{"id":13760,"url":"\/distributions\/13760\/click?bit=1&hash=3388ba15c914e93bf42e7b84a842bfb878869a35e460a86df78995d13819ad04","title":"\u041f\u0440\u043e\u0434\u044e\u0441\u0435\u0440\u044b vc.ru \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442 \u0448\u0443\u043c\u043e\u0434\u0430\u0432 \u0432 \u0422\u0431\u0438\u043b\u0438\u0441\u0438","buttonText":"\u042d\u0442\u043e \u043a\u0430\u043a?","imageUuid":"bf749ef5-3154-5029-a8d8-4dcbcbfac3ff","isPaidAndBannersEnabled":false}

«Альфа-мобайл» принудительно снижает уровень безопасности в приложении

При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».

Скриншот из приложения. Окно появляется сразу после авторизации, и закрыть его невозможно.

Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".

Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.

Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".

Вопросы к банку:

1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?

2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?

3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?

0
167 комментариев
Написать комментарий...
Альфа-Банк

Здравствуйте.

Безопасность клиентов всегда была для нас одной из важных задач, поэтому сделали секретный код для дополнительной защиты клиентов.
Да, код не будет приходить в смс/пуш, т.к. придумаете и будете знать его только вы.
  
Если в приложение произойдёт вход с нового устройства, мы
отправим уведомление на все ваши устройства, которые нам известны. 
При этом новое устройство будет "недоверенным" в течение 24 часов и придуманный вами код действовать не будет. 
Посмотреть список устройств, на которых вы выполнили вход, можно в приложении: Настройки → Привязанные устройства

Подробности про секретный код, в том числе об операциях, которые можно делать с его помощью, рассказали у нас на сайт: alfabank.ru/everyday/online/sekretnyj-kod/

Ответить
Развернуть ветку
Matteos Babenko
Автор

Фиксирую неспособность сммщика Альфы ответить на 3 простых вопроса из поста.

Ответить
Развернуть ветку
Александр Кулешов

Вводить код нужно только в тех случаях, когда это определит наша интеллектуальная система безопасности. В остальных случаях достаточно просто нажать кнопку «Подтвердить».

Ребят, а вы не охуели малость??

Ответить
Развернуть ветку
Александр Трофимов

Лол. 
2010, весь мир: пароли устарели, нужна минимум двухфакторка на смс, а лучше на спец приложухах. 
2021, альфа: мы вводим пароли для безопасности! 

Ответить
Развернуть ветку
Aleksandr Starikov-Razborov

Новый универсальный код имеет в себе сбой. Только что делал перевод по номеру счета и когда в самом конце система попросила подтвердить оплату универсальным кодом, я нажал отмену. Система перервала операцию перевода, выдав ошибку. Но при последующем нажатии кнопки перевода в этом же окне, система не запросила ни универсального кода ни обычного пуша. И провела перевод мгновенно. Что кого и зачем тут защищало не ясно. 

Ответить
Развернуть ветку
2 комментария
Sergey

Сколько уже было историй с дырами в "системе безопасности" Альфы, а им всё – как с гуся вода. Очевидное решение – добавить секретный код к СМС (то есть сначала запрашивать СМС, затем секретный код для ряда рисковых операций). Это бы имело хоть какой-то смысл и было бы похоже на заботу о пользователях. Но замена переменного фактора аутентификации на ПОСТОЯННЫЙ ПРОСТОЙ ЦИФРОВОЙ пароль – это полный П. И это в эпоху внедрения биометрии как доп. фактора аутентификации (фото, видео, голос). Вроде до такого дна ещё никто не додумался?

Ответить
Развернуть ветку
19 комментариев
Традиционный Влад

А почему даже про эти (снимающие часть вопросов) особенность мы узнаем НЕ из предложения этот код включить?(и да - у меня он тоже попросил, как и у родственнников (угадайте кто им помогал(и ставил этот код) с "тут приложение непонятно что хочет не дает остаток посмотреть")

Ответить
Развернуть ветку
VS

Ответы у альфы как всегда, абсолютно бесполезные. Спросили про одно, ответили про другое.

Ответить
Развернуть ветку
Rafa Ramazanov

У вас сотрудники уже давно сливают данные, мошенники звонили один, знали многое, даже сколько у меня $ на карте 🗿🤦как так получилось ?

Ответить
Развернуть ветку
Аня Потрясова

Почитайте у них на сайте, теперь с этой ерундой можно даже счет открыть у них в банке, личность подтвердить не предъявляя паспорт.
Мне Альфа (как и многим ранее) как-то отключала смс, переведя меня на пуши с формулировкой «так это ж вы сами». Хотели экономить на смс, теперь экономят и на смс, и на пуш. 

Ответить
Развернуть ветку
Matteos Babenko
Автор

Да понятно, что дело в экономии. Но подавать это под соусом безопасности, так еще и не размещая конкретных условий пользования этими секретными кодами в приложении, по-моему, за гранью. Для меня это тоже самое, как ресторан бы оставил в меню единственную опцию "поесть" без указания, что за блюда и сколько стоят))

Ответить
Развернуть ветку
David Gasparian

Это как раз повышение уровня безопасности, по сравнению с убогой авторизацией в приложении по СМС, имея только номер карты.

Ответить
Развернуть ветку
Matteos Babenko
Автор

То есть замена двухфакторной авторизации на однофакторную - это хорошо для безопасности, я правильно понял?))

