При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
Автор топит , за тех кто ворует деньги с карт клиентов . Ваши смс и пуши , не гарантируют , что вход осуществляет сам клиент . Номер карты , узнать не проблема как и номер телефона . А код из смс и пуш подавно.
Если автор , считает , что свой личный код , не защищает личный кабинет , то по какой причине , носит с собой ключи от машины , квартиры??? Со слов автора , ключи от дома надёжнее держать под ковриком , а от машины за колесом .
Вот вообще в корне неверные выводы. Автор говорит, что ключи от машины и квартиры каждый раз лучше генерировать на лету в собственном кармане. Но в отличии от кодов для приложухи, это практически нереализуемо.
А "свой личный код" как раз эти самые пуши и смс (двухфакторка) заменили. И как же по твоему "набор символов гарантирует, что вход осуществляет сам клиент"?
Сами хоть понимаете, что пишите? Любой сгенерированный вами код можно перехватить.
Мною сказано что для первичного входа с нового или другого устройства вводить свой личный код , который нигде не генерируется.
Я как понял , ты ещё одни парламентёр со стороны воров денег со счетов клиентов.
Эмм. Перехватить смс? Ну давай, расскажи мне как это сделать без симки-дублера, которую надо еще получить. А "своим личным кодом" в данном случае как раз является номер телефона.
Да, определенно, особо продвинутые мошенники могут устроить перехват смс для определенной жертвы, но ею точно будешь не ты, и не рандомная бабушка с ее пенсией. Мороки и палева слишком много.
В одном случае - доступ к коммутатору (дорого), в другом - всего 16 баксов.
И где эта атака? Май уже прошел, но что-то интернет не пестрит жалобами. Наверно дыру быстро залатали?
Журналистская дичь, sakari обычный сервис рассылки, не позволяет перехватить входящие смс никак
Автор говорит, что ключи от машины лучше каждый раз почтой (обычной, которая с конвертиками) присылать, чем хранить их в не взламываемом сейфе, от которого ты знаешь код.
Брелок от машины генерит новый код каждый раз, если что. От его воровства это не спасёт
Чувак не про брелок говорит, а именно про железячные ключи и про "надежность" оных. Про безключевой доступ и сигналку я в курсе. Сталкивался с came в хобби "ардуинщика".
А мы тут как раз говорим про то, что потеряв их, считай, как пароль - можно открыть объект. Но вот если бы ключи каждый раз генерились именно в кармане твоих брюк - украсть брюки куда сложнее.
А пробовали ключ к брюкам верёвочкой пристегнуть? Сделать кражу ключа сложной как кражу брюк - вообще не сложно же.
Сложность возрастет только на наличие 100-рублевых кусачек у каждого вора, коих мало... При этом юзабилити самих ключей уменьшится в разы.
И речь вообще не об этом. Речь о проблеме низкой сложности однофакторной аутентификации перед двухфакторной.
А брюки снять вам нужны какие-то более дорогостоящие приборы?
Юзабилити уменьшится и при генерации ключей, не говорите что вам нравится циферки перебивать из смс.
И нет, генерация против статики сама по себе не добавляет фактора.
Эмм. Да. Злоумышленнику сложнее с меня снять брюки. Я только при покупке новых брюк и на пляже брюки снимаю.
Генерация кода даже через смс на порядок повышает сложность взлома не на стоимость 100р кусачек, а в первую очередь на знания большего количества информации.
Я по секрету скажу, но дверь в любую квартиру открывать за менее минуты научиться - дело месяца. Только с такими знаниями, если будешь беспорядочно двери открывать - быстро поймают, да и уже на белом рынке можно неплохо зарабатывать.
А я ключи из кармана достаю только когда летние штаны на зимние меняю. И то в руках держу.
Как как говорите, Генерация кода даже через смс на порядок повышает сложность взлома потому, что генерация кода даже через смс на порядок повышает сложность взлома? Ну, убедительно.
К чему про взлом квартиры я не понял, что количество факторов значения все равно не имеет?
Ключи из кармана стянуть можно, а стянуть сам "карман" уже не получится. А если карман еще и под своим паролем, сброс которого отменит генерацию ключей...
Ну раз вы так пишите, то в вашей аналоги - да. А вообще нет.
Карман под паролем - это в этой аналоги новое приложение альфы, видимо?
"Карман, генерирующий ключи на лету под паролем" - это, как раз, мобила как второй фактор.
И вся эта ветка и тема посвящена как раз таки двухфакторке, от которой альфа отказалась, но до кого-то не доходит никак...
Ну, попробуйте тогда войти без мобилки в мобильное приложение. Как получится - скажете