При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
Автор топит , за тех кто ворует деньги с карт клиентов . Ваши смс и пуши , не гарантируют , что вход осуществляет сам клиент . Номер карты , узнать не проблема как и номер телефона . А код из смс и пуш подавно.
Если автор , считает , что свой личный код , не защищает личный кабинет , то по какой причине , носит с собой ключи от машины , квартиры??? Со слов автора , ключи от дома надёжнее держать под ковриком , а от машины за колесом .
Вот вообще в корне неверные выводы. Автор говорит, что ключи от машины и квартиры каждый раз лучше генерировать на лету в собственном кармане. Но в отличии от кодов для приложухи, это практически нереализуемо.
А "свой личный код" как раз эти самые пуши и смс (двухфакторка) заменили. И как же по твоему "набор символов гарантирует, что вход осуществляет сам клиент"?
Сами хоть понимаете, что пишите? Любой сгенерированный вами код можно перехватить.
Мною сказано что для первичного входа с нового или другого устройства вводить свой личный код , который нигде не генерируется.
Я как понял , ты ещё одни парламентёр со стороны воров денег со счетов клиентов.
Эмм. Перехватить смс? Ну давай, расскажи мне как это сделать без симки-дублера, которую надо еще получить. А "своим личным кодом" в данном случае как раз является номер телефона.
Да, определенно, особо продвинутые мошенники могут устроить перехват смс для определенной жертвы, но ею точно будешь не ты, и не рандомная бабушка с ее пенсией. Мороки и палева слишком много.
В одном случае - доступ к коммутатору (дорого), в другом - всего 16 баксов.
Журналистская дичь, sakari обычный сервис рассылки, не позволяет перехватить входящие смс никак