«Альфа-мобайл» принудительно снижает уровень безопасности в приложении
При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
Здравствуйте.
Безопасность клиентов всегда была для нас одной из важных задач, поэтому сделали секретный код для дополнительной защиты клиентов.
Да, код не будет приходить в смс/пуш, т.к. придумаете и будете знать его только вы.
Если в приложение произойдёт вход с нового устройства, мы
отправим уведомление на все ваши устройства, которые нам известны.
При этом новое устройство будет "недоверенным" в течение 24 часов и придуманный вами код действовать не будет.
Посмотреть список устройств, на которых вы выполнили вход, можно в приложении: Настройки → Привязанные устройства
Подробности про секретный код, в том числе об операциях, которые можно делать с его помощью, рассказали у нас на сайт: alfabank.ru/everyday/online/sekretnyj-kod/
Сколько уже было историй с дырами в "системе безопасности" Альфы, а им всё – как с гуся вода. Очевидное решение – добавить секретный код к СМС (то есть сначала запрашивать СМС, затем секретный код для ряда рисковых операций). Это бы имело хоть какой-то смысл и было бы похоже на заботу о пользователях. Но замена переменного фактора аутентификации на ПОСТОЯННЫЙ ПРОСТОЙ ЦИФРОВОЙ пароль – это полный П. И это в эпоху внедрения биометрии как доп. фактора аутентификации (фото, видео, голос). Вроде до такого дна ещё никто не додумался?
Фактор аутентификации - наличие у вас телефона. Проверять через СМС, пуш или доверенное приложение - разница не велика.
Строго говоря, смс отдельный фактор. Смс может быть настроено на другой телефон и другую сим-карту, отличную от девайса с приложением. Если принять наличие телефона за фактор, то мы меняем трехфакторную (телефон, пароль входа/палец, пуши/смс) на двухфакторную (телефон, пароль), в которой оба фактора постоянны. Где же тут улучшение безопасности, которое мне обещали на скриншоте?
Строго говоря смс проверяет наличие не телефона, а симки. Вместо телефона. Все ещё 2 фактора. 3 фактора проверяют обычно банки только при переводах в миллион+, остальное считают избыточным.
Что такое "постоянный фактор" я не очень понимаю.
Симку выпустить на стороне можно без вашего ведома. Пароль вы контролируете. В этом улучшение.
Начну опровергать вас с конца :)
Перевыпущенная сим и старая сим - это разные сим для альфы. Попробуйте сами получить дубликат у оператора и с ним зайти в приложение - у вас ничего не выйдет, я через это проходил в альфе еще 4 года назад. Не вижу добавления безопасности.
Постоянный фактор - это я имел в виду, что секрет неизменный, то есть вы одним паролем подтверждаете разные транзакции, это сильно упрощает взлом, МИТМ-атаку в частности.
Попробую сказать по-другому, смс/пуш подтверждает одну КОНКРЕТНУЮ транзакцию, а пароль - какую угодно. В смс/пуше есть инфа о транзакции, можно увидеть что за операция и не подтверждать ее, пароль подтверждает любую безусловно. С точки зрения социальной инженерии все стало только хуже - выпытал один код на свое "новое" устройство, подключился и творишь что хочешь со счетом жертвы)) вместо необходимости доставать код на каждую отдельную транзакцию. При этом компрометация отдельной смс/пуша ничего плохого не сулит пользователю. Кроме кода из нее, злоумышленнику нужна возможность зайти в приложение и натыкать там свою транзакцию, и уже на нее спереть заветный код. Сложнее!
То есть компрометация пуша/смс и постоянного пароля заведомо не равны по последствиям.
Пароль придумывает пользователь - он заведомо слабый. За сохранность пароля тоже отвечает пользователь, а не банк. То есть банк переложил риски на пользователя, он в любой ситуации скажет правильный код ввели, сами виноваты, и сьедет с ответственности)) А если вы пропадете со связи более чем на сутки, то любое устройство мошенника за это время может стать доверенным, и может отправлять платежи, это тоже улучшение безопасности?
"Перевыпущенная сим и старая сим - это разные сим для альфы." - это требует отдельного соглашения и, думаю, не работает за пределами большой четверки. Так что не смотря на якобы победу, на фоне шанса остаться на сутки без связи - все ещё шансы попасть ужасно велики.
