Вход по QR-коду в личный кабинет: больше никакого «я забыл логин и пароль»
До апреля 2021 года в веб-версию СберБанк Онлайн можно было войти только одним способом: введя логин и пароль. Миллионы пользователей каждый месяц забывали эти данные (и мы их прекрасно понимаем). Чтобы решить проблему, мы добавили новый способ входа — по QR-коду. Объясняем, как он работает и почему он совершенно безопасен.
В чём заключалась проблема
Начнём с цифр. Из ста с лишним миллионов клиентов Сбера около семи миллионов человек заходят в веб-версию СберБанк Онлайн. Из этих семи миллионов человек примерно четыре миллиона активно пользуются нашим мобильным приложением. При этом паттерны поведения на сайте и в приложении у них очень разные.
Мобильное приложение такие пользователи используют практически каждый день, чтобы переводить кому-то деньги, пополнять счёт телефона — в общем, для быстрого решения задач. В веб-версию они заходят раз в две-три недели. В браузере пользователям удобнее решать задачи, требующие сосредоточенности: инвестировать, брать кредит, выполнять сложные переводы, для которых нужны реквизиты.
Часто за эти две-три недели, которые проходят между сеансами, человек успевает забыть логин и пароль. Это нормально, с нами тоже такое случается: мы привыкли всюду входить по биометрии, номеру телефона или сохранённым в кэше браузера паролям. Вход по логину и паролю всё ещё популярен, но в современном мире люди отвыкли запоминать такие вещи. Многие до сих пор пытаются записывать такие данные в блокнотах или на стикерах (напомним: это крайне небезопасно, не стоит так делать!).
Всё это привело к тому, что около 40% обращений в Сбер в категории «вход и регистрация» были связаны с тем, что человек забыл логин или пароль. Чтобы восстановить их, нужно вводить номер банковской карты, а она не всегда есть под рукой. Кроме того, для подтверждения нужно ввести код из смс. С этим тоже бывают проблемы: сообщение может не прийти по разным причинам — и войти в личный кабинет не получится. Так мы поняли, что нужен новый, альтернативный способ входа. И стали его искать.
Почему мы выбрали QR-код и как работает новый способ входа
Мы изучили, как это работает у других компаний — не только банков. И поняли, что вход по QR-коду — популярная опция, к которой пользователи давно привыкли. Например, так это работает в WhatsApp. Чтобы попасть в веб-версию мессенджера, пользователь открывает мобильную версию и сканирует код. Так сервис понимает, что «впускает» именно этого пользователя.
Итак, QR-код оказался оптимальным вариантом: простым и привычным для пользователя, а главное — безопасным. О том, как обеспечивается безопасность, мы расскажем ниже, а сейчас опишем, как технология входа по QR-коду работает у нас.
Все эти действия занимают приблизительно 20 секунд. Кстати, если вы ни разу в жизни не пользовались веб-версией и не регистрировались там, это не помешает войти в кабинет таким способом.
Разумеется, мы проводили исследования и собирали фокус-группы, чтобы понять, что клиенты думают о новой фиче. Обратная связь была на 100% положительной: все, кому мы предложили попробовать вход по QR-коду, сказали, что это удобнее ввода логина и пароля.
Почему новый способ входа безопасен
Личный кабинет клиента банка — святая святых. Предлагая добавить новый способ входа, мы понимали, что он должен быть абсолютно безопасным. Чисто технически настроить вход по QR-коду было просто. В этом нам очень помогли коллеги, которые сделали Сбер ID — сервис единого входа в сервисы СберБанка и партнёров.
Технология была готова в январе, и следующие три месяца ушли на совместную работу со службой безопасности. Мы тестировали фичу, проверяя сотни самых разных сценариев. А что, если у клиента два устройства с мобильным приложением? А если пользователь сказал кому-то из членов семьи код от СберБанка Онлайн? И так бесконечно.
В итоге мы обеспечили несколько уровней защиты. Во-первых, технология входа по QR-коду не работает на смартфонах, которые не защищены паролем или биометрией. При попытке входа приложение выдаст ошибку. Во-вторых, мы с коллегами из Сбер ID продумали, как должен выглядеть экран подтверждения входа в мобильном приложении, чтобы пользователь в любой момент понимал, что происходит, и не впустил в свой кабинет злоумышленника. В-третьих, как только пользователь попадает в личный кабинет, включается фрод-мониторинг, который анализирует все его действия.
О большей части работы, которую мы проделали вместе со службой безопасности, мы рассказать не можем. А жаль! Там было много интересного. Когда все тесты по безопасности были пройдены, мы начали внутренний пилот. Около двух недель команда тестировала новый способ входа, всячески пытаясь его сломать и найти ошибки. Убедившись, что всё работает корректно, мы стали плавно выкатывать новую функцию для пользователей. Тиражирование прошло без происшествий, и теперь вход по QR-коду доступен всем. Со стороны кажется, что мы добавили маленькую фичу, но цифры показывают, что сотни тысяч клиентов уже отказались от входа по логину и паролю, а значит, решили проблему с их запоминанием. Этого мы и добивались.
Это то приложение, которое требует права на всё (ради "защиты пользователя") и не ставится на рутованный андройд?
Теперь еще осталось убрать из онлайн-сбербанка никому не всратые "сториз", которые занимают кучу полезного места на первом экране. И вернуть возможность видеть все три карты одновременно. Прикиньте - мне нужно всего лишь зайти в Сбер.Онлайн и увидеть все мои карты - а я не могу этого - мне даже моего гигансткого экрана не хватает, потому что там какие-то на хуй никому в хер не упершиеся сервисы, рекламы, опросники и предложения блядь весь первый экран занимают.
