Pull to refresh

Comments 44

К качестве минутки юмора и понимания уровня адекватности поддержки приведу пример инструкции по закрытию счёта «Чтобы закрыть счет, зайдите в настройки → «Тарифы» → «Расстаться с …», юмор, разумеется, заключается в том, что доступа к личному кабинету нет (тогда бы и счёт закрывать не пришлось).

Они так просто не отстанут...

Это запасной вариант. Однако есть подозрение что так сейчас везде или почти везде. Поэтому и хочется как-то подтвердить или опровергнуть эту информацию.

Минимум два других банка пускают по паролю и коду из СМС, не везде так :-)

Двухфакторная авторизация, разумеется, уже присутствует. Фирменное приложение выдаёт тебе одноразовые коды для входа на сайт. К сожалению, этого оказалось не достаточно.

Двухфакторная аутентификация, ты ж программист

Однако, так же как и мне доступ предоставят и любому другому человеку, который сможет его назвать.

На чём основано столь громкое утверждение? У вас были такие случаи?

Да, были, я звонил и успешно проходил эти шаги от имени папы друзей семьи который лежал в реанимации и действия одобрял.

Правда потребовались ещё кое-какие данные, но их очень несложно достать при необходимости.

По сути дела описанная проблема решается галочкой "запрет удалённого восстановления доступа к ДБО". Только РЕАЛЬНО РАБОТАЮЩЕЙ. а не как в ВТБ.

Была история у меня с эпплом. Долго не пользовался телефоном, через год потребовалось восстановить айди. Процедура восстановления дошла до вопросов на которые я когда-то давным давно давал ответы...

2й по счету вопрос: "блюдо из яиц"

Омлет. Нет.

Яичница. Нет.

Глазунья. Нет.

ЯиШница. Нет.

После чего я сдался (или попытки закончились, не помню уже) и пришлось искать чеки на покупку и звонить голосом в саппорт. Какой же там в итоге был правильный ответ, я так и не узнал.

Тоже самое. Только у меня 4 аккаунта а история 1 в 1 на всех)

Охренеть у вас ключевое слово, знаете ли.

Не зря же пишут, мол, имя первого питомца или двоюродной сестры, это не надо запоминать.

Охренеть идея – ключевое слово, которое знает довольно много народу... (а ещё есть шанс его вычислить по соцсетям).

А "блюдо из яиц" знают только избранные?


Я про то, что ключевые слова должны быть точными, типа "блюдо из яиц, которое впервые приготовила ваша девушка" (предполагаю, что вы это запомнили).

Угу. В принципе так себе идея – ключевое слово с вопросом к нему, умные люди советуют придумывать слово, не связанное с вопросом, или ещё можно вопрос типа "otp-md5 кря+пароль" (предполагается, что вы помните какой-то пароль и можете выполнить действия из подсказки).

Я было подумал, что вы про "Лошадиную фамилию"

ух какой blast from the past. Где же я его читал? В "Юном технике" или в "Технике - молодежи"?

Ни там и ни там.

Сокровище // Изобретатель и рационализатор. — 1988. — № 6. — С. 28-31.

Оригинал:

The Sixth Palace // Galaxy. — 1965. — Февраль. — P. 99-109.

Не у меня, у эппла. Вопросы придумывают в купертино.

На мой взгляд, на самые очевидные вопросы нужно давать совсем неожиданный ответ.

Блюдо из яиц -- кирпич

Имя двоюродной сестры -- дверь

Вот такая же глупая мысль когда-то в голову взбрела. И именно для банка. И конечно, спустя много лет, всё это забылось, ибо никогда* не требуется. Но пару раз пришлось минут по пять перебирать самые идиотские варианты и проклинать себя за "креативность".

Лайфхак. Если вопросы придумываю не я, я везде пишу ответ "не знаю" (на самом деле другие слова, но смысл такой же). Вроде пока работает. И вспоминать не надо. А то зададут вопрос: "Ваша первая машина?" Жигули, ваз2106, lada 2106 куча вариантов и все верные для человека.

Подозреваю, что тогда я все же написал в ответе "scrambled eggs"

Был давно интересный баг у Apple.
Имея apple id, можно было удаленно отследить местоположение айфона с любого, даже недоверенного компа -притом icloud понимал, что я зашел с чужого компьютера, и предлагал ответить на 2 контрольных вопроса или получить смс с кодом. А снизу кнопка - отменить - жал ее и все прекрасно работало. Но потом починили
P.S. Никакой преступной слежки, просто я был молод, а родители уезжали на дачу :)

Обходное решение — назначить слово типа «щИгёрЖ6В9Т» (все требования соблюдены).

