Уверен что часть подобных проблем решается двумя вещами:
1. Обязательный второй фактор кроме смс (пароль а ещё лучше 2FA)
2. галочка "запретить удалённое восстановление /регистрацию доступа с нового устройства" (то есть хочешь сбросить пароль — иди ногами в банк, новая регистрация — зайди сначала с паролем и разреши её на час)*
+ я был бы раз подтверждать тремя факторами все операции перевода куда-либо каким-либо третьим фактором (голосом или кодами с чеков).
* если банк супер-цифровой, то введи одноразовый пароль с карты которую привезёт представитель
** Только пожалуйста, не как в ВТБ. Все галочки есть, но на вход в МП почему-то достаточно кода из смс. Решето.
+ бесит что смс-уведомления отключаются одной кнопкой и мгновенно. Оключайте через пару недель ё-моё.
нет, выпиливать не надо. Я за добавление как дополнительный фактор для ценителей 2FA(но даже затрудняюсь предположить как это будет выглядеть юридически ).
У всего есть 2 стороны. С одной - защищённость повысится. С другой увеличится сложность, что однозначно увеличит число ошибок пользователей и негатив.
Учитывая что даже текущая система вызывает проблемы, в том числе мошенничество из-за недопонимания системы пользователями (да да, именно пользователя, который не хочет учится и думать, вот его и учат, так же как учат не писать в трусы в детстве). Усложнение системы, не сделает ее защищённее, если сейчас сообщают смс код, подтверждают операции и т.д. то как этому помешает дополнительный код?
Воровство же симок достаточно редко, облазиливесь интернет, 90% перевыпуска по доверенности касается симок любителей халявы, предоставленных по корпоративному тарифу или от компаний рога и копыта, где доверенность на операции получают у руководителя, на котором договор....
Решение простое. Банк должен дать мне решить самому сколько факторов спрашивать кроме смс. Естественно для банка где хранится три копейки я отключу всякие усложнения, а где коплю на что-то важное, там наоборот — включу.
А в остальных случаях "настройки по умолчанию" среднестатистическому пользователю с остатками в пару зарплат вполне подойдут
Угу. И тут образовывается ещё один интересный момент. 99,9% пользователей будут сидеть на настройках по умолчанию. А из-за 0,1 процента придется делать отдельную систему (вы же понимаете что введение доп защиты это не дополнительный модуль, а в корне другая система). Имеем усложнение всех продуктов, рост их стоимости, который предложат оплатить этому 0,1 %. Много сейчас платят страховку счета в том числе от телефонных мошенников, утраты документов и т.д.?
> платят страховку счета в том числе от телефонных мошенников
только те, кто не читает её условия и лимит ответственности. Лимиты там типа 50к
> А из-за 0,1 процента придется делать отдельную систему
Это стандартное нытьё. Сделает один +- большой банк с прочими условиями "в целом по рынку" и через полгода-год это будет у всех.
Почему-то ничего не мешает банкам ради пользователей с большими балансами держать 1) отдельные офисы 2) отдельных менеджеров 3) отдельные тарифы 4) отдельные услуги, хотя их я думаю аналогично примерно 0.1%
Вот ВТБ. За год 2 раза зачем-то переделал мобильное приложение и ИБ, с нуля делает брокера, добавил в ИБ лимиты (которые реализованы погано и не от чего не защищают) и впилил в ИБ дофига "лайфстаил" сервисов.
Не может быть такого, что на это всё деньги есть, а на улучшение авторизации денег нет.
Маловероятно что втб хоть кто-то из клиентов где-то просил впилить лайфстаил, а вот сделать так, чтобы Б в аббревиатуре ВТБ не значило "безопашливость" просили и постоянно (беглый скрол банкиру в момент когда в мобильном приложении разобрали проверку пароля при сбросе доступа) подтвердил эту теорию.
Тинькофф аналогично, впилил дофига свистелок со спросом в 0.1% , даже авторизацию перевёл на openid (сессии в котором часто не закрываются если нажать "выйти" — к вопросу о).
Так что я и тут не верю, что нет возможности.
Просто эти все т.н. "продуктологи" с зауженным кругозором и областями ответственности бесконечно оторвались от реальности и пользователей не слышат.
Пока по тому, что есть в публичном поле (интервью всяких говоруном ртом) мне очень хочется надеяться что первым значимых успехов добьётся ВТБ.
Но тут как обычно. Кто-то говорит, а кто-то тихо-мирно делает. Удачи последним.
Открыто пинаю банки про безопашливость на всех платформах, надеюсь что фидбек хотябы заметят.
