Я хотел бы затронуть тему, которая беспокоит меня и многих людей — почему чем крупнее компания, тем хуже отношение к технологиям? Почему каждая такая компания идет по граблям изобретая свои велосипеды с кривыми решениями?
Речь конечно же о системах авторизации и идентификации юзера хоть в окне кассы, хоть на сайте.
За все время мы, люди, прошли долгий путь от login/password до умных и неудобных решений с двухфакторкой, и еще более умных и уже удобных, в виде SSO и войти через…
Поговорим о двухфаторке, а именно двухфакторке через СМС
Почему её так любят наши компании? Почему компании вообще любят СМС?
У меня есть для вас, компании, новость: коды через СМС, это устаревшее в плане технологичности решение, небезопасное (симка клонируется при желании). Решение дорогое для вас, ведь каждая СМС стоит денег! Не убедил?
А ещё, авторизация через СМС сильно тормозит процесс авторизации юзера и раздражает.
Некоторые компании «повышая секъюрность и экономичность» вместо СМС используют пуш уведомления, прикостылив на скорую руку от уже реализованной системы с СМС. Складывается впечатление, что делают подороже в реализации, посложнее, лишь бы не сделать нормально.
Что происходит на сервере при каждой авторизации: Нужно взять юзера который логинится, запомнить что юзер должен ввести код. Сгенерировать код, отправить (СМС платно или Пуш), подождать пока юзер введет код и потом его пустить.
В этой схеме с СМС все что угодно может пойти не так, например у юзера сел телефон, СМС не прилетит. Например СМС сервис работает с задержками (надо иногда задержка составляет минуту). Например СМС может вообще не прилететь.
Есть способы надежнее, лучше и проще в реализации, а главное бесплатные.
Пуши! Нет, с пушами такие же проблемы. Тем более, я не знаю ни одной компании, которая бы сделала пуши правильно. При логине на сайте, пуш приходит в приложение. Почему при логине на сайте не сделать пуши для браузера или вам так нужно что бы юзер бежал за телефоном?
Пуш при логине на сайте, приходит в приложение на устройство, а устройство может быть просто севшим. И получаем те же грабли что и с СМС, пуш не доставлен, юзер не может залогиниться.
Пуш так же может не прилететь, нет гарантированной доставки так же как и с СМС.
Пуш может быть вообще отключен если предварительно ваше приложение спамило юзера рекламой СМС, хотя бы отключить нельзя.
Юзер во время авторизации через двухфакторку испытывает стресс, ему нужно бежать за телефоном/смотреть на часы/быстро проскроллить до кода и ввести его пока не скрылось сообщение. Все это стресс. Стресс при каждом входе!
У СМС даже есть некоторые плюсы из за того что пуши так криво релизованы. СМС например может переадресовываться на macOS при логине на сайте.
Но зачем, зачем вообще делать так плохо, когда можно сделать проще, безопаснее, удобнее а главное дешевле...?
Как сэкономить 90% денег на разработке авторизации, на поддержке и эксплуатации, сделав приятно и пользователю? Сделать секъюрно и надёжно. Такое вообще возможно?
Авторизация должна быть быстрой, в идеале вообще прозрачной для пользователя. И большинство компаний в приложении для iPhone/iPad/Mac используют именно прозрачную авторизацию, например защитив биометрий вход в приложение.
Более большие компании и дяди отвечающие за секъюрность в этих компаниях, сами того не понимают, что у них уже реализована система лучше чем костыльное решение с СМС и Пушами.
Я хочу до вас донести вести, которым уже без малого 100 лет в обед!
На сайте тоже можно сделать авторизацию по биометрии!
Неожиданно!? Неслыханно!? Какая наглость!
Да, это называется SSO и делается значительно легче, чем вся ваша религия с регистрацией через платные для вас СМС. А для вас, тех кто осилил двухфакторку через ПУШИ, я сообщаю, что SSO приделать проще чем весь ваш нелепый велосипед с генерациями и проверками кодов. Более того, решение на SSO будет надежнее и работать будет быстрее в разы. А главное это действительно секъюрно, да еще и бесплатно для вас.
