Обращение прежде всего к представителям «Тинькофф», т.к. считаю его одним из лучших по отзывчивости и нововведениям. Хотя другим банкам, которые заботятся о своей репутации и деньгах клиентов, тоже неплохо было бы поучаствовать в дискуссии и повысить таким же образом свою безопасность.
Уж сколько тут тем было про увод денег при смене номера из того же @Тинькофф, где ответ представителей был в духе "Клиент по телефону ответил на все наши вопросы и подтвердил свою личность". Да я согласен, что вы лучшие в дистанционном обслуживании и это ваше детище, которое пытались скопировать другие банки, но "не шмогли") но мир не стоит на месте. и мошенники с каждым годом становятся все умнее и лучше. У меня давно создается впечатление, что сотовые операторы не хотят и не будут менять свои практики работы и блокировать то, что несет угрозу. для них любой клиент — это капля в море.
Хотелось бы поговорить про подтверждение личности при смене номера и других критических моментах, когда есть подозрение на взлом. Ни для кого не секрет, что подтверждение личности по телефону почти у всех банков — это 70% -100% вопросов про паспортные данные. Дык вот со всей ответственностью хочу заявить: сегодня паспортные данные не могут являться основным фактором аутентификации. Сегодня законопослушному гражданину и шагу нельзя ступить, чтобы где-то не попросили их предоставить и не переписали. И на работе с десяток личностей их просят для разных операций. и контрагенты. и службы доставки, и кто их только не просит. Несмотря на законы, паспортные данные человека уже давно не секрет и достаются легким движением руки даже диванными «хакерами» у тех контор, где нет какого-либо подобия СБ или ИТ/не соблюдаются элементарные правила безопасности. И кто знает, откуда в очередной раз они "утекут" к мошенникам...
Да у вас есть около 20-30% вопросов, которые вроде как не должен знать злоумышленник. но как раз социальная инженерия, как показывает практика, успешно отрабатывает с людьми эти 20% вопросов. и после этого случается несчастье.
Дык вот мое предложение к @Тинькофф сделать для людей-параноиков типа меня как минимум 2 дополнительных фактора аутентификации в дополнение к вашей идентификации по телефону при смене номера и других подозрениях на мошенничество. пусть они не будут действовать на всех клиентов по умолчанию и включаться отдельной опцией в личном кабинете. но я думаю, что меня поддержат многие: они должны быть. какие — это вам разрабатывать, на основе практик и технических возможностей. но вот, что я вижу сам
1. фактор смены через банкомат с картой (номер операции, уникальный код или другое)
2. google authenticator или аналог
3. личная эцп
4. персональная встреча с курьером (пусть даже за деньги)
также я не отказался бы от опции в личном кабинете, что после смены номера все операции более определенной суммы будут заморожены на сутки (ну пусть 5-10 тыс). Это сделает любые мошеннические операции НАМНОГО труднее
И да, я готов терять в удобстве ради безопасности. для большинства клиентов это не подходит, но опционально реализовать меры повышенной безопасности было бы отличным решением.
Надеюсь на понимание и возможно сообщество накидает еще пару тройку опций, которые бы позволило повысить безопасность. т.к. текущая аутентификация только по телефонным вопросам уже не достаточно безопасна для современного мира.
Комментарий недоступен
У Google Authenticator есть конкуренты, запирающие использование приложения пин-кодом и/или отпечатком пальца.
Если же вы боитесь, что с утерей телефона потеряете и механизм генерации кодов, то эта проблема давно решена: начальный QR-код - это просто симольная строка, которую можно сохранить, например - в сейфе в печатном виде. Или под шифром в файле. Или в парольном менеджере. Или даже тупо сфотографировать QR-код.
А конкуренты вообще позволяют хранить защищаемые аккаунты на сервере и синхронизировать на несколько устройств сразу, и даже десктоп.
Короче, эта технология, прикручивание которой к веб-сервису - задача элементарная, запросто реализуется даже для мелких внурикорпоративных поделок, действительно могла бы свести шансы на угон ЛК практически к нулю.
Комментарий недоступен
Это не пароль, а возможность сгенерировать одноразовый код.
Да, конечно, гораздо лучше, если эта строка в открытом виде нигде не появится, но все-таки страшновато однажды потерять фактор...
Лично я и пароли бэкаплю и храню в зашифрованном архиве. Когда этого добра много - никуда не денешься, приходится признавать свое несовершенство.
В любом случае, вероятность выпустить в мир паспортные данные и распечатанный код из сейфа (а на нем ведь не написано, что это, и что с этим вообще делать - просто строка какая-то) совершенно несопоставима. Тем более - если это обязательно сделать одновременно.