Сейчас у всех банков, что я знаю, аутентификация на уровне однофакторной, то есть безопасность на уровне нуля. А там, где она вроде бы полноценная двухфакторная, легко сбрасывается до вообще 0-факторной путем звонка с любого номера и диктовки паспортных данных (тинькофф).
Что я имею в виду, говоря, что у всех "аутентификация на уровне однофакторной"? А то, что почти везде есть вход по номеру карты и смс коду. А там где его нет, есть сброс пароля/логина по номеру карты и смс коду. Номер карты не является секретной информацией, поэтому фактором не является.
Соответственно, пытаюсь найти хоть 1 банк в РФ, где есть полноценные 2 фактора при авторизации. И главное, чтобы пароль сбросить дистанционно было невозможно (иначе это 1 фактор).
21
показ
8.1K
открытий
1
репост
Здравствуйте.
Только паспортных данных недостаточно для прохождения у нас идентификации. Для входа в личный кабинет, если клиент ранее устанавливал пароль, помимо номера телефона и СМС-кода нужно будет указать и его.
для входа в ваш личный кабинет с нуля достаточно иметь сим карту клиента и знать номер карты либо номер договора.
То есть в случае кражи сим карты клиента, моим единственным слоем защиты может служить лишь то что не будут знать номер карты либо номер договора?
Как то вот на надежный пароль это не похоже особо. Одно из двух точно где нибудь да сольется. Фактически у нас это не хешированные два пароля на выбор.
P.S. Этой информации достаточно для установки нового и логина и пароля.
Так что с моей точки зрения у вас однофакторная авторизация с мааааленькой гипотетически существующей долей второго слоя (которую нельзя считать за присутствующую из за отсутствия хеширования, и из за того что к этим данным имеет доступ слишком большой круг лиц)