Предъявите паспорт. Часть 1

[mmMike]

лично меня немного (как пользователя) смущает следующее:

Ко всему прочему, мы забыли, что браузер может хранить ваши cookie! Значит, от шага с логином можно просто отказаться, запоминая последний вход в систему.

Запоминая на какое время? А если комп не доверенный? Контроль за этим есть?

Экран подтверждения SMS. Переход на следующий шаг происходит без кнопки в автоматическом режиме.

А если я привык глазами пробежаться по тому что ввел и потом подтвердить. Зачем ломать шаблон действий всем пользователям которые уже привыкли к "де факто" стандарту.
(см. EMV 3DS v2 "4.1 3-D Secure User Interface Templates")

[kitscribe]

Лично я после использования браузера любого компьютера (даже своего) чищу: историю, кэш, историю загрузок, cookie, сохранённые формы, данные плагинов и т.д. и т.п. И не ввожу конфиденциальную информацию на чужих машинах — чем компьютер может быть заражён известно только владельцу.

Если вы так переживаете за свои данные, рекомендую Вам делать то же самое. Для очистки данных браузера могу посоветовать расширение "Click&Clean".

[mmMike]

Вообще то, я писал от лица "абстрактного" пользователя. Который про такие вещи не знает не задумывается. Т.е. выбрал стиль написания вопроса такой...

А я знаю и задумываюсь, поскольку разрабатываю как раз подобные вещи.

Но все равно спасибо, что озаботились прокомментировать. Я бы вообще добавил в набор рекомендаций для клиентов:

1. не вводить конфиденциальную информацию на чужих компах вообще.
2. не держать на счетах (для используется однофакторная аутентификации или SMS как второй фактор) больше минимально необходимого на данный момент.

[Markscheider]

Запятая тут по ошибке пропущена или в веб-формах можно пунктуацию не соблюдать? Спрашиваю без издевки, может я просто не в курсе трендов?

Скрин

[SpiritOfVox]

Какая ужасная ошибка использовать номер телефона как основной идентификатор.

[Solomadin]

Привет! Почему? Можно например спрашивать логин или номер телефона. В чём заключается ужас?) Ведь номер телефона мы спросим в любом случае

[WolfTheGrey]

Потому что номер телефона легко получить методом соц.инженерии или хотя бы пошерстив интернет — некоторые следят нормально так и телефон найти не составит труда.
Логин от интернет-банка получить сложнее.

[Solomadin]

Останется только узнать пароль пользователя и украсть его смс. А ещё можно попробовать найти его номер Карты с датой и CVV, или узнать номер счёта.

Мы тестируем разные подходы при реализации того, или иного flow по входу совместно с большим IT и СБ.

[SpiritOfVox]

Сделайте так чтобы клиент мог выбрать один или несколько вариантов. В том числе полностью отказаться от любой связи с телефоном (номер, смс с паролями). Так вы уходите всем.

[dom1n1k]

Дубликаты сим-карт без ведома владельца номера в нашей стране выпускаются непринужденно.
Разумеется, ради любого Васи Пупкина никто не будет так заморачиваться, но если жертва вкусная — запросто.

[Solomadin]

Привет!

В таком случаем, должна сработать проверка на IMSI — чек на обнаружение признака замены сим-карты.

[dom1n1k]

Даже если такая проверка есть и работает надежно — сама по себе завязка на телефон является провоцирующим на эту атаку фактором. А после неё, даже если украсть ничего не удалось, человек огребает кучу проблем с бумажками и потерянного времени на доказательство, что он не верблюд.

[Solomadin]

Бумажки в такой ситуации тоже не нужны. Большую часть вопросов можно решить по телефону.

[dom1n1k]

В стране розовых пони разве что.

[Bonart]

Вы это про альфу?
Рад за ваше чувство юмора.

[Bonart]

Подсказать, как часто она срабатывает на практике и с какой задержкой?
Номер телефона как логин с хранением в куках — безопасники обязаны были это зарубить сразу.
Какая может быть двухфакторная авторизация, если собственно логин указывает номер телефона, куда придет СМС с одноразовым кодом.

[nikolayv81]

Как раз телефон и смс это легко, поэтому в более крупном банке пин. Его автоматом сграбить сложнее.

