При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Речь не о SMS как технологии доставки, а о кодах в SMS, используемых в качестве фактора аутентификации. Как и TOTP.
Знание секретного пароля рушит весь твой TOTPПеревыпуск SIM-карты по "доверенности" рушит всю систему аутентификации с помощью SMS. И контролировать вы это не можете (в отличие от своего устройства с TOTP). SMS вообще для этого не предназначен.
Ключ TOTP при проблемах можно отозвать и создать новый.
MAC вообще ни при чём, об этом уже написали.
На мой взгляд, у клиентов должен быть выбор: кого устраивают коды в SMS — подключает их, кому хочется TOTP — их. Но банки у нас TOTP вообще не используют (по крайней мере мне не встречались), увы, не говоря уже о предоставлении такого выбора.
Но в обсуждаемом случае с Альфой, к сожалению, просто пароль, а не TOTP, так что размышления выше — не об этом случае, а так, в целом о технологиях аутентификации.
Перевыпустить симку можно только имея все документы. Это физическая операция. И её можно оспорить, и последующие операции в том числе.
Кража пароля - операция виртуальная.
Понятно — теоретик : )
Понятно, что ты нихрена не понял. Да, у некоторых личностей есть возможность перевыпустить карту без доков, но... Эта херня ещё проще оспаривается в суде. Я имел в виду про условно законные способы.
есть возможность перевыпустить карту без доков
Кажется, кто-то опровергает сам себя. Но обвиняет меня в том, будто я чего-то не понял : )
Эта херня ещё проще оспаривается в судеАга, прям вжух. Удачи : )
Я имел в виду про условно законные способыТочно. Преступники же как размышляют:
— Давай ограбим Александра?
— Давай! Взломаем его телефон, украдём пароль.
— Он крепкий орешек, у него SMS вторым фактором.
— Перевыпустим SIM по липовой доверенности!
— Эээ, нет, тормози! Это уже незаконно!
Л — логика 👍
Комментарий удален модератором
И как скоро кто-то найдёт этого парня, который по итогу может оказаться нанятым бомжом (если его вообще возьмутся искать)?
Это мошенничествоСогласен, преступники на это не пойдут, они ведь не станут нарушать закон.
и покрывать ВСЕ расходыАга, щас. Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? Упс. Я ж говорю — теоретик.
В любом случае твой д..б не может опровергнуть простоту кражи виртуального пароля перед перевыпуском симкиС моих устройств украсть пароли куда сложнее, чем перевыпустить мою SIM. Потому что мои устройства я контролирую, а инфраструктуру оператора — нет. Опровергни это.
По аргументам и ad hominem, в принципе, уровень понятен 🤦♂
" Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций? "
Господин теоретик, сходите судебную практику почитайте
Можете ознакомить , с этой самой судебной практикой?
Он уже слился с этим в ветке ниже, прикинувшись чайником Рассела — оказывается, это мы ему должны доказывать отсутствие такой практики.
Заодно разобрался бы чем отсутствие практики от несоответствия ее твоим представлениям отличается. А так видишь что получается
Но вы ведь предложили с ней ознакомиться. Уж полночь близится, а практики всё нет : ) Кажется, это что-то говорит о вашей позиции и способности её обосновать.
Конечно, это так и работает. Ты пишешь какую-то необоснованную фигню и люди бегут тебе обосновать позицию.
Давайте-ка проверим, кто пишет необоснованную фигню.
Вы с оператором подписывали договор об использовании SMS как канала для аутентификации в финансовых сервисах и авторизации финансовых операций?Вот на что вы изначально отвечали:
Внезапно, это даже не утверждение, это вопрос. На него вы не ответили, а предложили ознакомиться с якобы существующей практикой. Я не против, готов ознакомиться, продолжаю ждать от вас эту практику, ведь именно вы утверждаете, будто таковая существует.
Странно, я на Гугл вроде не похож.
Так на чём ваш вопрос основан, раз он обоснован?
Мой вопрос основан на природной любознательности, спасибо, что поинтересовались. Так вам есть чем подтвердить существование обсуждаемой судебной практики? Иначе получается, что вы написали необоснованную фигню?
Тяжко с природной любознательностью и забаненным в Гугле?
Моя рекомендация основана на опыте, спасибо, что поинтересовались
Напротив, очень легко, но Гугл почему-то не находит подтверждения вашим словам, как и специализированные поисковики судебных решений.
Поэтому я и обращаюсь к вашему могучему опыту: поделитесь же с нами подтверждением своих слов, иначе получается, что вы написали необоснованную фигню?
Ну да, именно так и получается, если поисковик не находит мой опыт.
Чисто из любопытства, скрин первой страницы Гугла можешь показать? Как оно у забаненных выглядит не видел никогда
Что и требовалось доказать, штош.
Гугл не открылся? Беда