Vadim Medvedev
номер карты - публичная информация, бессмысленно его использовать.
вне зависимости от того, что включено в настройках, можно войти в ЛК без знания пароля. эта настройка делает только хуже - создаёт иллюзию безопасности
да вы издеваетесь?
ВНЕ ЗАВИСИМОСТИ от этой настройки можно войти в личный кабинет без знания пароля.
в этом и проблема.
я не могу подключить его в личном кабинете, в этом м проблема.
текущий способ аутентификации небезопасен, что наглядно подтверждается вот этим случаем
https://pikabu.ru/story/tinkoff_kak_u_menya_ukrali_50_000_za_odin_push_11367534
Человек сболтнул 1 код (понятное дело, что сам дурак) и остался без денег. Будь ввод пароля обязательным для входа в личный кабинет - этой ситуации бы не произошло.
собственно после прочтения этого поста на пикабу я и забеспокоился про свою безопасность. я был уверен, что без пароля в ЛК попасть нельзя, раньше так и было, но оказалось, что какой-то умник отменил безопасность моих денег.
проблема в том, что смс не второй, а первый и единственный фактор.
будь у них смс+пароль (чёрт с ним с аутентификатором) - это уже было бы гораздо безопаснее, чем есть сейчас.
доступ к контактному номеру при всём моём желании не может быть только у меня. потому что номер принадлежит не мне, а оператору сотовой связи. и именно оператор определяет кто получит сообщение отправленное на мой номер.
есть довольно много способов перехватить сообщение. именно поэтому нельзя использовать "код из смс" как единственный метод аутентификации. именно для этого и нужен пароль для доступа к личному кабинету.
и вот почему тинькофф-банк позволяет входить в личный кабинет без знания пароля - это прям загадка. чем вы руководствовались принимая такое решение? облегчить жизнь мошенникам?
каким образом по вводу номера карты можно определить, что заходит именно клиент? номер карты - это публичная информация и использовать её для аутентификации крайне странно.
блин, да вы издеваетесь все?
берём новое устройство. берём новый ip-адрес (vpn). заходим на tinkoff.ru. вводим номер телефона. вводим код из смс. сайт спрашивает пароль. нажимаем кнопку "не помню пароль". сайт вместо пароля позволяет ввести номер карты.
всё, мы в личном кабинете имея из секретной информации только 1 код из смс.
получится
при входе достаточно нажать "не помню пароль" и вместо пароля можно будет ввести номер карты
в этом и проблема
естественно у меня эта опция включена, но она даже вредна - даёт иллюзию безопасности, которой нет
я хочу использовать пароль ВСЕГДА. так чтобы без знания пароля нельзя было зайти в личный кабинет с нового устройства. вот прям совсем нельзя.
сделать такую опцию - дело 10 минут. но банк почему-то не хочет давать возможность клиентам защитить свои деньги от мошенников.
что за онлайн заметки? мои важные пароли типа гмайла не хранятся нигде, кроме моей головы.
угон сим-карты через, например, недобросовестного сотрудника розничного салона оператора сотовой связи совершенно не сложен технически.