Да, мне тоже не нравится, что теперь видны одновременно только 2 карты... ((((кто это придумал...???
похоже наняли шибко грамотного "Кулибина ", вот он и сидит и высасывает из пальца всякое дерьмо, а а вот ,чтобы сделать все просто , доступно и хорошо , рога у него еще не выросли!
А где менеджер паролей в голосовалке?
а еще бы одноразовый пароль из гуглосовместимого аутентификатора прикрутили бы и вообще цены вам не было бы.
Ну надо же все альтернативы дурацкими выставить...)
А вот отсутствие TOTP в 2021 году выглядит несерьёзно.
Ну я не забывал ни разу пароль. Плюс есть менеджер паролей. Вообще, очень много хуйни всякой внедряется в бывшие когда-то удобными сервисы под предлогом "миллионы людей чего-то там". Да насрать на миллионы. Миллионы Бузову слушают и Дом-2 смотрят, это что - ориентир чтоли? Бабушки вообще не отдупляют что и как в смартфонах, давайте теперь вместо пуш-уведопленией голбиную почту сделаем.
Новаторы хуевы блядь.
Комментарий недоступен
Потому что бесит этот никому не всратый маркетинг. Вначале все испортили, а потом еще "мы сделали клевую фичу - похвалите нас", а там какая-то херь, никому не всратая. Сделали и сделали - молчите уже.
Я от Сбера лет 10 уже никаких полезных для себя новшеств не получал. (Последний раз было полезно когда они шаблоны сделали )А они там все докручивают и докручивают чего-то. В интерфейсе все сложнее найти нужное, все дольше грузится, все сложнее работает. "Эффективный маркетинг" блядь.
Ну вообще да, злой я чего-то, ты прав )) Отдохнуть надо.
Если вы не забывали пароль никогда, то либо у вас нет необходимости их вспоминать, либо у вас их мало, они простые и повторяющиеся.
После первых двух абзацев читать не стал..
Я понимаю, что вы собираете данные, но блин, как то не приятно такое слышать открыто. Вот эти люди сидят в браузере. А ещё они с мобильным приложением. Ну у них ещё отпечатки отличаются.
Круто, что. А размер ноги тоже разный, или одинаковый?
Ну это такой идиотизм, что я не смог пройти мимо — да о тебе известно совершенно все, вплоть какое ты порно смотришь и что заказываешь домой. И это не Сбер знает, а твой оператор, провайдер, Яндекс, Мейл, участковый скоро будет знать без ограничений, ВКонтакт помнит даже твои пароли. Насколько нужно быть одаренным, чтобы под статьей Сбера, где они рассказывают как стараются упростить жизнь клиентам нести этот бред?
на сбермаркете не работает
Попробуйте обновить QR-код, нажав на символ со стрелкой, и повторите сканирование при помощи приложения Сбербанк Онлайн
Бесполезно. Никуда невозможно зайти по сбер id, ни вчера ни сегодня. ТП отмораживается
Здравствуйте!
Письмо у нас. Мы все проверим и направим вам ответ в СМС
IDownHouseI, пришлите, пожалуйста, на [email protected] ваши ФИО, дату рождения, контактный номер телефона. В теме письма укажите «IDownHouseI VC», проверим
Здравствуйте!
Нам понадобилась дополнительная информация. Пришлите, пожалуйста, на нашу почту фото паспорта (страницу с датой рождения и с адресом регистрации). Тему письма оставьте прежней.
отправил
Не видим ваше письмо 😔 В теме указали "IDownHouseI VC"?
да
Получили, спасибо. Продолжим проверку
Хорошая попытка, сбербанк, но нет.
У вас процесс не останавливается, если я нажму «Не входить».
После этого я могу сосканировать QR заново, нажать «Войти» и меня любезно пустят на вебе.
Глеб, здравствуйте!
Спасибо, что написали :) Если при входе в мобильном приложении нажать сначала «не подтверждать», а затем — «прервать», то в веб-версии появится сообщение о прерванном соединении, и вход не произойдет.
Но сам QR-код обновляется, поэтому, если в следующий раз при сканировании, вы нажмете кнопку «войти» вместо «не подтверждать», то ваш личный кабинет в веб-версии действительно откроется.
У меня был кейс, что я сканировал дважды именно один и тот же qr (так получилось, что он был заскринен), но я не припоминаю окошка «прервать/нет, продолжить», да и на вебе не было написано «Вход прерван пользователем».
Но теперь это появилось, круто, что сказать)
Как эту мерзость навсегда отключить?
Раньше вебверсия Сбера была защищена от потери телефона: вору нужно было знать логин с паролем.
Теперь же всё для воров: достаточно 1 (одной) СМС на привязку мобильного приложения - и входи в Сберонлайн, включай видимость всех счетов, выводи деньги!
ВСЕ ТАКИЕ ВОЗМОЖНОСТИ НУЖНО ДЕЛАТЬ ПОЛНОСТЬЮ ОТКЛЮЧАЕМЫМИ!
Для входа в мобильное приложение нужно ввести код, если его не знают - то только при помощи ввода номера активной карты можно восстановить доступ к личному кабинету (+ ввести нужно СМС, которое поступает на номер, привязанный к карте).
В любом случае, в целях безопасности при потере телефона рекомендуем сразу заблокировать Сбербанк Онлайн.
Я не намерен держать в тайне номер активной карты.
Я не намерен работать с банком, доступ в ЛК которого зависит от 1 (одной) СМС.
Я не намерен работать с банком, деньги в котором можно потерять вместе с телефоном.
А главное - я не намерен работать с банком, в котором работают подонки, сделавшие все эти якобы "удобные" опции неотключаемыми. Только последняя мразь может не дать пользователю все эти мерзкие недоудобства навсегда отключить.