«Альфа-мобайл» принудительно снижает уровень безопасности в приложении
При входе приложение предлагает «новый способ защиты», отказаться от которого нельзя. Единственное доступное действие — нажать кнопку «установить».
Как вы уже поняли, не могу воспользоваться личным кабинетом в приложении Альфа-мобайл. Мне предлагают подтверждать "некоторые" операции с помощью сгенерированного мной самим постоянного пароля, вместо годами показывавших эффективность пушей и смс, сгенерированным ГСЧ. Все это блюдо подано под соусом "ваши деньги в безопасности".
Сразу скажу, что имею профильное математическое образование и диплом защищал по криптографии. Схема с пушами и смс не является абсолютно стойкой, но за счет постоянной смены паролей, предлагает разумный компромисс между безопасностью и удобством.
Теперь банк предлагает придумать пароль пользователям самостоятельно. Один постоянный пароль вместо отдельных на каждую операцию. Который пользователь придумывает, хранит и запоминает сам. Теперь злоумышленнику не нужно искать пуши и смс, достаточно один раз узнать пароль и он сможет подтвердить "некоторые операции".
Вопросы к банку:
1. "Некоторые операции" - это какие конкретно? Какой суммой ограничены, на какие категории распостраняется?
2. Что мне делать, если я не согласен с ухудшением безопасности в приложении?
3. Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке?
Здравствуйте.
Безопасность клиентов всегда была для нас одной из важных задач, поэтому сделали секретный код для дополнительной защиты клиентов.
Да, код не будет приходить в смс/пуш, т.к. придумаете и будете знать его только вы.
Если в приложение произойдёт вход с нового устройства, мы
отправим уведомление на все ваши устройства, которые нам известны.
При этом новое устройство будет "недоверенным" в течение 24 часов и придуманный вами код действовать не будет.
Посмотреть список устройств, на которых вы выполнили вход, можно в приложении: Настройки → Привязанные устройства
Подробности про секретный код, в том числе об операциях, которые можно делать с его помощью, рассказали у нас на сайт: alfabank.ru/everyday/online/sekretnyj-kod/
Фиксирую неспособность сммщика Альфы ответить на 3 простых вопроса из поста.
Вводить код нужно только в тех случаях, когда это определит наша интеллектуальная система безопасности. В остальных случаях достаточно просто нажать кнопку «Подтвердить».
Ребят, а вы не охуели малость??
Лол.
2010, весь мир: пароли устарели, нужна минимум двухфакторка на смс, а лучше на спец приложухах.
2021, альфа: мы вводим пароли для безопасности!
Новый универсальный код имеет в себе сбой. Только что делал перевод по номеру счета и когда в самом конце система попросила подтвердить оплату универсальным кодом, я нажал отмену. Система перервала операцию перевода, выдав ошибку. Но при последующем нажатии кнопки перевода в этом же окне, система не запросила ни универсального кода ни обычного пуша. И провела перевод мгновенно. Что кого и зачем тут защищало не ясно.
Сколько уже было историй с дырами в "системе безопасности" Альфы, а им всё – как с гуся вода. Очевидное решение – добавить секретный код к СМС (то есть сначала запрашивать СМС, затем секретный код для ряда рисковых операций). Это бы имело хоть какой-то смысл и было бы похоже на заботу о пользователях. Но замена переменного фактора аутентификации на ПОСТОЯННЫЙ ПРОСТОЙ ЦИФРОВОЙ пароль – это полный П. И это в эпоху внедрения биометрии как доп. фактора аутентификации (фото, видео, голос). Вроде до такого дна ещё никто не додумался?
А почему даже про эти (снимающие часть вопросов) особенность мы узнаем НЕ из предложения этот код включить?(и да - у меня он тоже попросил, как и у родственнников (угадайте кто им помогал(и ставил этот код) с "тут приложение непонятно что хочет не дает остаток посмотреть")
Ответы у альфы как всегда, абсолютно бесполезные. Спросили про одно, ответили про другое.
У вас сотрудники уже давно сливают данные, мошенники звонили один, знали многое, даже сколько у меня $ на карте 🗿🤦как так получилось ?
Почитайте у них на сайте, теперь с этой ерундой можно даже счет открыть у них в банке, личность подтвердить не предъявляя паспорт.
Мне Альфа (как и многим ранее) как-то отключала смс, переведя меня на пуши с формулировкой «так это ж вы сами». Хотели экономить на смс, теперь экономят и на смс, и на пуш.
Да понятно, что дело в экономии. Но подавать это под соусом безопасности, так еще и не размещая конкретных условий пользования этими секретными кодами в приложении, по-моему, за гранью. Для меня это тоже самое, как ресторан бы оставил в меню единственную опцию "поесть" без указания, что за блюда и сколько стоят))
Это как раз повышение уровня безопасности, по сравнению с убогой авторизацией в приложении по СМС, имея только номер карты.