В ПСБ можно отключить всю идентификацию по мобильному телефону/SMS и входить в банкинг по логину/паролю + одноразовый код с пластиковой карточки, которую выдают в отделении (на 100 кодов). За давностью лет не могу правда утверждать, что там при заключении договора не спрашивали кодовое слово, но по крайней мере при входе в ДБО его не требуют.
К сожалению, в противостоянии держателей денег с мошенниками банки всегда играют на стороне мошенников. Держать деньги на карточке — это всё равно что жить в коммуналке: банковские счета — натуральный проходной двор. Банки с радостью позволят запустить туда руки любому проходимцу, и клиент никак не может этому помешать:
— Ни один банк не предоставляет услуги абсолютного отказа от кредитов, чтобы к примеру в ближайший год никоим образом на вас ничего не могли оформить.
— Ни один банк не предоставляет услугу белого списка, даже вип-клиентам. И вы не можете обозначить те счета, на которые только и разрешено переводить с вашей карточки (чтобы попытки перевести на счёт, которого в списке нет, неизбежно проваливались).
— Ни один банк не предоставляет услугу явного подтверждения транзакций, чтобы ни один перевод не мог уйти без вашего явного подтверждения, причём не СМС-кодом, а путём захода в приложение или онлайн-банк на вкладку «ожидают подтверждения».
Ну и т.д. Клиент банка полностью бесправен и не может запретить мошенникам абсолютно ничего, а может только попытаться постфактум что-то там оспорить.
Возникает впечатление, что именно мошенники являются настоящими клиентами банков, настолько удобно всё для них устроено.

IPSec + сертификаты
>>> Существуют

Банки
>>> Введите кодовое слово, одноразовый пароль, свой основной пароль, фамилию троюродной племянницы для входа в личный кабинет.

Но если вы попытаетесь снять деньги просто по номеру карты через зарубежные сервисы - то проблем не будет.

Зато можно подключить платную страховку от мошенников (предлог "от" тут намеренно неоднозначен).

Понимаете, вы по факту вместо того чтобы пользоваться возможностями банка, начинаете с ним бороться. Отнеситесь к нему как к инструменту, изучите свойства и пользуйтесь. Или найдите другой инструмент, если этот не подходит.

Изучил. Инструмент дырявый, а отказаться от него нельзя. В этом и проблема.

Почему отказаться нельзя - непонятно, но ладно, положим обстоятельства. Но вы знаете где у этого инструмента проблемы и слабые места, обойдите их? Придумайте как использовать с учётом слабых мест. И если совсем нельзя обойти, подложите соломки в предполагаемые места падения. Просто начните думать в сторону ваших возможностей, а не бейтесь в стену недостатков.

вы случайно не бизнес-коуч?

Максимально далёк от обоих слов. Просто пришло понимание, что у любого инструмента есть хорошие(сильные) и плохие(слабые) стороны. И часто можно найти способ использовать инструмент так, чтобы эффект слабых сторон был минимален.

Ну и еще момент. Бизнес понимает только один язык - язык денег. Банкам плевать на безопасность, пока это не будет отражаться на их доходах..

10 русских букв или цифр – 43¹⁰ = 2*10¹⁶ вариантов. По мне – достаточно приемлемо, чтобы исключить перебор (который вообще-то должен быть закрыт в принципе – никто не даст вам 100 попыток назвать кодовое слово).

Т.е. на самом деле проблемы нет (зато есть куча других). В смысле, если вы не планируете восстанавливать доступ по кодовому слову – его можно сгенерировать и забыть. Хуже, если банк может неожиданно его спросить ("у нас тут вызвала сомнение ваша операция, мы заблокировали ваш счёт, назовите кодовое слово" – в принципе плохая ситуация, на входящем звонке такого быть не должно), но если вы готовы в таких случаях ехать в банк – вроде терпимо.

А вы не думали, кстати, каким именно образом происходит проверка кодового слова на стороне банка?

Там ведь точно сотрудник банка вводит его в нужное поле, а не глазами его проверяет, да?

Сейчас вроде вводит (судя по тому, что какое-то время назад его комп не с первой попытки принял). А много лет назад afaik действительно сравнивали (судя по аналогичному эксперименту).

А что мешает мошенникам позвонить вам — «мы из службы безопасности, у нас вызвала сомнение ваша последняя операция, назовите кодовое слово, или мы заблокируем ваш счёт».

Так я же и приводил рассказ — логика понятна: сначала ВСЕГДА называем неправильное слово. Если сказали "большое спасибо, всё правильно" — то это мошенники.

Ничто не мешает, поэтому в такой ситуации надо самому перезванивать в банк.

Любопытно, кстати, что почему-то мошенники кодовое слово узнать не пытаются, всё норовят одноразовые коды. Возможно, оно даёт не так уж много возможностей?

— Назовите кодовое слово.
— «Какоеслово»?
— Мы рады вас приветствовать! :)
Sign up to leave a comment.

Articles