При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Речь не о SMS как технологии доставки, а о кодах в SMS, используемых в качестве фактора аутентификации. Как и TOTP.
Знание секретного пароля рушит весь твой TOTPПеревыпуск SIM-карты по "доверенности" рушит всю систему аутентификации с помощью SMS. И контролировать вы это не можете (в отличие от своего устройства с TOTP). SMS вообще для этого не предназначен.
Ключ TOTP при проблемах можно отозвать и создать новый.
MAC вообще ни при чём, об этом уже написали.
На мой взгляд, у клиентов должен быть выбор: кого устраивают коды в SMS — подключает их, кому хочется TOTP — их. Но банки у нас TOTP вообще не используют (по крайней мере мне не встречались), увы, не говоря уже о предоставлении такого выбора.
Но в обсуждаемом случае с Альфой, к сожалению, просто пароль, а не TOTP, так что размышления выше — не об этом случае, а так, в целом о технологиях аутентификации.
Перевыпустить симку можно только имея все документы. Это физическая операция. И её можно оспорить, и последующие операции в том числе.
Кража пароля - операция виртуальная.
Понятно — теоретик : )
Понятно, что ты нихрена не понял. Да, у некоторых личностей есть возможность перевыпустить карту без доков, но... Эта херня ещё проще оспаривается в суде. Я имел в виду про условно законные способы.
есть возможность перевыпустить карту без доков
Кажется, кто-то опровергает сам себя. Но обвиняет меня в том, будто я чего-то не понял : )
Эта херня ещё проще оспаривается в судеАга, прям вжух. Удачи : )
Я имел в виду про условно законные способыТочно. Преступники же как размышляют:
— Давай ограбим Александра?
— Давай! Взломаем его телефон, украдём пароль.
— Он крепкий орешек, у него SMS вторым фактором.
— Перевыпустим SIM по липовой доверенности!
— Эээ, нет, тормози! Это уже незаконно!
Л — логика 👍
Комментарий удален модератором
И как скоро кто-то найдёт этого парня, который по итогу может оказаться нанятым бомжом (если его вообще возьмутся искать)?
Это мошенничествоСогласен, преступники на это не пойдут, они ведь не станут нарушать закон.
и покрывать ВСЕ расходыАга, щас. Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? Упс. Я ж говорю — теоретик.
В любом случае твой д..б не может опровергнуть простоту кражи виртуального пароля перед перевыпуском симкиС моих устройств украсть пароли куда сложнее, чем перевыпустить мою SIM. Потому что мои устройства я контролирую, а инфраструктуру оператора — нет. Опровергни это.
По аргументам и ad hominem, в принципе, уровень понятен 🤦♂
Комментарий удален модератором
Ну докажешь ты что не перевыпускал симку? А дальше что если деньги уже пропали. Будешь ждать когда полиция поймает преступника? Ну жди, может когда-нибудь и поймают.
Вешаешь всю вину на оператора, и требуешь возмещения у него. А он пускай уже там сам разбирается и возвращает деньги у мошенников
Вообще перевыпуск сим альфа решать давно научилась. Я сам сталкивался с тем, что не смог зайти в приложение после перевыпуска сим, который я сам делал, было это 4 года назад. Замена 2х факторов на один с постоянным паролем- ухудшение безопасности, будете с этим спорить?:)
Это покуда у них есть договорённость с оператором. Её может не быть / не стать, я этого не контролирую и полностью полагаться на это не могу.
Замена 2х факторов на один с постоянным паролем- ухудшение безопасностиКонечно, ухудшение, я это уже в другой ветке говорил. В этой ветке я лишь указываю на ущербность использования SMS как технологии для аутентификации. Оно кое-как работает, и для не особо важных применений этого может и длостаточно, но в финансах риски уже перевешивают, на мой взгляд. Это как забивать молотком саморезы — в принципе, можно, но идея не самая блестящая.
Отлично! Так пусть на пуши перейдут да и все, разве нет?)
Если как второй фактор вместо SMS — то я за, где подписаться? : )
" Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? "
Господин теоретик, сходите судебную практику почитайте
Можете ознакомить , с этой самой судебной практикой?
Он уже слился с этим в ветке ниже, прикинувшись чайником Рассела — оказывается, это мы ему должны доказывать отсутствие такой практики.
Заодно разобрался бы чем отсутствие практики от несоответствия ее твоим представлениям отличается. А так видишь что получается
Но вы ведь предложили с ней ознакомиться. Уж полночь близится, а практики всё нет : ) Кажется, это что-то говорит о вашей позиции и способности её обосновать.
Конечно, это так и работает. Ты пишешь какую-то необоснованную фигню и люди бегут тебе обосновать позицию.