То есть замена двухфакторной авторизации на однофакторную - это хорошо для безопасности, я правильно понял?))
Абсолютный бред, таким образом безопасность только снижается.
Аналогичная бубуйня. @Альфа-Банк алло! Выкатывайте обновление приложения без этой хрени, срочно.
Так ведь код привязывается к сохраненному доверенному устройству. Если под логином кто-то зайдет с другого телефона, код не будет активен. А если отвязать устройство или привязать новое, оно станет доверенным через сутки только
На первый взгляд кажется, что выдать чужое устройство за свое не то чтобы очень сложная задача, решаемая имитацией mac-адреса. Сим-карта в схеме не используется совсем, только интернет, однофакторная авторизация вместо двухфакторной. Код можно снять сниффером. Угадаете, что это значит для возможности злоумышленников получить доступ к вашим деньгам?
Да, именно так 👍
Автор топит , за тех кто ворует деньги с карт клиентов . Ваши смс и пуши , не гарантируют , что вход осуществляет сам клиент . Номер карты , узнать не проблема как и номер телефона . А код из смс и пуш подавно.
Если автор , считает , что свой личный код , не защищает личный кабинет , то по какой причине , носит с собой ключи от машины , квартиры??? Со слов автора , ключи от дома надёжнее держать под ковриком , а от машины за колесом .
Вот вообще в корне неверные выводы. Автор говорит, что ключи от машины и квартиры каждый раз лучше генерировать на лету в собственном кармане. Но в отличии от кодов для приложухи, это практически нереализуемо.
А "свой личный код" как раз эти самые пуши и смс (двухфакторка) заменили. И как же по твоему "набор символов гарантирует, что вход осуществляет сам клиент"?
А ты правда думаешь, что TOTP менее секурно, чем SMS?)
TOTP - это алгоритм создания паролей для аутентификации, а SMS способ доставки информации. Я не понимаю как их сравнивать))) Знание секретного пароля рушит весь твой TOTP. Имитация MAC-адреса устройства - не такая уж и проблема.
Здесь не TOTP, а просто пароль. Сравнить с SMS напрямую не получится, зависит от модели угроз и организации защиты информации со стороны пользователя.
Но раз уж затронули TOTP: я удивляюсь, почему эта простая и действенная технология не используется банками. Как минимум в качестве опции, альтернативы. Я бы как клиент с удовольствием с SMS на TOTP перешёл. И банку дешевле. Win-win.
3 - никак. 2 - вывести $ из банка. 1 - хороший вопрос :)
Мне такое же прилетело, уже подал заявление на закрытие счетов.
То есть омега, сливая базы, сольёт и коды. Даже телефон не нужен для входа. Дно пробито
Телефон нужен, это типа "второй фактор"
Ой, раньше Яндекс такое чудо делал. Не помню до какого года... Так.и не смог восстановить аккаунт
Комментарий удален модератором
Комментарий удален модератором
Сначала они все зачем-то заветные три циферки печатают на картах, да так что не сотрешь. Теперь вот пароли самим надо придумывать. ТОТР? Не, не слышали.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Странно, но у меня в приложении ничего подобного не появилось.
Все так же активны push-уведомления, на днях переводила средства - код подтверждения приходил через них.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Двух факторная аутентификация, строится на том, что пользователь обладает двумя секретами. Логин и пароль (первый) плюс телефон и симка, или RSA брелок, или гугловский аутентификатор (второй). В итоге это хорошо работает, когда надо залогинится через Веб. Имеем связку, логин + пароль на вебе, и код на доверительном телефоне. Но как только мы ставим приложение на этот самый доверительный телефон. Вся эта богодельня по умолчанию становится однофакторной и любые смс-ки или пуши, идущие на этот самый телефон - абсолютно безполезны.
На пальцах: Если кто то получил доступ к вебу, но не имеет доступ к телефону, то сделать ничего не сможет (ибо нужен смс код). И наоборот, если кто то полуил доступ к мобильному приложению которое установленно на мобильном телефоне, то... всё, пиши пропало.
В данном конкретном случае, Альфабанк не сделал хуже
Бред. Всё пуши приходят. Этот код нужен что бы а-ля кто другой не смог привязать другой номер телефона. Безопасность только улучшается.
Как запретить в принципе пользование Альфа-мобайл для своих счетов в Альфа-банке? - совсем не устанавливать это поделие на смартфон не вариант?
В чате сказали можно заблокирвать, но пароль от Клика тоже сбрасывается по номеру карты и коду из SMS.