"одним паролем подтверждаете разные транзакции, это сильно упрощает взлом, МИТМ-атаку в частности." - простите, а митм при входе в приложение - это вообще как?
"выпытал один код на свое "новое" устройство, подключился и творишь что хочешь со счетом жертвы)) вместо необходимости доставать код на каждую отдельную транзакцию. При этом компрометация отдельной смс/пуша ничего плохого не сулит" - если вы готовы рассказывать незнакомым дядям коды, то перспективы у вас изначально плохие. У вас просто с карты деньги уведут, без этих сложностей.
"Пароль придумывает пользователь - он заведомо слабый" - пин-код придумывает банк, он заведомо сильный?
"А если вы пропадете со связи более чем на сутки" - боюсь с прошлого тысячелетия такого со мной не случалось. Федору конюхову, наверное, не стоит в альфе деньги хранить, остальным 7 млрд человек пофиг. Хотя, с другой стороны, как у Федора конюхова подглядеть пароль - тоже вопрос.
"Так что не смотря на якобы победу, на фоне шанса остаться на сутки без связи - все ещё шансы попасть ужасно велики."
Лишь ваши домыслы и ноль аргументов. Или вы все-таки говорите о том, что с новым подходом альфы с этими сутками на подтверждение можно реально попасть на бабло?
"простите, а митм при входе в приложение - это вообще как?"
не знаю, я об этом не писал, перечитайте оригинал
"если вы готовы рассказывать незнакомым дядям коды, то перспективы у вас изначально плохие. У вас просто с карты деньги уведут, без этих сложностей."
Я не про себя, а про рядового пользователя. Социальной инженерией поймать можно любого, если попасть в подходящий момент, когда человек устал, не в себе и т.п.
"боюсь с прошлого тысячелетия такого со мной не случалось."
Не знаю, почему-то при поездке в горы нет сигнала. Да даже в деревню и лес. А иногда люди внезапно в больницы попадают. Но только в глазах альфы пользователь всегда бодр, свеж, здоров, никому не говорит код и всегда на связи))
"Лишь ваши домыслы и ноль аргументов" - попробуйте дописывать это к каждому своему "заведомо слабый". Кстати, этот прием в демагогии называется называется "апелляция к очевидности".
То есть МИТМ к нашей ситуации не относится, и постоянство фактора взлом приложения не упрощает?
В деревне и лесу сигнал у меня тоже был. Но леса у меня неправильные, бывают другие, согласен. Но что бы злоумышленнику узнать что вы туда собрались, видимо, нужен ещё свой человек в больнице. Который при этом не залезет к вам за картой и телефонном. Но пароль вы ему расскажете перед тем, как в кому впасть.
Я вот правда не понимаю какой ряд чудес должен произойти ОДНОВРЕМЕННО, что бы получить доступ к счету, когда вы сутки не на связи.
Я с вами общаться прекращаю, вы мои вопросы последовательно игнорируете в каждом сообщении))
Вы таки всерьез ждали ответ на "Или вы все-таки говорите о том, что с новым подходом альфы с этими сутками на подтверждение можно реально попасть на бабло?"? А то других вопросов в сообщении не вижу.
Слились и слились, зачем оправдания так натужно придумывать
Ну, его можно понять, разговор с умственно отсталыми - задача не из лёгких.
Да это засланный казачок. Спорит и уводит в сторону от главного, плюсует банк, лишь бы выставить меня дураком. Похоже, альфа целых 3 человек отрядила в эту ветку)
Похоже, банковские ручные болонки вырвались из вольера banki.ru)
Я, пожалуй, тоже с тобой разговаривать не буду. Ты мои вопросы игнорируешь,
-это требует отдельного соглашения и, думаю, не работает за пределами большой четверки.
Да что за бред ты вообще несешь?
У сим карт существуют другие идентификатор, помимо номера телефона, например, iccid. Дубль снимки для нормального банка не сработает. Какого "отдельного соглашения" это требует?
iccid ты как узнаешь?
А МНЕ то он нахрена?
Боже...
То есть ты не знаешь, а банк, конечно, знает. Океюшки
Ты, видимо, с первого раза не понял, что юзеру не обязательно.
У тебя пошли черезчур слабые вскукареки, видимо, от обиды.
Не интересно.
Ты ещё здесь? Я думал ты не ушёл ещё признав что не знаешь где iccid брать