При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Речь не о SMS как технологии доставки, а о кодах в SMS, используемых в качестве фактора аутентификации. Как и TOTP.
Знание секретного пароля рушит весь твой TOTPПеревыпуск SIM-карты по "доверенности" рушит всю систему аутентификации с помощью SMS. И контролировать вы это не можете (в отличие от своего устройства с TOTP). SMS вообще для этого не предназначен.
Ключ TOTP при проблемах можно отозвать и создать новый.
MAC вообще ни при чём, об этом уже написали.
На мой взгляд, у клиентов должен быть выбор: кого устраивают коды в SMS — подключает их, кому хочется TOTP — их. Но банки у нас TOTP вообще не используют (по крайней мере мне не встречались), увы, не говоря уже о предоставлении такого выбора.
Но в обсуждаемом случае с Альфой, к сожалению, просто пароль, а не TOTP, так что размышления выше — не об этом случае, а так, в целом о технологиях аутентификации.
Перевыпустить симку можно только имея все документы. Это физическая операция. И её можно оспорить, и последующие операции в том числе.
Кража пароля - операция виртуальная.
Понятно — теоретик : )
Понятно, что ты нихрена не понял. Да, у некоторых личностей есть возможность перевыпустить карту без доков, но... Эта херня ещё проще оспаривается в суде. Я имел в виду про условно законные способы.
есть возможность перевыпустить карту без доков
Кажется, кто-то опровергает сам себя. Но обвиняет меня в том, будто я чего-то не понял : )
Эта херня ещё проще оспаривается в судеАга, прям вжух. Удачи : )
Я имел в виду про условно законные способыТочно. Преступники же как размышляют:
— Давай ограбим Александра?
— Давай! Взломаем его телефон, украдём пароль.
— Он крепкий орешек, у него SMS вторым фактором.
— Перевыпустим SIM по липовой доверенности!
— Эээ, нет, тормози! Это уже незаконно!
Л — логика 👍
Комментарий удален модератором
И как скоро кто-то найдёт этого парня, который по итогу может оказаться нанятым бомжом (если его вообще возьмутся искать)?
Это мошенничествоСогласен, преступники на это не пойдут, они ведь не станут нарушать закон.
и покрывать ВСЕ расходыАга, щас. Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? Упс. Я ж говорю — теоретик.
В любом случае твой д..б не может опровергнуть простоту кражи виртуального пароля перед перевыпуском симкиС моих устройств украсть пароли куда сложнее, чем перевыпустить мою SIM. Потому что мои устройства я контролирую, а инфраструктуру оператора — нет. Опровергни это.
По аргументам и ad hominem, в принципе, уровень понятен 🤦♂
Вообще перевыпуск сим альфа решать давно научилась. Я сам сталкивался с тем, что не смог зайти в приложение после перевыпуска сим, который я сам делал, было это 4 года назад. Замена 2х факторов на один с постоянным паролем- ухудшение безопасности, будете с этим спорить?:)
Это покуда у них есть договорённость с оператором. Её может не быть / не стать, я этого не контролирую и полностью полагаться на это не могу.
Замена 2х факторов на один с постоянным паролем- ухудшение безопасностиКонечно, ухудшение, я это уже в другой ветке говорил. В этой ветке я лишь указываю на ущербность использования SMS как технологии для аутентификации. Оно кое-как работает, и для не особо важных применений этого может и длостаточно, но в финансах риски уже перевешивают, на мой взгляд. Это как забивать молотком саморезы — в принципе, можно, но идея не самая блестящая.
Отлично! Так пусть на пуши перейдут да и все, разве нет?)
Если как второй фактор вместо SMS — то я за, где подписаться? : )