Сейчас у всех банков, что я знаю, аутентификация на уровне однофакторной, то есть безопасность на уровне нуля. А там, где она вроде бы полноценная двухфакторная, легко сбрасывается до вообще 0-факторной путем звонка с любого номера и диктовки паспортных данных (тинькофф).
Что я имею в виду, говоря, что у всех "аутентификация на уровне однофакторной"? А то, что почти везде есть вход по номеру карты и смс коду. А там где его нет, есть сброс пароля/логина по номеру карты и смс коду. Номер карты не является секретной информацией, поэтому фактором не является.
Соответственно, пытаюсь найти хоть 1 банк в РФ, где есть полноценные 2 фактора при авторизации. И главное, чтобы пароль сбросить дистанционно было невозможно (иначе это 1 фактор).
21
показ
8.1K
открытий
1
репост
Комментарий недоступен
Сброс приватного ключа вряд ли будет делаться в любом офисе.
Вот выпустите вы себе карту ситибанка и отправят вас сбрасывать этот ключ куда-нибудь в Сакраменто)))))
Сделали бы второй фактор - код на email. Сейчас дошло до того, что email защищен лучше, чем личный кабинет в банке 🤦♂️
Да, сейчас почти все почты имеют защиты лучше, чем любой рф банк. Такое позорище.
Внезапно, МИнБ и РСХБ предлагают своим клиентам криптокалькуляторы. Это один из самых надежных способ защиты.
РСХБ предлагал. Я хотел, но нигде в мск такого не оказалось.
Хотя сейчас уже есть возможность делать это всё на основе "приложите карту к NFC". Но почему-то никто не торопится это реализовывать.
@Сбер @ВТБ @Альфа-Банк @Банк Открытие @Точка @Райффайзен Банк @Газпромбанк @ПСБ может сделаете что нибудь с этим??
Нет.
Добрый день!
Чтобы войти в интернет-банк, нужно знать логин-пароль и иметь доступ к номеру телефона, который привязан для авторизации в банке. Сменить этот номер просто по звонку не получится. Если это потребуется, понадобится видео-встреча.
Подобный способ авторизации обеспечивает безопасность работы со счётом и пока нет планов как-то его менять.
Ваши данные защищены ровно до первого сотрудника оператора, решившего поднять копейку на сливе ваших данных, или дубликата сим.
ну если так думать, то вообще никакая защита не поможет и лучше вообще хранить под подушкой. но и там могут украсть\отнять :(
@Альфа-Банк , @Сбер @Тинькофф а есть возможность сделать к телефону usb ключ через usb порт телефона?
Шикарно было бы.
Да не нужны никакие ключи и даже TOTPы, достаточно черт побери сделать просто полноценную двухфакторную аутентификацию ТОЛЬКО ПО ЛОГИНУ И ПАРОЛЮ + СМС КОД, С ВОЗМОЖНОСТЬЮ ЗАПРЕТА ДИСТАНЦИОННОГО СБРОСА ПАРОЛЯ, ТОЛЬКО ЛИЧНО В ОФИСЕ С ПАСПОРТОМ. НИКАКИХ ВХОДОВ ПО КАРТАМ, НОМЕРАМ ТЕЛЕФОНА, УНК И ТД. Все, проблема решена. Нормальный прошаренный клиент просто поставит себе логин по типу "V5lf6}Wkrr~2J!Jy*sUdY%Fs" и пароль по типу "dfrYzn~MiFVpze3kp}rQ@T*n" и все это дело добивает второй фактор в виде смс кода. Безопасность полная, можно хоть миллиард хранить. Но ни один топовый банк в РФ этого не имеет, это просто жесть.
@Альфа-Банк @Сбер @Тинькофф @ВТБ @Банк ВТБ @Банк Открытие @Райффайзен Банк
Комментарий недоступен
Ваше предложение очень интересное, но трудно реализуемое
Хотим отметить, по защищенности и удобству пользования двухфакторная аутентификация по СМС не уступает другим средствам защиты.
В банке реализована интеллектуальная система мониторинга, которая выявляет и предотвращает попытки несанкционированного использования Сбербанк Онлайн
Сообщение удалено
Здравствуйте.
