При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Окей, локальное TOTP.
Знание секретного пароляТам сгенерированный ключ лежит в секурном хардварном кейсторе
Имитация MAC-адреса устройстваА причем тут мак адрес?) У Альфы нет даже доступа к нему, на вскидку. По крайней мере на Android.
Да, с маком глупо вышло, уже обьяснили, что я престарелый теоретик в этом вопросе:)
не важно где лежит секурный код. Дернул секрет у пользователя сниффером и украл деньги - вот и вся криптостойкость. А альфа скажет вы сами сообщили код кому-то и пока денежки, никому ничего вы не докажете потом))
Что такое снифер и что мешает аналогично дёрнуть СМС?)
Смс дернуть можно. Только смс на каждую операцию разная, и в ней написано что за операция подтверждается, так что пользователь имеет возможность даже не вводить смс по мошеннической операции, или хотя бы заподозрить неладное.
В результате мошенникам надо не один раз украсть код, а украсть несколько кодов, либо выпытывать их социальной инженерией. Я не за смс не топлю, а за двухфакторную аутентификацию. Пуш мне кажется наиболее адекватным в соотношении безопасность/качество. Ну а что такое сниффер в гугле написано)
Смотри, на 90% там реализовано так:
* В каком-нибудь Secure Enclave лежит ключ, зашифрованный твоим паролем. Этот ключ генерируется там же и никогда не покидает его пределов.
* Этим ключом подписываются сообщения, при этом подписываются они внутри Secure Enclave.
Мне не известны SoC (что не значит, что их нет, впрочем) в которых TEE можно прочитать программно, да еще и в User Space.
Кстати таже история с биометрией - у приложения нет доступа к ней, оно может только попросить устройство провести аутентификацию и получить результат.
СМС ходят по открытым каналам, SS7 дырявый, как решето. Уже не говоря про то, что твою симку перевыпустят по доверенности/копии паспорта. А если на ней нет пина - тебе достаточно просто потерять телефон.
Пуши проходят через минимум одного промежуточного провайдера и не имеют гарантий доставки. Ну и приходят они исключительно на то устройство, на котором установлено приложение.
Не важно где лежит ключ в банке, на девайсе пользователя он вводится, юзером же генерируется (читай - слабый) и хранится где-то (читай небезопасно)) - это ДЫРИЩА в безопасности) вся защита - хеш-функция SHA-1 в этом TOTP))
Перевыпуск сим альфа умеет отлавливать, т.е. они умеют отличать перевыпущенную сим-карту от оригинальной, я сам не смог зайти в свой банк, когда перевыпускал симку! Так что перевыпуск сим ничего мошенникам не даст, только воровство оригинальной.
Чувак, вспомни свое фиаско с маком и не продолжай :)
Пин нигде не хранится, он используется для того, что бы TEE мог подписать приватным ключем сообщение в банк.
В итоге нужны:
а) Конкретное устройство (something you have),
б) ПИН/Пароль (something you know)
То есть это два честных фактора аутентификации.
Честное TOTP с отдельным устройством, безусловно, лучше. Потому что оно отдельное. Но этот вариант сложен для большинства людей. А хуже вариант, чем SMS, вообще придумать сложно. Но он прижился, потому что простой и универсальный.
Пуш на телефон тоже сомнительная. Если у меня есть доступ к твоему телефону - я автоматом получаю 100% доступ к твоему банку. Уже не говоря о том, что пуши не надежны и банки охотно дублируют их СМС.
А если тебе надо еще подтверждать что-то пином/паролем - помимо твоего девайса мне нужно еще и знать этот самый пин.
Ну на чувака я не согласен:) на моих фиаско базироваться глупо - я их стараюсь делать как можно чаще, это и есть развитие. Этот переход на личности - вообще не аргумент))
Пин будет хранится у пользователя на листочке или в заметках/мессенджере - большинство людей не в состоянии запомнить важные пароли) Я это имел в виду, а не то что он на серваках где-то хранится в доступе для кулхацкеров.
По вашей логике, раньше была трехфакторная аутентификация?))
1. Конкретный девайс
2. Пин/пароль для входа в приложение
3. Пуши/смс на подтверждение операций
Черт побери, как ни крути, уменьшение количества факторов))
Это не переход на личности, это как раз призыв к развитию.
Ты зациклился на том, что пароль украдут и уведут все деньги. Но по факту надо еще украсть конкретное устройство и знать ПИН к нему, к симке и к приложению Альфы (если они стоят). В этом случае разница между еще одним пином и СМС отсутствует полностью. Они все равно придут на тот же самый телефон. ПИН даже безопаснее, потому что он может отличаться от других ПИНов и злоумышленник может его не знать.
Если сообщения подписываются телефоном, а не подтверждаются чем-то, что передаётся по открытым каналам, то это убирает MITM атаки, которые на SMS несколько лет назад делали все, кому не лень. Протоколы управления телефонными сетями придумывали 45 лет назад. Они дырявые и абсолютно не готовы к современному миру.
Вот не надо защищать мой телефон, я с этим без альфы справляюсь лет 20))) пусть защищают свое дырявое приложение. На симке код, телефон на пароле и пальце, текст уведомлений скрыт. Безопасность телефона не является доп фактором, она актуальна и для старого, и для нового приложения. Вы постоянно уводите в сторону от количества факторов до и после обновления. Я об этом пишу, я за смс не топлю, пусть пуши шлют, если поиздержались на смс) Ну а про митм вообще бред написали, секретный канал не делает невозможной митм-атаку. Вообще нет такого понятия невозможная атака, взламывается все, это вопрос времени на вычисления. Даже в вики написано, что TOTP взламывается митм-атакой. Хотя, строго говоря, что там TOTP, следует только из ваших слов. Вы разраб в альфе?