Pull to refresh

Comments 15

Немного не понял из статьи: вы изменили только метод регистрации или вход тоже изменили?

С моей точки зрения логин-пароль универсальное и вполне надёжное решение. Вместе с подтверждением по email/sms/комплекту одноразовых пин-кодов в случае входа с нового устройства работает отлично.
Проблема sms-пинов в том, что у человека не всегда есть доступ к номеру телефона. К примеру в случае командировки\отдыха заграницей. А ещё люди могут менять номера телефонов.
По поводу «Семьянинов» — вы зря недооцениваете процент таких пользователей. И это не только муж-жена, но и родители-дети. К примеру многие супруги или родители далеки от технологий и финансов, и поэтому их половинкам/детям приходится вести бухгалтерию за двоих. В этом случае авторизация по sms при первом входе вполне рабочий вариант, но если будете просить пин при каждом входе, то такие пользователи просто от вас уйдут. Притом уйдут не просто с приложения, а с банка в целом. Для меня удобство онлайн-банкинга сейчас критерий номер 1 при выборе банка.

Расскажу вам свою историю про пины и банки. В силу обстоятельств переехал с одной страны в другую на постоянное место жительства. Соответственно поменялось всё включая номер телефона. Счета в банках я закрыть не мог, т.к. часть денег вёз с собой на пластиковых картах, а часть так и оставалась лежать на депозите, и управлял ими через онлайн банкинг. Т.к. заходил нечасто, то забыл пароли и после нескольких попыток входа пользователя заблокировали. А восстановление только по СМС, на номер, который уже может быть кому-то другому отдали… Так что используя только номер телефона вы создаёте потенциально большую дыру в безопасности для клиента, чем от использования логина-пароля.
Изменили как регистрацию, так и вход. Пользователей, которые забывали пару логин+пароль оказалось сильно больше, чем тех, у кого по каким-то причинам не оказалось телефона под рукой.
Если клиент сменил номер телефона, то он в принципе не сможет совершать большинство операций и на самом деле в интересах клиента сообщить новый номер в банк, т.к. в случае какого-либо фрода мониторинг банка попытается связаться с клиентом по номеру, который указан в данных клиента.
ПО поводу безопасности. Когда оператор отдает ваш номер кому-то другому — он выдает ему новую SIM-карту. У каждой SIM-карты есть уникальный код IMSI, который мы проверяем через операторов связи. Если SIM-карта была заменена, то регистрация и операции по такому номеру телефона не пройдут до того момента, как клиент не подтвердит факт смены SIM-карты в Телефонном центре или отделении.
А по поводу отъезда за границу — номер телефона можно сменить через телефонный центр банка, если вы помните кодовое слово. При это вы можете указать свой иностранный номер телефона.
О, не знал что вы по IMSI сим-карты проверяете. Отличное решение — сразу видно, что профи работают! Про мой опыт — это был не ваш банк, поэтому процедуры там могут отличаться. Но всё-же было бы хорошо иметь возможность входа несколькими способами, включая логин-пароль, пин или RSA-токен/отпечаток пальца. Все клиенты разные, и если человеку нравится использовать логин-пароль, то почему-бы не дать ему такую возможность. Да, наличие разных методов входа может отрицательно сказаться на безопасности, но с учётом привязки к устройству/сим-карте можно реализовать вполне надёжные решения.
После чтения крутости проверки IMSI сразу вспоминается история с banki.ru:
Семь дней к моим данным был подвязан какой-то непонятный номер и никто его сначала не замечал, потом, несмотря на мои претензии, не удалял.
Зачем вообще нужны логин и пароль? На мой взгляд подтверждение по смс самый надёжный способ.
UFO just landed and posted this here
Да, только по смс.
В век простейшего угона симок и перехвата этих самых СМС- самый ненадёжный.

Кино про супергероев в трусах и истории про русских хакеров, с реальной жизнью не надо смешивать.
UFO just landed and posted this here
Я не слышал о том, что таким способом были похищены деньги с банковских счетов. Если бы это было так просто, то у злодея была бы 100% возможность сбросить пароль, перехватить смс с подтверждением, и дальше войти уже как «хозяин» в личный кабинет. И какой тогда смысл в логине и пароле? Создать лишний геморой для пользователя?
UFO just landed and posted this here
История 2014 года о гнилом сотруднике билайна, и Яндекс кошельке. О простейшем угоне симок и перехвата смс ни слова.
UFO just landed and posted this here
Ага, ага. Ловкость рук и никакого обмана. В вашей схеме украсть могут не только телефон, но и все бабло на всех карточках.
UFO just landed and posted this here
О, пользуясь случаем.
1) То что Вы творите с альфакликом это ад и израиль. В половине пунктов старый грамотный дизайн черным по белому, в половине пунктов новый трэшовый дизайн светлосиним по темносинему. Т.е. мало того, что новый дизайн сам по себе мрак (и по цветам и по контрастности и по размеру элементов), так еще и каждый раз не знаешь в каком дизайне окажешься тыкая на очередной пункт.
2) 2017 года на дворе. Банк из топ-10. До сих пор не научился давать пользователю в ИБ снимать часть денег с расходного депозита, извольте ковылять ножками, что «особенно» удобно когда ты за границей, а деньги нужны в доступе. Объяснение операционистов «это для Вашей же безопасности» можно считать шедевром абсурда, т.к. закрыть депозит и снять всю сумму с него на текущий счет — нет проблем, невозможно снять именно часть.
Sign up to leave a comment.