При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Окей, локальное TOTP.
Знание секретного пароляТам сгенерированный ключ лежит в секурном хардварном кейсторе
Имитация MAC-адреса устройстваА причем тут мак адрес?) У Альфы нет даже доступа к нему, на вскидку. По крайней мере на Android.
Да, с маком глупо вышло, уже обьяснили, что я престарелый теоретик в этом вопросе:)
не важно где лежит секурный код. Дернул секрет у пользователя сниффером и украл деньги - вот и вся криптостойкость. А альфа скажет вы сами сообщили код кому-то и пока денежки, никому ничего вы не докажете потом))
Что такое снифер и что мешает аналогично дёрнуть СМС?)
Смс дернуть можно. Только смс на каждую операцию разная, и в ней написано что за операция подтверждается, так что пользователь имеет возможность даже не вводить смс по мошеннической операции, или хотя бы заподозрить неладное.
В результате мошенникам надо не один раз украсть код, а украсть несколько кодов, либо выпытывать их социальной инженерией. Я не за смс не топлю, а за двухфакторную аутентификацию. Пуш мне кажется наиболее адекватным в соотношении безопасность/качество. Ну а что такое сниффер в гугле написано)
Смотри, на 90% там реализовано так:
* В каком-нибудь Secure Enclave лежит ключ, зашифрованный твоим паролем. Этот ключ генерируется там же и никогда не покидает его пределов.
* Этим ключом подписываются сообщения, при этом подписываются они внутри Secure Enclave.
Мне не известны SoC (что не значит, что их нет, впрочем) в которых TEE можно прочитать программно, да еще и в User Space.
Кстати таже история с биометрией - у приложения нет доступа к ней, оно может только попросить устройство провести аутентификацию и получить результат.
СМС ходят по открытым каналам, SS7 дырявый, как решето. Уже не говоря про то, что твою симку перевыпустят по доверенности/копии паспорта. А если на ней нет пина - тебе достаточно просто потерять телефон.
Пуши проходят через минимум одного промежуточного провайдера и не имеют гарантий доставки. Ну и приходят они исключительно на то устройство, на котором установлено приложение.
Не важно где лежит ключ в банке, на девайсе пользователя он вводится, юзером же генерируется (читай - слабый) и хранится где-то (читай небезопасно)) - это ДЫРИЩА в безопасности) вся защита - хеш-функция SHA-1 в этом TOTP))
Перевыпуск сим альфа умеет отлавливать, т.е. они умеют отличать перевыпущенную сим-карту от оригинальной, я сам не смог зайти в свой банк, когда перевыпускал симку! Так что перевыпуск сим ничего мошенникам не даст, только воровство оригинальной.
Чувак, вспомни свое фиаско с маком и не продолжай :)
Пин нигде не хранится, он используется для того, что бы TEE мог подписать приватным ключем сообщение в банк.
В итоге нужны:
а) Конкретное устройство (something you have),
б) ПИН/Пароль (something you know)
То есть это два честных фактора аутентификации.
Честное TOTP с отдельным устройством, безусловно, лучше. Потому что оно отдельное. Но этот вариант сложен для большинства людей. А хуже вариант, чем SMS, вообще придумать сложно. Но он прижился, потому что простой и универсальный.
Пуш на телефон тоже сомнительная. Если у меня есть доступ к твоему телефону - я автоматом получаю 100% доступ к твоему банку. Уже не говоря о том, что пуши не надежны и банки охотно дублируют их СМС.
А если тебе надо еще подтверждать что-то пином/паролем - помимо твоего девайса мне нужно еще и знать этот самый пин.
Ну на чувака я не согласен:) на моих фиаско базироваться глупо - я их стараюсь делать как можно чаще, это и есть развитие. Этот переход на личности - вообще не аргумент))
Пин будет хранится у пользователя на листочке или в заметках/мессенджере - большинство людей не в состоянии запомнить важные пароли) Я это имел в виду, а не то что он на серваках где-то хранится в доступе для кулхацкеров.
По вашей логике, раньше была трехфакторная аутентификация?))
1. Конкретный девайс
2. Пин/пароль для входа в приложение
3. Пуши/смс на подтверждение операций
Черт побери, как ни крути, уменьшение количества факторов))
По вашей логике лучше 6 факторов накрутить. Тогда, правда, никто не сможет войти, ну да и ладно.
не передергивайте, я просто не хочу ухудшения безопасности и уменьшения количества факторов банком в одностороннем порядке.
Что бы войти в приложение вам нужна 1) номер карты и 2) смс.
Если вы думаете факторов было больше - вам показалось.
вы перепутали приложение и интернет-банк. В приложении доступ до обновления был по коду/биометрии, и пуши/смс для подтверждения транзакций. А теперь просто секретный код. Ну думайте как хотите, я в 2 ветках устал вас опровергать)) ваши деньги - это ваши деньги)
Удалите приложение и попробуйте ещё раз
Я же вам по русски написал, про вход в приложку до обновления, теперь, конечно, все испортили, о том и пост)))
А я говорю про установку приложки на левое устройство по 2 факторам.