Сейчас у всех банков, что я знаю, аутентификация на уровне однофакторной, то есть безопасность на уровне нуля. А там, где она вроде бы полноценная двухфакторная, легко сбрасывается до вообще 0-факторной путем звонка с любого номера и диктовки паспортных данных (тинькофф).
Что я имею в виду, говоря, что у всех "аутентификация на уровне однофакторной"? А то, что почти везде есть вход по номеру карты и смс коду. А там где его нет, есть сброс пароля/логина по номеру карты и смс коду. Номер карты не является секретной информацией, поэтому фактором не является.
Соответственно, пытаюсь найти хоть 1 банк в РФ, где есть полноценные 2 фактора при авторизации. И главное, чтобы пароль сбросить дистанционно было невозможно (иначе это 1 фактор).
21
показ
8.1K
открытий
1
репост
Извиняюсь, зря частично похвалил @Тинькофф за двухфакторную аутентификацию хотя бы для вида, у них ее разумеется тоже нет, можно сбросить логин/пароль по номеру карты и смске ахахахах
Банки, вы реально идиоты что ли? Или что происходит? Для чего вы поголовно делаете вход типа "двухфакторный", то есть по логину+паролю и смс коду ЕСЛИ ПЕРВЫЙ ФАКТОР МОЖНО ЗА 5 СЕКУНД СБРОСИТЬ ИМЕЯ ДОСТУП ТОЛЬКО КО ВТОРОМУ ФАКТОРУ???
Делайте сразу вход номеру телефона и смс коду. Клоуны.
Если входить будут с нового устройства, то запросим еще и ответ на секретный вопрос, который знает только клиент. Если попытаются войти через восстановленную симку, то код не отправим на нее.
Что значит с нового устройства? Это применимо только если мошенник входит со сматфона или с любого устройства через любой тип онлайн банкинга, например через обычный браузер с ПК?
Если попытаются войти через восстановленную симку, то код не отправим на нее.В смысле? Это как работает?
Устройство мы определяем по логам, а замену симкарты по привязке IMSI оператора.
Если мошенник будет входить с ПК и браузера с другого айпи это 100% заставит систему спросить секретный вопрос? Секретный вопрос это те, что в ЛК задаются самостоятельно? А что, если клиент их не задал? Все, рип?
Я вот недавно номер переносил с есим одного оператора на сим другого. Ни один банк не тригернулся вообще. Так должно быть?
Клиент не может их не задать, принудительно просим указать при входе. Смена оператора это другое, там смена IMSI автоматическая. Если заменят симку текущего оператора - тогда ничего не отправим. Такое бывает при утере, или к примеру, при передаче номера другому клиенту, если прошлый не пользовался симкой долго.
Ладно, тогда зря быканул. На самом деле не зря, потому что я все еще жду возможность запрета дистанционного осуществления критических операции, которые сейчас требуют идентификацию по простейшему звонку (смена номера, сбросы любых доступов, сбросы секретных слов и т.д.), только через вызов курьера. Без этого все ваши остальные системы безопасности не имеют смысла.
Мы обязательно учтем этот момент на будущее.
Отключить сброс пароля по виртуальным картам хотя бы можно лол? Большинство думает, что светить номера виртуальных карт безопасно, ведь банк никогда в жизни не додумается разрешить сброс данных по номеру виртуальной карты. Какие же вы дырявые, господи....
По номеру виртуалки вы никак не зарегистрируетесь, только по номеру физической карты.
Причем тут регистрация? У вас при сбросе пароля можно указать номер любой виртуальной карты лол: https://www.tinkoff.ru/registration/?recovery=
Не получится, после того как попытаетесь ввести код из СМС будет ошибка.
Уверены? Или мне самому проверять?
Абсолютно точно. Можете проверить, если не уверены вы)
Окей, может проверю как-нибудь. Другой вопрос - какого черта смс тогда отправляется, то есть начинается второй этап? Если можно на первом выдать ошибку "карта не подходит для сброса пароля"
Чтобы без доступа к телефону никто, кроме клиента не смог проверить, физическая карта или виртуальная.
А можно заблокировать пластиковую и пользоваться только виртуальной? В таком случае сброс пароля по карте будет невозможен вовсе.
Как вариант. Виртуальную можно добавить в сервисы бесконтактной оплаты.
1) Т.е. если у меня не будет активной физической карты (только виртуальные) вход по номеру карты будет абсолютно 100% гарантированно невозможен?
2) Вход по любым заблокированным картам надеюсь невозможен?
1. Если мы сбросим логин и пароль, то войти получится только по физической карте.
2. По заблокированной карте войти в личный кабинет у вас не получится.
Ладно, безопасность у вас во многих местах хорошая, должен признать. Однако обязательно нужно добавить 24 часа блок смс для тинькофф мобайл в случае перевыпуска сим/есим (и обязательно люто спамить всеми способами что сим перевыпускается) и 24-72 часа ограничение операций в банке после смены номера и сброса логина/пароля, и также спамить что номер сменился или логин/пароль сбросился. Это нужно реализовать обязательно и как можно скорее. Ограничение операций после смены номера / сброса логина пароля есть у Альфы (на 24 часа) и Открытия (аж на 72 часа). Просто подсмотрите у них реализацию и сделайте лучше. И ОБЯЗАТЕЛЬНО на время ограничений частично зацензурьте все данные документов в разделе документов в банке. Типа номер паспорта 12** 35***1, тоже самое кем выдан, снилс, адрес (обязательно скрыть номер квартиры и дома) и тд . Тоже самое с email адресом.
Я абсолютно убежден, что реализация этого должна быть у вас в максимальном приоритете. Прям первое в списке.
Спасибо за предложение, передали в нужный отдел:)
Получается в этом случае возможности сброса пароля вообще не будет, пока не курьер не привезет пластик? Было бы круто, но что-то мне подсказывает что вы без проблем все сбросите по звонку на горячую линию(
Каждую ситуацию мы рассматриваем индивидуально. Мы сможем помочь по звонку, но только после детальной идентификации.
Мда