И там ещë сверят оттиск печати и подписи.
Да, для юриков пока что безопасность много где норм, на физиков всем похеру)
зато для юриков дубликат сим карты сделать еще проще чем для физиков, я бы сказал вообще легко. весь бюджет - стоимость дешевого одноразового штампа.
Мне бы хватило авторизации по двум разным смс номерам от двух разных операторов.
Это тоже хорошо, но думаю реализация моей идеи намного проще)
Здравствуйте!
Предложение интересное, спасибо. Передадим пожелание разработчикам.