Смс, банки и паранойя

Друзья на днях я решил поменять свой телефон, с которым проходил 5 лет, менял неохотно, но суть в том, что я очень очень очень сильно удивился насколько сложно стало перенести данные на новый телефон. Не торопитесь с выводами, речь идет про перенос не только софта, но и симок и банковских приложений.

Начнем с азов, как происходит процесс переноса основной массы программ и настроек телефона? Очень легко и не принуждённо, мы просто восстанавливаем на новом телефоне бэкап старого. И все настройки телефона со всеми (ну почти) программами переносятся в те же места где были раньше.

Затем настает второй этап. Залогиниться во све эти программы. Большинство приложений проходят такую процедуру без каких либо проблем. Остальная часть просит перелогиниться заново. Но есть немалая доля программ которая не пустит вас даже если вы будете пытаться логиниться.

Зачем вообще такой геморой с этими логинами?

Введите логин, введите пароль… Теперь введите смс… теперь введите токен ауентификации… теперь пинкод — это не шутка, такие кейсы я встретил в паре приложений. Ребята это уже не двухфактораная, а какая то четырехфактораня идентификация основая на абсолютной паранойе.

Зачем мы в 2023 году имеет такие сложности, от незнания? На данный момент мы имеем менеджеры паролей, генераторы паролей… А что если менеджер сломается, мы вообще сможем зайти хоть в один сервис без сброса пароля? А если сломается не только менеджер, а смс не прилетит? Мне кажется мы слишком сильно стали зависить от всех этих “обвесов” которыми нас пичкают под эгидой псевдо улучшения секъюрности.

Немного истории, разберемся, зачем вообще нужны эти пароли?

Изначально связка логин-пароль появилась для идентификации пользователя, он не играл какой то защитной роли, например люди заводили семейный аккаунт с одним логином паролем и т. д.

Но кто-то подумал, это ведь не безопасно! Решили усилить безопасность. Что бы пользователи придумывали хорошие пароли, будем придумывать тупые правила для полей ввода, наделаем генераторов паролей, так что бы пользователь вообще не мог запомнить ни одного своего пароля.

И это уже стало не удобно. Появились менеджеры паролей, что бы хранить всю эту массу абсолютно не запоминаемых паролей. Если менеджер сдохнет, вам придется не легко и такие случаи были… и их было много, облаков тогда не было, а бэкапы простые пользователи не делали.

И кто то подумал, надо сделать простой способ восстановить пароли, простой и безопасный! Решили усилить безопасность. И решили что логин должен быть адресом электронной почты, ну или обязательная привязка электронной почты.

И это опять стало не удобно. Раньше просто логин, а теперь почта… Стали делать любые адреса почты. И такие случаи были… и их было много.

И кто то подумал, надо сделать так что бы почту надо было подтверджать. Привязка почты повышает безопасность! И почту стали подтверждать кодами, это дерьмо дожило до наших лет без особых изменений.

И это опять стало не удобно. Да и проблему не решило, т. к. раньше почту меняли как перчатки, а иногда просто забывали пароль от почты. И это опять создавало проблемы.

И кто то подумал, ну почему же мы используем только один способ восстановления пароля? Есть же телефоны и СМС, давайте повысим беопасность. И пошло поехало, теперь сразу по обкатанной схеме привязка телефона как обязаловка. Ну а что, не просить же второй адрес почты, а телефоны у всех есть, да и симка то по паспорту!

И это опять стало не удобно. Теперь надо было и почту, и телефон привязать, а еще пошло поехало, юзеры по прежнему использовали простые пароли даже формы для ввода пароля с полосочкой сложности пароля перестало помогать…

И кто то подумал, а сделаем мы двухфаторную идентификацию. Это ведь повысит безопасность. И гугл сделал генератор токенов, который никто не использовал, потому что это было не удобно для обывателей… И тогда пришли СМС с кодами.

И это пять стало не удобно. С этого момента для логина иногда надо было код подождать. А иногда даже как на почту, так и на СМС.

Дальше уже понавертели пинкоды, фейс айди, отпечатки… но это все появлялось в дополнение а не вместо. Получили дополнение… email+password+phone+sms удобно? как бы не так… сложнее? да.

История паранойи была сильная, а дальше начался вообще театр абсурда

Наприемр приложение Модульбанка, которое предлагает при логине на сайте, зайти в приложение и взять из него токен, ну или пойти дальше и прямо в приложении подтвердить вход на сайте. Удобно? Да очень! Только зачем мне сайт, если я уже сходил за телефоном, запустил в нем приложение и залогинился в нем? Да они чертовы гении…

Бинанс например просит код из письма, код из смс, код из токена, и пароль…

Но паранойя достигла абсолютного апогея в России, где операторы сотовой связи вместо копирования esim со старого телефона на новый, предлагают перевыпуск! сим карты. Еще одни очередные гении секъюрности, котрые не знают какую они проблему этой ахинеей решают. А следом идут их подружки − банки, которые зачем то привязываются с сим карте.

Я переносил приложение Модульбанка, Тинькофф, Райфайзен и других банков, с одного телефона на другой.

Предварительно перенеся esim перевыпуском — перевыпуск делают только опсосы РФ, иностранные esim перенеслись по Bluetooth простым нажатием пары кнопок.

Дальше было совсем смешно. На новом телефоне с перенесенной (перевыпущенной) esim с тем же номером банковские приложения не открывалось, сообщая о том что сим карта изменилась. А на старом телефоне, который вообще был без сим карты, они спокойно открывались. Скажите где логика?

Дальше началась череда созвонов с банками, по видео связи, что бы что? Правильно паранойя, что бы показать как они заботятся о секъюрности хотят посмотреть на мою морду лица так сказать. НА каком то из созвонов, я даже подумал мазок попросят и в стаканчик пописать.

Но один банк например вообще перестал работать. Приложение просто отказалось делать логин, а созвона у этого банка нет.

Вот такие они озабоченные секъюрностью… Но при вопросе какую из проблем они решают привязкой к сим карте они только разводят руками, как и в других случаях. Нам говорят, "мы заботимся о вашей безопасности" но как только дело доходит до пострадавших, все разводят руками.

Операторы связи делая перевыпуск esim, что то сделали с обзвонами мошенников? НЕТ, тогда какую нахрен проблему они решают?

Банки когда привязываясь к этим сим картам, и когда жулику пенсионер переводит деньги, что то делают? НЕТ, тогда зачем эта ахинея с привязкой и видео звонками, какую проблему они решают?

Скажите мне кто нбудь, зачем все эти сложности? Мир не рухнет, если esim перенесется как любая esim во всем цивилизованном мире. Мир не рухнет, если банковские приложения не будут цепляться к сим карте. Мир не рухнет если будет просто логин и пароль с токеном. Мир не рухнет. Хватит параноить.

В итоге самое простое это наверно не менять телефон совсем… Ну, или отказаться от банков РФ и сим карт РФ?

И еще немного… На сайтах теперь по 200 различных способов "Войти с" которые зачастую не связаны в самом кабинете (редко кто реализует такую фичу). Более того, доверяя “Войти с” мы выбираем вендора от которого мы становимся зависимы. Захочет вендор заблокировать ваш аккаунт, вы теряете не только его но и все те места где вы делали "Войти с”.

У меня всё.

22
1 комментарий

С утра до ночи в СМС From morning till night in SMS)

3
Ответить