«Альфа-мобайл» принудительно снижает уровень безопасности в приложении
При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Речь не о SMS как технологии доставки, а о кодах в SMS, используемых в качестве фактора аутентификации. Как и TOTP.
Знание секретного пароля рушит весь твой TOTPПеревыпуск SIM-карты по "доверенности" рушит всю систему аутентификации с помощью SMS. И контролировать вы это не можете (в отличие от своего устройства с TOTP). SMS вообще для этого не предназначен.
Ключ TOTP при проблемах можно отозвать и создать новый.
MAC вообще ни при чём, об этом уже написали.
На мой взгляд, у клиентов должен быть выбор: кого устраивают коды в SMS — подключает их, кому хочется TOTP — их. Но банки у нас TOTP вообще не используют (по крайней мере мне не встречались), увы, не говоря уже о предоставлении такого выбора.
Но в обсуждаемом случае с Альфой, к сожалению, просто пароль, а не TOTP, так что размышления выше — не об этом случае, а так, в целом о технологиях аутентификации.
Перевыпустить симку можно только имея все документы. Это физическая операция. И её можно оспорить, и последующие операции в том числе.
Кража пароля - операция виртуальная.
Понятно — теоретик : )
Понятно, что ты нихрена не понял. Да, у некоторых личностей есть возможность перевыпустить карту без доков, но... Эта херня ещё проще оспаривается в суде. Я имел в виду про условно законные способы.
есть возможность перевыпустить карту без доков
Кажется, кто-то опровергает сам себя. Но обвиняет меня в том, будто я чего-то не понял : )
Эта херня ещё проще оспаривается в судеАга, прям вжух. Удачи : )
Я имел в виду про условно законные способыТочно. Преступники же как размышляют:
— Давай ограбим Александра?
— Давай! Взломаем его телефон, украдём пароль.
— Он крепкий орешек, у него SMS вторым фактором.
— Перевыпустим SIM по липовой доверенности!
— Эээ, нет, тормози! Это уже незаконно!
Л — логика 👍
Комментарий удален модератором
И как скоро кто-то найдёт этого парня, который по итогу может оказаться нанятым бомжом (если его вообще возьмутся искать)?
Это мошенничествоСогласен, преступники на это не пойдут, они ведь не станут нарушать закон.
и покрывать ВСЕ расходыАга, щас. Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? Упс. Я ж говорю — теоретик.
В любом случае твой д..б не может опровергнуть простоту кражи виртуального пароля перед перевыпуском симкиС моих устройств украсть пароли куда сложнее, чем перевыпустить мою SIM. Потому что мои устройства я контролирую, а инфраструктуру оператора — нет. Опровергни это.
По аргументам и ad hominem, в принципе, уровень понятен 🤦♂
Комментарий удален модератором
Ну докажешь ты что не перевыпускал симку? А дальше что если деньги уже пропали. Будешь ждать когда полиция поймает преступника? Ну жди, может когда-нибудь и поймают.
Вешаешь всю вину на оператора, и требуешь возмещения у него. А он пускай уже там сам разбирается и возвращает деньги у мошенников
Вообще перевыпуск сим альфа решать давно научилась. Я сам сталкивался с тем, что не смог зайти в приложение после перевыпуска сим, который я сам делал, было это 4 года назад. Замена 2х факторов на один с постоянным паролем- ухудшение безопасности, будете с этим спорить?:)
Это покуда у них есть договорённость с оператором. Её может не быть / не стать, я этого не контролирую и полностью полагаться на это не могу.
Замена 2х факторов на один с постоянным паролем- ухудшение безопасностиКонечно, ухудшение, я это уже в другой ветке говорил. В этой ветке я лишь указываю на ущербность использования SMS как технологии для аутентификации. Оно кое-как работает, и для не особо важных применений этого может и длостаточно, но в финансах риски уже перевешивают, на мой взгляд. Это как забивать молотком саморезы — в принципе, можно, но идея не самая блестящая.
Отлично! Так пусть на пуши перейдут да и все, разве нет?)
Если как второй фактор вместо SMS — то я за, где подписаться? : )
" Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? "
Господин теоретик, сходите судебную практику почитайте
Можете ознакомить , с этой самой судебной практикой?
Он уже слился с этим в ветке ниже, прикинувшись чайником Рассела — оказывается, это мы ему должны доказывать отсутствие такой практики.
Заодно разобрался бы чем отсутствие практики от несоответствия ее твоим представлениям отличается. А так видишь что получается
Но вы ведь предложили с ней ознакомиться. Уж полночь близится, а практики всё нет : ) Кажется, это что-то говорит о вашей позиции и способности её обосновать.
Конечно, это так и работает. Ты пишешь какую-то необоснованную фигню и люди бегут тебе обосновать позицию.
Давайте-ка проверим, кто пишет необоснованную фигню.
Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций?Вот на что вы изначально отвечали:
Внезапно, это даже не утверждение, это вопрос. На него вы не ответили, а предложили ознакомиться с якобы существующей практикой. Я не против, готов ознакомиться, продолжаю ждать от вас эту практику, ведь именно вы утверждаете, будто таковая существует.
Странно, я на Гугл вроде не похож.
Так на чём ваш вопрос основан, раз он обоснован?
Мой вопрос основан на природной любознательности, спасибо, что поинтересовались. Так вам есть чем подтвердить существование обсуждаемой судебной практики? Иначе получается, что вы написали необоснованную фигню?
Тяжко с природной любознательностью и забаненным в Гугле?
Моя рекомендация основана на опыте, спасибо, что поинтересовались
Напротив, очень легко, но Гугл почему-то не находит подтверждения вашим словам, как и специализированные поисковики судебных решений.
Поэтому я и обращаюсь к вашему могучему опыту: поделитесь же с нами подтверждением своих слов, иначе получается, что вы написали необоснованную фигню?
Ну да, именно так и получается, если поисковик не находит мой опыт.
Чисто из любопытства, скрин первой страницы Гугла можешь показать? Как оно у забаненных выглядит не видел никогда
Что и требовалось доказать, штош.
Гугл не открылся? Беда
Кстати, а вы в свое приложение TOTP входите разве не по "просто паролю"?
Если это не ухудшает безопасность и является opt in, не вижу проблемы.
Кстати, а вы в свое приложение TOTP входите разве не по "просто паролю"?Для начала, моё приложение для TOTP находится на другом физическом устройстве. И нет, вход туда не просто по паролю.
А вы поставьте приложение альфы на то вот физическое устройство и разницы не окажется
Готово! Решение суда, обязывающее оператора компенсировать украденное — в студию!
А вы поставьте приложение альфы на то вот физическое устройство и разницы не окажетсяТо есть вы признаёте, что TOTP позволяет добиться более безопасной конфигурации по сравнению с SMS. Но даже если я даунгрейдну конфигурацию до предлагаемой вами, у SMS всё ещё останется дополнительный неконтролируемый вектор атаки: SIM всё ещё можно перевыпустить по липовой доверенности.
Решение суда, отказывающее в требовании оператору компенсировать украденное — в студию!
.
Я признаю, что вход в TOTP по паролю происходит. А увеличение безопасности в сравнении с ним вы придумали
🤦♂️
А я думал ещё раз напишешь "то есть вы признаете, что я прав"
Давать клиенту выбор в вопросах безопасности - идея так себе и сама по себе, да и это вообще ответственность банка.