Мне не понятно одно - почему отказываются от пароля? Даже если пароль формально и есть, то какой в нем смысл, если его можно дистанционно восстановить через смс или пуш?
СМС я не могу считать даже одним полноценным фактором. Дело в том, что смски априори проходят через третьих лиц и невозможно гарантировать их безопасность. Т.е. этот фактор защиты, считаю, может быть лишь дополнительным, но никак не основным.
Другое дело - пароль. Пароль знаю только я. Даже админ в банке, имея полный доступ к базе данных, не может узнать пароль, т.к. там хранится не он сам, а его хэш.
Таким образом от банков требуется обеспечить хотя бы обязательный минимум из четырех пунктов (без возможности восстановления одного через другой): 1) логин/пароль - основной фактор, 2) смс/пуш - дополнительный фактор, 3) Внятный текст в СМСке, из которого однозначно следует суть производимой операции. 4) Если уж считать СМС как цифровую подпись, то подисываться СМСкой должна КАЖДАЯ операция, сопровождающаяся соответствующим текстом в СМС. А не только подтверждением входа, а дальше... делай, что хочешь...
Но увы... такое было в прошлом и сейчас осталось у юрлиц.
Поэтому я свел к минимуму использование цифровых банковских продуктов.
ахха-))) А вы видели, где у втб этот пароль????-) А я вам сейчас расскажу. Приходите вы в втб, вот как я, в 2016 году. И говорите: втб, дай дебетовку. ВТБ берет паспорт, заполняет заявление, вбивает туда данные, распечатывает это заявление вам на подпись. А на заглавной страничке заявления в пункте "информация о договоре" вписан УНК (уникальный номер клиента), он же пароль, сгенерированный банком!!!! Он прям реально на главной странице, на первой, состоит он из 8 цифр! У меня так, вот лежит передо мной. То есть любой! Любой сотрудник втб, у кого есть доступ к этим заявлениям, знает ваш этот пароль, понимаете?
Мне не понятно одно - почему отказываются от пароля?
Даже если пароль формально и есть, то какой в нем смысл, если его можно дистанционно восстановить через смс или пуш?
СМС я не могу считать даже одним полноценным фактором. Дело в том, что смски априори проходят через третьих лиц и невозможно гарантировать их безопасность. Т.е. этот фактор защиты, считаю, может быть лишь дополнительным, но никак не основным.
Другое дело - пароль. Пароль знаю только я. Даже админ в банке, имея полный доступ к базе данных, не может узнать пароль, т.к. там хранится не он сам, а его хэш.
Таким образом от банков требуется обеспечить хотя бы обязательный минимум из четырех пунктов (без возможности восстановления одного через другой):
1) логин/пароль - основной фактор,
2) смс/пуш - дополнительный фактор,
3) Внятный текст в СМСке, из которого однозначно следует суть производимой операции.
4) Если уж считать СМС как цифровую подпись, то подисываться СМСкой должна КАЖДАЯ операция, сопровождающаяся соответствующим текстом в СМС. А не только подтверждением входа, а дальше... делай, что хочешь...
Но увы... такое было в прошлом и сейчас осталось у юрлиц.
Поэтому я свел к минимуму использование цифровых банковских продуктов.
ахха-)))
А вы видели, где у втб этот пароль????-)
А я вам сейчас расскажу.
Приходите вы в втб, вот как я, в 2016 году. И говорите: втб, дай дебетовку. ВТБ берет паспорт, заполняет заявление, вбивает туда данные, распечатывает это заявление вам на подпись.
А на заглавной страничке заявления в пункте "информация о договоре" вписан УНК (уникальный номер клиента), он же пароль, сгенерированный банком!!!! Он прям реально на главной странице, на первой, состоит он из 8 цифр! У меня так, вот лежит передо мной.
То есть любой! Любой сотрудник втб, у кого есть доступ к этим заявлениям, знает ваш этот пароль, понимаете?
Поддерживаю вас 💯