«Альфа-мобайл» принудительно снижает уровень безопасности в приложении
При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Речь не о SMS как технологии доставки, а о кодах в SMS, используемых в качестве фактора аутентификации. Как и TOTP.
Знание секретного пароля рушит весь твой TOTPПеревыпуск SIM-карты по "доверенности" рушит всю систему аутентификации с помощью SMS. И контролировать вы это не можете (в отличие от своего устройства с TOTP). SMS вообще для этого не предназначен.
Ключ TOTP при проблемах можно отозвать и создать новый.
MAC вообще ни при чём, об этом уже написали.
На мой взгляд, у клиентов должен быть выбор: кого устраивают коды в SMS — подключает их, кому хочется TOTP — их. Но банки у нас TOTP вообще не используют (по крайней мере мне не встречались), увы, не говоря уже о предоставлении такого выбора.
Но в обсуждаемом случае с Альфой, к сожалению, просто пароль, а не TOTP, так что размышления выше — не об этом случае, а так, в целом о технологиях аутентификации.
Кстати, а вы в свое приложение TOTP входите разве не по "просто паролю"?
Если это не ухудшает безопасность и является opt in, не вижу проблемы.
Кстати, а вы в свое приложение TOTP входите разве не по "просто паролю"?Для начала, моё приложение для TOTP находится на другом физическом устройстве. И нет, вход туда не просто по паролю.
А вы поставьте приложение альфы на то вот физическое устройство и разницы не окажется
Готово! Решение суда, обязывающее оператора компенсировать украденное — в студию!
А вы поставьте приложение альфы на то вот физическое устройство и разницы не окажетсяТо есть вы признаёте, что TOTP позволяет добиться более безопасной конфигурации по сравнению с SMS. Но даже если я даунгрейдну конфигурацию до предлагаемой вами, у SMS всё ещё останется дополнительный неконтролируемый вектор атаки: SIM всё ещё можно перевыпустить по липовой доверенности.
Решение суда, отказывающее в требовании оператору компенсировать украденное — в студию!
.
Я признаю, что вход в TOTP по паролю происходит. А увеличение безопасности в сравнении с ним вы придумали
🤦♂️
А я думал ещё раз напишешь "то есть вы признаете, что я прав"