Давайте-ка проверим, кто пишет необоснованную фигню.
Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций?Вот на что вы изначально отвечали:
Внезапно, это даже не утверждение, это вопрос. На него вы не ответили, а предложили ознакомиться с якобы существующей практикой. Я не против, готов ознакомиться, продолжаю ждать от вас эту практику, ведь именно вы утверждаете, будто таковая существует.
Странно, я на Гугл вроде не похож.
Так на чём ваш вопрос основан, раз он обоснован?
Мой вопрос основан на природной любознательности, спасибо, что поинтересовались. Так вам есть чем подтвердить существование обсуждаемой судебной практики? Иначе получается, что вы написали необоснованную фигню?
Тяжко с природной любознательностью и забаненным в Гугле?
Моя рекомендация основана на опыте, спасибо, что поинтересовались
Напротив, очень легко, но Гугл почему-то не находит подтверждения вашим словам, как и специализированные поисковики судебных решений.
Поэтому я и обращаюсь к вашему могучему опыту: поделитесь же с нами подтверждением своих слов, иначе получается, что вы написали необоснованную фигню?
Ну да, именно так и получается, если поисковик не находит мой опыт.
Чисто из любопытства, скрин первой страницы Гугла можешь показать? Как оно у забаненных выглядит не видел никогда
Что и требовалось доказать, штош.
Гугл не открылся? Беда
Кстати, а вы в свое приложение TOTP входите разве не по "просто паролю"?
Если это не ухудшает безопасность и является opt in, не вижу проблемы.
Кстати, а вы в свое приложение TOTP входите разве не по "просто паролю"?Для начала, моё приложение для TOTP находится на другом физическом устройстве. И нет, вход туда не просто по паролю.
А вы поставьте приложение альфы на то вот физическое устройство и разницы не окажется
Готово! Решение суда, обязывающее оператора компенсировать украденное — в студию!
А вы поставьте приложение альфы на то вот физическое устройство и разницы не окажетсяТо есть вы признаёте, что TOTP позволяет добиться более безопасной конфигурации по сравнению с SMS. Но даже если я даунгрейдну конфигурацию до предлагаемой вами, у SMS всё ещё останется дополнительный неконтролируемый вектор атаки: SIM всё ещё можно перевыпустить по липовой доверенности.
Решение суда, отказывающее в требовании оператору компенсировать украденное — в студию!
.
Я признаю, что вход в TOTP по паролю происходит. А увеличение безопасности в сравнении с ним вы придумали
🤦♂️
А я думал ещё раз напишешь "то есть вы признаете, что я прав"
Давать клиенту выбор в вопросах безопасности - идея так себе и сама по себе, да и это вообще ответственность банка.
Окей, локальное TOTP.
Знание секретного пароляТам сгенерированный ключ лежит в секурном хардварном кейсторе
Имитация MAC-адреса устройстваА причем тут мак адрес?) У Альфы нет даже доступа к нему, на вскидку. По крайней мере на Android.
Да, с маком глупо вышло, уже обьяснили, что я престарелый теоретик в этом вопросе:)
не важно где лежит секурный код. Дернул секрет у пользователя сниффером и украл деньги - вот и вся криптостойкость. А альфа скажет вы сами сообщили код кому-то и пока денежки, никому ничего вы не докажете потом))
Что такое снифер и что мешает аналогично дёрнуть СМС?)
Смс дернуть можно. Только смс на каждую операцию разная, и в ней написано что за операция подтверждается, так что пользователь имеет возможность даже не вводить смс по мошеннической операции, или хотя бы заподозрить неладное.
В результате мошенникам надо не один раз украсть код, а украсть несколько кодов, либо выпытывать их социальной инженерией. Я не за смс не топлю, а за двухфакторную аутентификацию. Пуш мне кажется наиболее адекватным в соотношении безопасность/качество. Ну а что такое сниффер в гугле написано)
Смотри, на 90% там реализовано так:
* В каком-нибудь Secure Enclave лежит ключ, зашифрованный твоим паролем. Этот ключ генерируется там же и никогда не покидает его пределов.
* Этим ключом подписываются сообщения, при этом подписываются они внутри Secure Enclave.
Мне не известны SoC (что не значит, что их нет, впрочем) в которых TEE можно прочитать программно, да еще и в User Space.
Кстати таже история с биометрией - у приложения нет доступа к ней, оно может только попросить устройство провести аутентификацию и получить результат.
СМС ходят по открытым каналам, SS7 дырявый, как решето. Уже не говоря про то, что твою симку перевыпустят по доверенности/копии паспорта. А если на ней нет пина - тебе достаточно просто потерять телефон.