Примеры из жизни Тинькофф и Точка
Я приведу пример двух банков, Тинкофф (куда же без него) и Точка. Приведу пример Бизнес банков, ведь речь идет о деньгах огромных, деньгах компаний.
Тинкофф, банк хоть и продвинутый, но трусливый до нормальных решений, они вот судятся с ОПСОСами на счет стоимости СМС, а ведь могли просто сделать нормальную авторизацию через sing in with Apple, как например банк Точка.
Смотрите, Точка работает, дает юзерам позитивое впечатление при каждой авторизации, а Тинкофф раздражает при каждой авторизации своими кодами.
Так что конкретно мешает сделать авторизацию нормально, что именно пугает большие компании, простота и экономичнось реализации или дополнительная надёжность и бесплатность решения?
CDEK
Теперь приведу пример компании CDEK, с которой я на днях столкнулся, и которая сподвигла меня написать эту статью. Компания крупная, компания с кабинетом на сайте, который они решили переделать. Переделывают глобально и как обычно принято у больших компаний, ступая по граблям.
Раньше была в CDEK была авторизация через логин/пароль. Теперь они делают СМС!
Вход по телефону и СМС, что может быть хуже в 2021 году?
Ребята… я не знаю о чем думает ваше руководство вваливая деньги в решение которое морально устарело лет на 10. Вкладывая деньги в решение, которое требует огромных вложений в реализацию и поддержку. При этом создавая лишь неудобства для пользователей.
Теперь поговорим о подтверждении человека на кассе.
Каждый раз при обращении на кассе, CDEK, Почта России, и т.д. требуется идентификация личности. Как это сделано? Паспорт.
Т.е. все держится на том, что симку не клонировать… ой, т.е. паспорт не подделать. Скажите мне пожалуйста, у вас на кассе сидят люди имеющие квалификацию по распознаванию фальшивых документов? Если нет то к чему весь этот цирк? Чем поддельный паспорт для кассира отличается от поддельных например прав? Или вы нашли где то описание какой документ сложнее всего подделать, и на основнании этого было решено, паспорт подделать труднее всего, будем требовать его?
Вы говорите, мы боремся с мошенничеством, при этом вы не можете отличить ЛЮБОЙ поддельный документ от оригинального, просто потому что ваш кассир не специалист по подделкам, так что принимайте пожалуйста ВСЕ документы, в том числе и водительские права.
Почта России
Начну сразу с примера компании, которая сначала смогла, а потом попятилась испугавшись как хорошо все заработало.
Когда началась реформа по превращению Почты РФ в магазин и банк и … Вобщем в то самое время у них появилась авторизация на кассе через СМС. Человек подписывал документ для выдачи посылок по СМС один раз с паспоротом и далее все посылки получал уже только по СМС.
И это наверное единственное место, где СМС действительно подошли для быстрой идентификации. Но Почта РФ пошла дальше и сделала невозможное, помимо СМС наладила Пуш уведомления. Стало удобно. На время. Потом опять стало не удобно.
Раньше было как? Пришел, показал штрихкод посылки, тебе прилетела смс/пуш с кодом, код назвал и посылку получил.
Теперь же сделали так… Пришел, показал штрихкод посылки, назвал вслух всем вокруг и кассиру свой номер телефона, тебе прилетела смс/пуш, код назвал и посылку получил.
Кто нибудь мне в комментариях напишите, чем это секъюрнее стало, с называнием вслух номера телефона?
Что там у остальных?
Например постоматы, по факту это такие заменители кассиров. Подходишь вводишь код и получаешь посылку. Между тем, код прилетает заранее и хранится в смс.
Удобно? Удобно. Секъюрно? Ну как и всё с СМС.
Друхих способов авторизации на кассе я не знаю. Ну кроме как «паспорт покажите, нет, только оригинал, нет, права не подойдут».
Как авторизоваться у кассы без СМС?
Для начала надо понять, что СМС это не безопасно, склонировать симкарту можно при желании. Гораздо сложнее доказать приложению что ты это ты через поддельную биометрию.
Приложение должно подтвердить, что человек стоящий сейчас перед кассой, это тот самый гражданин который должен получить посылку и рассказать это кассиру через сервер компании.
Как именно это будет реализовано, не так важно, но основные моменты понятны:
1. Приложению нужно получить сигнал о том что сейчас мы авторизуемся на кассе.
2. Пользователь должен подтвердить себя в приложении.
3. Кассир должен получить об этом информацию.
Важно понять, что само приложение должно выступать в роли документа предъявлеямого получателем.
Приведу пример реализации
Например юзер подходит к кассе, через камеру считывает QR код на окне кассира.
Приложение открывается и просит приложить палец, юзер прикладывает палец, кассир видит данные юзера у себя на компьютере и понимает кто стоит перед кассой, видит ФИО, видит номер телефона и т.д.
Как это сделать? Для начала нам нужен принтер для распечатки QR кода, и скотч для наклейки на окно.
QR код должен содержать лишь сссылку, которую открыет приложение, в ссылке должны быть открытые данные о кассе (например номер отделения, номер кассы).
Нужен еще один метод API на сервере в дополнение к остальным методам уже сделанных. Метод будет получать данные от приложения: тот самый номер кассы и номер отделения.
После этого сервер делает пуш на компьютер кассира. (пуш конечно же можно заменить на обычный запрос к серверу по нажатию кнопки «Refresh» кассиром в его приложении).
Схема простая в реализации и более безопасная чем СМС. QR код можно заменить на NFC карточку кассира. А для пущей секъюрности можно добавить к данным примерные координаты GPS получающего посылку.
Систем авторизации на кассе готовых, пока просто нет, но если изобретать велосипед, то нужно хотя бы делать это удобным для пользователя и исходить из безопасности реализации.
У меня всё. Надеюсь я свою мысль донёс и эту заметку прочитают люди из руководства компаний.
Комментарий недоступен
Комментарий недоступен
Я вообще не понимаю о чем вы говорите. Не нужен паспорт и симка. В этом соль. В 2021 году это не нужно.
в 2021 внезапно, на каждом столбе, стал "необходим" QR. Вы за это топите?
Если внимательно почитать статью то в ней два раздела. Первый посвящен авторизациям на сайте, где рассказаны хорошие способы свторизации, без email или sms. Во второй части, рассказано про авторизацию в окне/на кассе. Где так же предложен самый дешевый вариант реализации через QR код, который вполне заменим на NFC карточку сотрудника например.
Подойдет даже обычная цифра написанная маркером на кассе (просто цифру вводить в приложении менее удобно, чем навести камеру телефона, и не так дорого как обеспечить каждого кассира nfc карточкой).
Прочитайте внимательно, спасибо.
Да, цифра введеная в приложение, тоже должна работать. Но, только при условии наличия смартфона.
Паспорт носить с собой, не секъюрно, телефон кнопочный с симкой, не секъюрно. И тем более не секърно орать на весь зал свой номер телефона, что бы тебе прислали СМС с кодом.
Так разве заставляет кто-то орать? Записать заранее, на бумажку и подать в окошечко. дарю вам этот лайфхак.
Именно так и проходится выкручиваться, а хочется просто нормального сервиса, понимаете? Сил нет, как хочется. Качества, сервиса, нормального обращения.
Знаете, тоже хочется, но...
КМК этот вопрос нужно резать ломтиками.
Отдельно рпазработка архитектуры решения.
Отдельно поправки в законодательство.
Отдельно рекламная компания.
А со своей кочки, мне мерещится универсальный ключ. Чип проще говоря. С достаточно длинным словом. Не под кожей, а в кольце, на пальце, например. И поворотной шторкой, чтобы в закрытом состоянии нельзя было читать дистанционно, в принципе.
это не секъюрно
Почему? В этой области, мне видится общая проблема - достоверность ключа. Моя схема в голом виде - не взлетит. Многофакторность не от хорошей жизни придумали. А вот если к авторизации по аппаратному ключу прикрутить PGP (танцы с открытыми/закрытыми ключами), может получиться вполне терпимо. Но, это я уже не могу оценить, в силу дилетантизма в предметной области.
Потому то снятый с владельца чип, точно так же как и украденый паспорт, точно так же как украденый телефон кнопочный, дает возможность делать злоумышленнику все что угодно от имени владельца.
Ну, логично. Как и любой другой автономный ключ.
Комментарий недоступен
верно, можно авторизацию через ЕСИА сделать, хоть кто то понял идею... не всё потеряно 😁
А попробую-ка я коротко ответить на этот длинный длинный длинный текст.
На самом деле, все просто. Телефон, в настоящее время, есть практически у всех. А смартфон с камерой, сканером QR, браузером, пушами - нет. Не у всех. Многие люди специально покупают "бабушкофоны", потому, что им так удобнее. Поэтому СМС. Не пуш, не QR, не биометрия.
Автор, если вы так топите за биометрию - могли бы изучить ее историю: когда она появилась и с какими проблемами сталкивалась в развитии.
Но я все же напомню, что первой и самой важной проблемой авторизации по отпечатку пальца было и есть определение 'отрезанного пальца' - тк первое что делали преступники для обхода таких систем это отрезали палец пользователя.
Если вам нужно авторизовать пользователя в банковскую яйчейку или для доступа на ядерный объект - риск отрубания пальца (или глаза ) для такого пользователя приемлем. Но блин если каждый грабитель будет отрубать у вас по пальцу при попытке взлома - вам не будет стремно? Кринж не словите?
Едем дальше, помимо проблемы выше есть и более приземленная - сохранение этого самого 'биометрического источника'. Вот залили вы подушечки пальцев кислотой, кожа частично слезла - все, биометрию вы не пройдете.
Закинулись наркотой и зрачок расширился - авторизация по сетчатке не сработает.
Поэтому оставьте лучше биометрию для кино - там это красиво выглядит всегда.
у вас нет айфона, верно?
помнится мне, недавно айфоновское распознавание лиц было скомпрометировано масками, на которых был принт лица.
Именно поэтому спецслужбы всего мира взламывают айфоны именно таким способом. Погуглите плз.
Что не так с вашим заголовком? (Подсказка: что-то с запятыми)
Комментарий недоступен
Приложение можно скопировать, но залогиниться в приложении нужно лишь один раз и залогиниться в нем может только юзер по своим логинам/паролям либо по SSO/LW, дальше вход в приложение по биометрии (как в любом банковском приложении) т.е. безопасно залогиненый юзер в приложении это как раз та основа на которой надо строить идентификацию на кассе. И никаких СМС.
@Теперь же сделали так… Пришел, показал штрихкод посылки, назвал вслух всем вокруг и кассиру свой номер телефона, тебе прилетела смс/пуш, код назвал и посылку получил.@
Что за сказки? Телефон есть в профиле. Телефон (для совсем тупых) есть на стикере посылки. Зачем его называть?
Не знаю, мне никто из работников не ответил ни разу внятно, но именно так это теперь работает в Почте РФ
Афигеть. У меня такой проблемы нет. Меня работники (большинство, по крайней мере, знает в лицо. И телефон, как я подозреваю, наизусть). Поэтому, если и есть какие-то новые веяния, я их просто не вижу.
Есть, но не фанат нет.
Но я в курсе faceid и как это работает, с обоих сторон.
Извиняйте а вы кто? Ну те аналитик, UX мастер или разраб который решил что если ему чего-то не хватает, то все резко должны покупать ифоны ипады и тп? Без наезда, просто без цифр, статы - это просто статья обиженного технаря. По поводу авторизаций, я вот не в курсе - какие организационные регламенты у банков насчет авторизаций через огрызки или ведра (уж чего-чего, а банки умеют экономить)
И тыкать в QR субъективно мне вот конкретно неудобно, чем тупо натыкать смс. Я уж не говорю про далеких от IT людей.
QR наверно красная тряпка. Окей, маркером на стелке кассы можно написать номер кассы и отделения. Пользователю просто менее удобно будет в приложении эти цифры вбивать.
Суть вы не уловили, то как это можно сделать просто и удобно.
Плюс статья из двух частей, в первой про авторизации на сайте, во второй про авторизацию на кассе.
Здравствуйте. До разработчиков информацию донесли, пока думаем над реализацией, спасибо за фидбэк.
Я считаю, что в любом банке должен быть режим "если я перевожу больше N задолбайте пожалуйста меня проверками по максимуму"*:
— смс + пароль ещё раз
— NFC
— второй фактор типа GA и/или карточки с кодами
Так как я должен быть защищён от
— кражи телефона
— кражи/перевыпуска сим
— перехвата сигнала мобилы и смс (на другом ресурсе есть статья с выиграными судами и уголовкой): сюрпрайз!!! у опсосов массовая проблема которую они не признают (привет банку дырявому ВТБ у которого для входа в приложение достаточно номера карты/логина/номерТф и кода из смс)
*) + запрет на сброс пароля к ДБО
В общем и целом автор прав, про косяки систем, но предложенная система имеет свою кривизну. Для начала, далеко не во всех смартфонах есть биометрия, а уж быстро работающая и подавно. И вот на почте, стоящие люди, тыкающие пальцем в тщетной попытке авторизоваться в приложении, будут проигрывать смс кодам.
"давай по новой, миша, все *фигня!"
Читал&/-читал, устал и ничего не понял. И вы все о пулах... А вот у меня они постоянно отключены. Это что, я даже об успешной авторизации не узнаю? Или вы думаете заполнив форму авторизация ещё буду какой-то текст читать, в котором мне скажут, что вот сейчас будет выполнен запрос на активацию пушей и что мне ее включить нужно?
Не совсем понял вашу мысль. В статье, речь о том что двухфакторная авторизация устарела в том виде как она преподносится крупными компаниями, либо сделана криво. И речь о том что есть способы уже давно проще, надежнее и удобнее для пользователя и для самих компаний.
после слов "симка клонируется" читать не стал, они уже лет десять как не клонируются, и "специалисту" по новым технологиям не знать об этом просто позорно.
действительно, только если вы специалист, то найдете что клонируется
ну как бы ссылочку хотелось от такого крупного специалиста, именно о клонировании симки российского оператора в 2021 году
Если быть точным, то в рамках технологии перехвата СМС, выражение "клонирование сим" , не самое подходящее.
Ну окей, я по комментариям уже понял, что СМС это лучшее что есть, покрайней мере для наших людей. Теперь в целом ясно, почему вся отрасль молится на них, спрос порождает предложение.
Одно только не понятно, какова доля людей без смартфона ради которых вся Россия должна ходить по граблям.
Что значит "ради которых"? Вы как-то оригинально трактуете ситуацию. Давайте развернем в другую сторону. Какова доля тех, кто непременно покупает топовый смарт, и ради "современности" которых, вы призываете менять стандарт авторизации? (а если говорить о паспортах, так еще и законодательство)
эм... окей. Если действительно интересно, тогда я скажу следущее. Таскать паспорт по улице, для того что бы забрать почту весьма плохое решение. Паспорт никак не защищен от третьих лиц, открыл паспорт посмотрел всю информацию, использовал для своих целей. Паспорт должен лежать в сейфе. Но, конечно это сугбо моё личное мнение, возможно для когото потеря поспорта это сущий пустяк, я этого не отрицаю.
Украсть телефон? Такое тоже не редкость, и что вы предпочтете? Потерять айфон (защищенный от и до) или потерять кнопочный телефон, по которому злоумышленник может подтверджать транзакции в вашем банке? Опять же, я никому ничего не навязываю и не призываю, я это вижу именно так, но любой другой человек это видит конечно совсем по другому. Считает что потеря телефона это абсолютный пустяк, такой же как потеря паспорта.
Так вот. Я не боюсь потерять айфон, но боюсь потерять паспорт или потерять обычный кнопочный телефон. А вы?
Комментарий недоступен
Внедрение а главное поддержка обойдется дешевле нежели рассылка СМС. Я не ракламирую айфоны, я точно так же люблю телефоны на Андроид.