Уверен что часть подобных проблем решается двумя вещами:
1. Обязательный второй фактор кроме смс (пароль а ещё лучше 2FA)
2. галочка "запретить удалённое восстановление /регистрацию доступа с нового устройства" (то есть хочешь сбросить пароль — иди ногами в банк, новая регистрация — зайди сначала с паролем и разреши её на час)*
+ я был бы раз подтверждать тремя факторами все операции перевода куда-либо каким-либо третьим фактором (голосом или кодами с чеков).
* если банк супер-цифровой, то введи одноразовый пароль с карты которую привезёт представитель
** Только пожалуйста, не как в ВТБ. Все галочки есть, но на вход в МП почему-то достаточно кода из смс. Решето.
+ бесит что смс-уведомления отключаются одной кнопкой и мгновенно. Оключайте через пару недель ё-моё.
Комментарий недоступен
нет, выпиливать не надо. Я за добавление как дополнительный фактор для ценителей 2FA(но даже затрудняюсь предположить как это будет выглядеть юридически ).
У всего есть 2 стороны. С одной - защищённость повысится. С другой увеличится сложность, что однозначно увеличит число ошибок пользователей и негатив.
Учитывая что даже текущая система вызывает проблемы, в том числе мошенничество из-за недопонимания системы пользователями (да да, именно пользователя, который не хочет учится и думать, вот его и учат, так же как учат не писать в трусы в детстве). Усложнение системы, не сделает ее защищённее, если сейчас сообщают смс код, подтверждают операции и т.д. то как этому помешает дополнительный код?
Воровство же симок достаточно редко, облазиливесь интернет, 90% перевыпуска по доверенности касается симок любителей халявы, предоставленных по корпоративному тарифу или от компаний рога и копыта, где доверенность на операции получают у руководителя, на котором договор....
Решение простое. Банк должен дать мне решить самому сколько факторов спрашивать кроме смс. Естественно для банка где хранится три копейки я отключу всякие усложнения, а где коплю на что-то важное, там наоборот — включу.
А в остальных случаях "настройки по умолчанию" среднестатистическому пользователю с остатками в пару зарплат вполне подойдут
Угу. И тут образовывается ещё один интересный момент. 99,9% пользователей будут сидеть на настройках по умолчанию. А из-за 0,1 процента придется делать отдельную систему (вы же понимаете что введение доп защиты это не дополнительный модуль, а в корне другая система). Имеем усложнение всех продуктов, рост их стоимости, который предложат оплатить этому 0,1 %. Много сейчас платят страховку счета в том числе от телефонных мошенников, утраты документов и т.д.?
только те, кто не читает её условия и лимит ответственности. Лимиты там типа 50к
> А из-за 0,1 процента придется делать отдельную системуЭто стандартное нытьё. Сделает один +- большой банк с прочими условиями "в целом по рынку" и через полгода-год это будет у всех.
Почему-то ничего не мешает банкам ради пользователей с большими балансами держать 1) отдельные офисы 2) отдельных менеджеров 3) отдельные тарифы 4) отдельные услуги, хотя их я думаю аналогично примерно 0.1%
Вот ВТБ. За год 2 раза зачем-то переделал мобильное приложение и ИБ, с нуля делает брокера, добавил в ИБ лимиты (которые реализованы погано и не от чего не защищают) и впилил в ИБ дофига "лайфстаил" сервисов.
Не может быть такого, что на это всё деньги есть, а на улучшение авторизации денег нет.
Маловероятно что втб хоть кто-то из клиентов где-то просил впилить лайфстаил, а вот сделать так, чтобы Б в аббревиатуре ВТБ не значило "безопашливость" просили и постоянно (беглый скрол банкиру в момент когда в мобильном приложении разобрали проверку пароля при сбросе доступа) подтвердил эту теорию.
Тинькофф аналогично, впилил дофига свистелок со спросом в 0.1% , даже авторизацию перевёл на openid (сессии в котором часто не закрываются если нажать "выйти" — к вопросу о).
Так что я и тут не верю, что нет возможности.
Просто эти все т.н. "продуктологи" с зауженным кругозором и областями ответственности бесконечно оторвались от реальности и пользователей не слышат.
Пока по тому, что есть в публичном поле (интервью всяких говоруном ртом) мне очень хочется надеяться что первым значимых успехов добьётся ВТБ.
Но тут как обычно. Кто-то говорит, а кто-то тихо-мирно делает. Удачи последним.
Открыто пинаю банки про безопашливость на всех платформах, надеюсь что фидбек хотябы заметят.