Ответить
Развернуть ветку
14 комментариев
ВиталийСемёнов

Абсолютный бред, таким образом безопасность только снижается.

Ответить
Развернуть ветку
41 комментарий
2DaysLog

Аналогичная бубуйня. @Альфа-Банк алло! Выкатывайте обновление приложения без этой хрени, срочно.

Ответить
Развернуть ветку
Характерный ключ

Так ведь код привязывается к сохраненному доверенному устройству. Если под логином кто-то зайдет с другого телефона, код не будет активен. А если отвязать устройство или привязать новое, оно станет доверенным через сутки только

Ответить
Развернуть ветку
Matteos Babenko
Автор

На первый взгляд кажется, что выдать чужое устройство за свое не то чтобы очень сложная задача, решаемая имитацией mac-адреса. Сим-карта в схеме не используется совсем, только интернет, однофакторная авторизация вместо двухфакторной. Код можно снять сниффером. Угадаете, что это значит для возможности злоумышленников получить доступ к вашим деньгам?

Ответить
Развернуть ветку
13 комментариев
Альфа-Банк

Да, именно так 👍

Ответить
Развернуть ветку
4 комментария
Енотик Полоскун

Автор топит , за тех кто ворует деньги с карт клиентов . Ваши смс и пуши , не гарантируют , что вход осуществляет сам клиент . Номер карты , узнать не проблема как и номер телефона . А код из смс и пуш подавно.
Если автор , считает , что свой личный код , не защищает личный кабинет , то по какой причине , носит с собой ключи от машины , квартиры??? Со слов автора , ключи от дома надёжнее держать под ковриком , а от машины за колесом .

Ответить
Развернуть ветку
Александр Трофимов

Вот вообще в корне неверные выводы. Автор говорит, что ключи от машины и квартиры каждый раз лучше генерировать на лету в собственном кармане. Но в отличии от кодов для приложухи, это практически нереализуемо. 
А "свой личный код" как раз эти самые пуши и смс (двухфакторка) заменили. И как же по твоему "набор символов гарантирует, что вход осуществляет сам клиент"? 

Ответить
Развернуть ветку
17 комментариев
Массовый диод

А ты правда думаешь, что TOTP менее секурно, чем SMS?)

Ответить
Развернуть ветку
Matteos Babenko
Автор

TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.

Ответить
Развернуть ветку
53 комментария
Андрей Шевчук

Здесь не TOTP, а просто пароль. Сравнить с SMS напрямую не получится, зависит от модели угроз и организации защиты информации со стороны пользователя.

Но раз уж затронули TOTP: я удивляюсь, почему эта простая и действенная технология не используется банками. Как минимум в качестве опции, альтернативы. Я бы как клиент с удовольствием с SMS на TOTP перешёл. И банку дешевле. Win-win.

Ответить
Развернуть ветку
4 комментария
Александр Кулешов

3 - никак. 2 - вывести $ из банка. 1 - хороший вопрос :) 

Ответить
Развернуть ветку
Yuri Kagan

Мне такое же прилетело, уже подал заявление на закрытие счетов.

Ответить
Развернуть ветку
Vadim Aladyshev

То есть омега, сливая базы, сольёт и коды. Даже телефон не нужен для входа. Дно пробито

Ответить
Развернуть ветку
Andrey Semenikhin

Телефон нужен, это типа "второй фактор"

Ответить
Развернуть ветку
1 комментарий
Сергей

Ой, раньше Яндекс такое чудо делал. Не помню до какого года... Так.и не смог восстановить аккаунт

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Таня С

Сначала они все зачем-то заветные три циферки печатают на картах, да так что не сотрешь. Теперь вот пароли самим надо придумывать. ТОТР? Не, не слышали.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
M S

Странно, но у меня в приложении ничего подобного не появилось.
Все так же активны push-уведомления, на днях переводила средства - код подтверждения приходил через них. 

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Anatoliy Nikulin

Двух факторная аутентификация, строится на том, что пользователь обладает двумя секретами. Логин и пароль (первый) плюс телефон и симка, или RSA брелок, или гугловский аутентификатор (второй). В итоге это хорошо работает, когда надо залогинится через Веб. Имеем связку, логин + пароль на вебе, и код на доверительном телефоне. Но как только мы ставим приложение на этот самый доверительный телефон. Вся эта богодельня по умолчанию становится однофакторной и любые смс-ки или пуши, идущие на этот самый телефон - абсолютно безполезны.
На пальцах: Если кто то получил доступ к вебу, но не имеет доступ к телефону, то сделать ничего не сможет (ибо нужен смс код). И наоборот, если кто то полуил доступ к мобильному приложению которое установленно на мобильном телефоне, то... всё, пиши пропало. 
В данном конкретном случае, Альфабанк не сделал хуже

Ответить
Развернуть ветку
Тимур Идрисов

Бред. Всё пуши приходят. Этот код нужен что бы а-ля кто другой не смог привязать другой номер телефона. Безопасность только улучшается. 

Ответить
Развернуть ветку
Mix Max

Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке? - совсем не устанавливать это поделие на смартфон не вариант?

Ответить
Развернуть ветку
Mikhail

В чате сказали можно заблокирвать, но пароль от Клика тоже сбрасывается по номеру карты и коду из SMS.

Ответить
Развернуть ветку
Читать все 167 комментариев
null