«Альфа-мобайл» принудительно снижает уровень безопасности в приложении
При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
Здесь не TOTP, а просто пароль. Сравнить с SMS напрямую не получится, зависит от модели угроз и организации защиты информации со стороны пользователя.
Но раз уж затронули TOTP: я удивляюсь, почему эта простая и действенная технология не используется банками. Как минимум в качестве опции, альтернативы. Я бы как клиент с удовольствием с SMS на TOTP перешёл. И банку дешевле. Win-win.
Потому что есть атака человек посередине, которой можно этот TOTP взломать, нет?)
MITM для TOTP куда сложнее, чем для SMS. А в условиях, когда ваше устройство скомпрометировано, вам и SMS не поможет. К тому же TOTP после первоначальной настройки может использоваться полностью оффлайн на контролируемом вами устройстве, что радикально снижает шансы успешной атаки.
Смс - один из факторов. Пусть на пуши целиком перейдут. Секретный пароль на входе давно уже есть, доверяющие альфе биометрию меняют его на пальчик при входе в приложение. Два фактора. Один постоянный пароль вместо двух факторов - это ухудшение безопасности, даже если сам фактор представлен totp. Мошенникам с симкой вообще париться не надо теперь))
С этим согласен, пуши безопаснее СМС, а один фактор (пароль) хуже двух (пароль + TOTP/SMS/push).