Пуши проходят через минимум одного промежуточного провайдера и не имеют гарантий доставки. Ну и приходят они исключительно на то устройство, на котором установлено приложение.
Не важно где лежит ключ в банке, на девайсе пользователя он вводится, юзером же генерируется (читай - слабый) и хранится где-то (читай небезопасно)) - это ДЫРИЩА в безопасности) вся защита - хеш-функция SHA-1 в этом TOTP))
Перевыпуск сим альфа умеет отлавливать, т.е. они умеют отличать перевыпущенную сим-карту от оригинальной, я сам не смог зайти в свой банк, когда перевыпускал симку! Так что перевыпуск сим ничего мошенникам не даст, только воровство оригинальной.
Чувак, вспомни свое фиаско с маком и не продолжай :)
Пин нигде не хранится, он используется для того, что бы TEE мог подписать приватным ключем сообщение в банк.
В итоге нужны:
а) Конкретное устройство (something you have),
б) ПИН/Пароль (something you know)
То есть это два честных фактора аутентификации.
Честное TOTP с отдельным устройством, безусловно, лучше. Потому что оно отдельное. Но этот вариант сложен для большинства людей. А хуже вариант, чем SMS, вообще придумать сложно. Но он прижился, потому что простой и универсальный.
Пуш на телефон тоже сомнительная. Если у меня есть доступ к твоему телефону - я автоматом получаю 100% доступ к твоему банку. Уже не говоря о том, что пуши не надежны и банки охотно дублируют их СМС.
А если тебе надо еще подтверждать что-то пином/паролем - помимо твоего девайса мне нужно еще и знать этот самый пин.
Ну на чувака я не согласен:) на моих фиаско базироваться глупо - я их стараюсь делать как можно чаще, это и есть развитие. Этот переход на личности - вообще не аргумент))
Пин будет хранится у пользователя на листочке или в заметках/мессенджере - большинство людей не в состоянии запомнить важные пароли) Я это имел в виду, а не то что он на серваках где-то хранится в доступе для кулхацкеров.
По вашей логике, раньше была трехфакторная аутентификация?))
1. Конкретный девайс
2. Пин/пароль для входа в приложение
3. Пуши/смс на подтверждение операций
Черт побери, как ни крути, уменьшение количества факторов))
По вашей логике лучше 6 факторов накрутить. Тогда, правда, никто не сможет войти, ну да и ладно.
не передергивайте, я просто не хочу ухудшения безопасности и уменьшения количества факторов банком в одностороннем порядке.
Что бы войти в приложение вам нужна 1) номер карты и 2) смс.
Если вы думаете факторов было больше - вам показалось.
вы перепутали приложение и интернет-банк. В приложении доступ до обновления был по коду/биометрии, и пуши/смс для подтверждения транзакций. А теперь просто секретный код. Ну думайте как хотите, я в 2 ветках устал вас опровергать)) ваши деньги - это ваши деньги)
Удалите приложение и попробуйте ещё раз
Я же вам по русски написал, про вход в приложку до обновления, теперь, конечно, все испортили, о том и пост)))
А я говорю про установку приложки на левое устройство по 2 факторам.
Это не переход на личности, это как раз призыв к развитию.
Ты зациклился на том, что пароль украдут и уведут все деньги. Но по факту надо еще украсть конкретное устройство и знать ПИН к нему, к симке и к приложению Альфы (если они стоят). В этом случае разница между еще одним пином и СМС отсутствует полностью. Они все равно придут на тот же самый телефон. ПИН даже безопаснее, потому что он может отличаться от других ПИНов и злоумышленник может его не знать.
Если сообщения подписываются телефоном, а не подтверждаются чем-то, что передаётся по открытым каналам, то это убирает MITM атаки, которые на SMS несколько лет назад делали все, кому не лень. Протоколы управления телефонными сетями придумывали 45 лет назад. Они дырявые и абсолютно не готовы к современному миру.
Вот не надо защищать мой телефон, я с этим без альфы справляюсь лет 20))) пусть защищают свое дырявое приложение. На симке код, телефон на пароле и пальце, текст уведомлений скрыт. Безопасность телефона не является доп фактором, она актуальна и для старого, и для нового приложения. Вы постоянно уводите в сторону от количества факторов до и после обновления. Я об этом пишу, я за смс не топлю, пусть пуши шлют, если поиздержались на смс) Ну а про митм вообще бред написали, секретный канал не делает невозможной митм-атаку. Вообще нет такого понятия невозможная атака, взламывается все, это вопрос времени на вычисления. Даже в вики написано, что TOTP взламывается митм-атакой. Хотя, строго говоря, что там TOTP, следует только из ваших слов. Вы разраб в альфе?