Только паспортных данных недостаточно для прохождения у нас идентификации. Для входа в личный кабинет, если клиент ранее устанавливал пароль, помимо номера телефона и СМС-кода нужно будет указать и его.
Да-да, уже сто раз читал эти отписки от вас за последние месяцы. До тех пор, пока сброс доступа в лк и смена номера не будет происходить через курьера, или хотя бы по видеосвязи + ограничения по операциям на 24 часа, ни рубля у вас размещать не буду.
Чтобы сбросить пароль, старый пароль не нужен. А для сброса хватит номера карты и кода из смс. У вас однофакторная авторизация по сути.
для входа в ваш личный кабинет с нуля достаточно иметь сим карту клиента и знать номер карты либо номер договора.
То есть в случае кражи сим карты клиента, моим единственным слоем защиты может служить лишь то что не будут знать номер карты либо номер договора?
Как то вот на надежный пароль это не похоже особо. Одно из двух точно где нибудь да сольется. Фактически у нас это не хешированные два пароля на выбор.
P.S. Этой информации достаточно для установки нового и логина и пароля.
Так что с моей точки зрения у вас однофакторная авторизация с мааааленькой гипотетически существующей долей второго слоя (которую нельзя считать за присутствующую из за отсутствия хеширования, и из за того что к этим данным имеет доступ слишком большой круг лиц)
А что по твоей логике тогда является двухфакторной авторизацией?
Логин+пароль первый фактор, смс-код второй.
Извиняюсь, зря частично похвалил @Тинькофф за двухфакторную аутентификацию хотя бы для вида, у них ее разумеется тоже нет, можно сбросить логин/пароль по номеру карты и смске ахахахах
Банки, вы реально идиоты что ли? Или что происходит? Для чего вы поголовно делаете вход типа "двухфакторный", то есть по логину+паролю и смс коду ЕСЛИ ПЕРВЫЙ ФАКТОР МОЖНО ЗА 5 СЕКУНД СБРОСИТЬ ИМЕЯ ДОСТУП ТОЛЬКО КО ВТОРОМУ ФАКТОРУ???
Делайте сразу вход номеру телефона и смс коду. Клоуны.
Если входить будут с нового устройства, то запросим еще и ответ на секретный вопрос, который знает только клиент. Если попытаются войти через восстановленную симку, то код не отправим на нее.
за 5?)
ты дальше этого экрана не ходил?)
Хороший вопрос .. ждал хороший ответ .. но нет.. печально
И пора бы юридически признать все данные, которые нарисованы на карте, в том числе CVC код, публичными. Если кто-то где-то неправомерно расплатился только путем ввода этих публичных данных, без 3ds подтверждения, то за это должен нести ответственность кто угодно, но ни как не держатель карты.
Комментарий недоступен
Нужна для начала хотябы в дополнение к смс галочка
"я не дурачок, пароль забывать не планирую, всегда его спрашивайте и не давайте никому сбрасывать".
Попытки поменять — только через максимально сильную и кривую идентификацию.
ТОЛЬКО ЧТОБЫ ОНА Б**ТЬ РАБОТАЛА!! А НЕ КАК В ВТБ.
Комментарий недоступен
Во первых, уточняйте, что имеется в виду банк для физиков.
Потому что для юриков множество банков работает по двум серьезным факторам, например, ЭЦП и телефон. А вот для физиков с этим швах. Все, с которыми я работал или предлагают по номеру телефона сбросить все пароли, или вовсе не предлагают дистанционное обслуживание.
Кстати, @Банк Открытие пошли дальше всех и сделали сброс доступа в ЛК по номеру телефона и дате рождения + смс код, если я все правильно понял. Без комментариев.
А в это время в Нидерландах: https://www.abnamro.nl/en/commercialbanking/products/digital-banking/e.dentifier.html
у БСПБ на выбор sms или Google Authenticator
А если аутентификатор проебал, то можно позвонить на горячую линию, продиктовать паспортные данные и доступ сбросят, да?)
Комментарий удален модератором
Так что получается банков с двух факторкой нету? :sad face:
Статья по этой же теме: Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством.