Что не так с крупными компаниями в России?

Я хотел бы затронуть тему, которая беспокоит меня и многих людей — почему чем крупнее компания, тем хуже отношение к технологиям? Почему каждая такая компания идет по граблям изобретая свои велосипеды с кривыми решениями?

Речь конечно же о системах авторизации и идентификации юзера хоть в окне кассы, хоть на сайте.

За все время мы, люди, прошли долгий путь от login/password до умных и неудобных решений с двухфакторкой, и еще более умных и уже удобных, в виде SSO и войти через…

Почему её так любят наши компании? Почему компании вообще любят СМС?

У меня есть для вас, компании, новость: коды через СМС, это устаревшее в плане технологичности решение, небезопасное (симка клонируется при желании). Решение дорогое для вас, ведь каждая СМС стоит денег! Не убедил?

А ещё, авторизация через СМС сильно тормозит процесс авторизации юзера и раздражает.

Некоторые компании «повышая секъюрность и экономичность» вместо СМС используют пуш уведомления, прикостылив на скорую руку от уже реализованной системы с СМС. Складывается впечатление, что делают подороже в реализации, посложнее, лишь бы не сделать нормально.

Что происходит на сервере при каждой авторизации: Нужно взять юзера который логинится, запомнить что юзер должен ввести код. Сгенерировать код, отправить (СМС платно или Пуш), подождать пока юзер введет код и потом его пустить.

В этой схеме с СМС все что угодно может пойти не так, например у юзера сел телефон, СМС не прилетит. Например СМС сервис работает с задержками (надо иногда задержка составляет минуту). Например СМС может вообще не прилететь.

Есть способы надежнее, лучше и проще в реализации, а главное бесплатные.

Пуши! Нет, с пушами такие же проблемы. Тем более, я не знаю ни одной компании, которая бы сделала пуши правильно. При логине на сайте, пуш приходит в приложение. Почему при логине на сайте не сделать пуши для браузера или вам так нужно что бы юзер бежал за телефоном?

Пуш при логине на сайте, приходит в приложение на устройство, а устройство может быть просто севшим. И получаем те же грабли что и с СМС, пуш не доставлен, юзер не может залогиниться.

Пуш так же может не прилететь, нет гарантированной доставки так же как и с СМС.

Пуш может быть вообще отключен если предварительно ваше приложение спамило юзера рекламой СМС, хотя бы отключить нельзя.

Юзер во время авторизации через двухфакторку испытывает стресс, ему нужно бежать за телефоном/смотреть на часы/быстро проскроллить до кода и ввести его пока не скрылось сообщение. Все это стресс. Стресс при каждом входе!

У СМС даже есть некоторые плюсы из за того что пуши так криво релизованы. СМС например может переадресовываться на macOS при логине на сайте.

Но зачем, зачем вообще делать так плохо, когда можно сделать проще, безопаснее, удобнее а главное дешевле...?

Авторизация должна быть быстрой, в идеале вообще прозрачной для пользователя. И большинство компаний в приложении для iPhone/iPad/Mac используют именно прозрачную авторизацию, например защитив биометрий вход в приложение.

Более большие компании и дяди отвечающие за секъюрность в этих компаниях, сами того не понимают, что у них уже реализована система лучше чем костыльное решение с СМС и Пушами.

Я хочу до вас донести вести, которым уже без малого 100 лет в обед!

Неожиданно!? Неслыханно!? Какая наглость!

Да, это называется SSO и делается значительно легче, чем вся ваша религия с регистрацией через платные для вас СМС. А для вас, тех кто осилил двухфакторку через ПУШИ, я сообщаю, что SSO приделать проще чем весь ваш нелепый велосипед с генерациями и проверками кодов. Более того, решение на SSO будет надежнее и работать будет быстрее в разы. А главное это действительно секъюрно, да еще и бесплатно для вас.

Я приведу пример двух банков, Тинкофф (куда же без него) и Точка. Приведу пример Бизнес банков, ведь речь идет о деньгах огромных, деньгах компаний.

Тинкофф, банк хоть и продвинутый, но трусливый до нормальных решений, они вот судятся с ОПСОСами на счет стоимости СМС, а ведь могли просто сделать нормальную авторизацию через sing in with Apple, как например банк Точка.

Смотрите, Точка работает, дает юзерам позитивое впечатление при каждой авторизации, а Тинкофф раздражает при каждой авторизации своими кодами.

Так что конкретно мешает сделать авторизацию нормально, что именно пугает большие компании, простота и экономичнось реализации или дополнительная надёжность и бесплатность решения?

Теперь приведу пример компании CDEK, с которой я на днях столкнулся, и которая сподвигла меня написать эту статью. Компания крупная, компания с кабинетом на сайте, который они решили переделать. Переделывают глобально и как обычно принято у больших компаний, ступая по граблям.

Раньше была в CDEK была авторизация через логин/пароль. Теперь они делают СМС!

Вход по телефону и СМС, что может быть хуже в 2021 году?

Ребята… я не знаю о чем думает ваше руководство вваливая деньги в решение которое морально устарело лет на 10. Вкладывая деньги в решение, которое требует огромных вложений в реализацию и поддержку. При этом создавая лишь неудобства для пользователей.

Каждый раз при обращении на кассе, CDEK, Почта России, и т.д. требуется идентификация личности. Как это сделано? Паспорт.

Т.е. все держится на том, что симку не клонировать… ой, т.е. паспорт не подделать. Скажите мне пожалуйста, у вас на кассе сидят люди имеющие квалификацию по распознаванию фальшивых документов? Если нет то к чему весь этот цирк? Чем поддельный паспорт для кассира отличается от поддельных например прав? Или вы нашли где то описание какой документ сложнее всего подделать, и на основнании этого было решено, паспорт подделать труднее всего, будем требовать его?

Вы говорите, мы боремся с мошенничеством, при этом вы не можете отличить ЛЮБОЙ поддельный документ от оригинального, просто потому что ваш кассир не специалист по подделкам, так что принимайте пожалуйста ВСЕ документы, в том числе и водительские права.

Начну сразу с примера компании, которая сначала смогла, а потом попятилась испугавшись как хорошо все заработало.

Когда началась реформа по превращению Почты РФ в магазин и банк и … Вобщем в то самое время у них появилась авторизация на кассе через СМС. Человек подписывал документ для выдачи посылок по СМС один раз с паспоротом и далее все посылки получал уже только по СМС.

И это наверное единственное место, где СМС действительно подошли для быстрой идентификации. Но Почта РФ пошла дальше и сделала невозможное, помимо СМС наладила Пуш уведомления. Стало удобно. На время. Потом опять стало не удобно.

Раньше было как? Пришел, показал штрихкод посылки, тебе прилетела смс/пуш с кодом, код назвал и посылку получил.

Теперь же сделали так… Пришел, показал штрихкод посылки, назвал вслух всем вокруг и кассиру свой номер телефона, тебе прилетела смс/пуш, код назвал и посылку получил.

Кто нибудь мне в комментариях напишите, чем это секъюрнее стало, с называнием вслух номера телефона?

Например постоматы, по факту это такие заменители кассиров. Подходишь вводишь код и получаешь посылку. Между тем, код прилетает заранее и хранится в смс.

Удобно? Удобно. Секъюрно? Ну как и всё с СМС.

Друхих способов авторизации на кассе я не знаю. Ну кроме как «паспорт покажите, нет, только оригинал, нет, права не подойдут».

Для начала надо понять, что СМС это не безопасно, склонировать симкарту можно при желании. Гораздо сложнее доказать приложению что ты это ты через поддельную биометрию.

Приложение должно подтвердить, что человек стоящий сейчас перед кассой, это тот самый гражданин который должен получить посылку и рассказать это кассиру через сервер компании.

Как именно это будет реализовано, не так важно, но основные моменты понятны:

1. Приложению нужно получить сигнал о том что сейчас мы авторизуемся на кассе.

2. Пользователь должен подтвердить себя в приложении.

3. Кассир должен получить об этом информацию.

Важно понять, что само приложение должно выступать в роли документа предъявлеямого получателем.

Например юзер подходит к кассе, через камеру считывает QR код на окне кассира.

Приложение открывается и просит приложить палец, юзер прикладывает палец, кассир видит данные юзера у себя на компьютере и понимает кто стоит перед кассой, видит ФИО, видит номер телефона и т.д.

Как это сделать? Для начала нам нужен принтер для распечатки QR кода, и скотч для наклейки на окно.

QR код должен содержать лишь сссылку, которую открыет приложение, в ссылке должны быть открытые данные о кассе (например номер отделения, номер кассы).

Нужен еще один метод API на сервере в дополнение к остальным методам уже сделанных. Метод будет получать данные от приложения: тот самый номер кассы и номер отделения.

После этого сервер делает пуш на компьютер кассира. (пуш конечно же можно заменить на обычный запрос к серверу по нажатию кнопки «Refresh» кассиром в его приложении).

Схема простая в реализации и более безопасная чем СМС. QR код можно заменить на NFC карточку кассира. А для пущей секъюрности можно добавить к данным примерные координаты GPS получающего посылку.

Систем авторизации на кассе готовых, пока просто нет, но если изобретать велосипед, то нужно хотя бы делать это удобным для пользователя и исходить из безопасности реализации.

У меня всё. Надеюсь я свою мысль донёс и эту заметку прочитают люди из руководства компаний.