[nikolayv81]

p.s. это для приложения, для сайта пароль +смс
(Правка комментария в мобильной версии недоступна)

[Solomadin]

PIN уже в мобайле (приложение)

[SpiritOfVox]

Номер телефона это публичная информация и хоть логин тоже не особо секретный, но его можно просто не использовать в других местах и это даст крохотное повышение безопасности. Учитывая простоту получения дубликата симкарты в нашей стране и техническую возможность перехватывать смс без замены карты использование телефона и смс должно вытесняться другими идентификаторами. Логин хороший вариант. А вместо смс — TOTP (но стандартный, а не как в прошлый раз платным приложением) и/или «железный» генератор. Клиенты у вас с большими суммами, а вы защиту ослабляете.

[SpiritOfVox]

И, кстати, соединение учёток это не везде хорошее решение. ИП с человеческими остатками это терпимо, а вот для директора предприятия с остатками в десятки миллионов это может быть опасно. Ломануть телефон такому это вполне окупаемая активность.

[SpiritOfVox]

И ещё момент. У человека может просто не быть телефона. Допустим это противник мобильной связи. Компьютер с интернетом есть, планшет есть, деньги есть, а мобильного нет.

Аналогичная история если находишься там где нет мобильной связи. Интернет есть, а мобильный не работает.

Как быть таким людям?

[Kobalt_x]

А сейчас есть банки которые просят подтвердить транзакции иначе чем как по телефону?(именно которые просят, то что есть те которые не просят я догадываюсь)

[004helix]

Уводим на заказ карты, если понимаем, что имеем честь взаимодействовать с не клиентом Альфы.

А безопасники как-то во всем процессе учавствуют?
Такой функцией можно как минимум запросто узнать является ли клиентом вашего банка вот этот конкретный человек. Фантазируя дальше, можно перебором получить весь список телефонов клиентов (практически нереально, но теоретически возможно)

[ReMaker]

Почему нереально? Очень даже реально.
Надеюсь они одумаются и этого чуда не будет.

[004helix]

Думаю всё-таки процесс переборки заблочат намного раньше, чем он отработает хоть сколько-нибудь значимое число телефонов.

[ReMaker]

Прокси помогут обойти лимит на кол-во запросов

[004helix]

Прокси тоже достаточно просто фильтровать, да и проще отключить функционал при обнаружении перебора номеров по нему. Не столь важен механизм блокировки. Суть в том, что безо всяких переборов можно одним запросом определить наличие номера телефона в базе клиентов альфа-банка.

[pyrk2142]

К сожалению, у Альфы слишком много других уязвимостей, чтобы проверка принадлежности номера телефона была проблемой.

[eov]

А есть шанс, что все блага последних версий приложения станут доступными на iPad?
Больно было читать вашего "Противного" и не находить обновлений в обновленной версии.

[Solomadin]

Привет вам! В данном конкретном случае речь идёт о вебе. Безусловно благо будет корректно отображаться и работать в том числе и на ipad. А вот приложение на iPad больше не поддерживается.

[eov]

А вот приложение на iPad больше не поддерживается.

Это печальная новость. Телефон "кнопочный" дабы исключить возможность несанкционированной отправки SMS с целью подтвердить платеж. Приложение использую на iPad, который не умеет отправлять SMS.

[eov]

Проблемы нет. Просто, приложение должно работать чисто по своему API и делать только то, что положено. WEB версия должна будет тянуть кучу картинок и кнопочек, а если плохая связь, то это будет дольше. Плюс нужно будет вводить SMS код с другого устройства и в магазине «на кассе» это делать не удобно.

[pyrk2142]

Около года назад я не мог это делать, браузер после открытия этого сайта постоянно вылетал.

[Mogwaika]

Кстати, как пожелание, можете сделать две разных формы для восстановления логина и для пароля? Мне конечно повезло, что можно было не вписывать два раза новый пароль к новому логину, но это было неочевидно.

[Solomadin]

Спасибо за обратную связь!

[pyrk2142]

Возможно, вопрос не по теме, но все же. Стоит ли ожидать появления Bug Bounty от АльфаБанка? А то баги есть, а адекватных способов связи нет.

[Solomadin]

Возможно

[Stronix]

Я, конечно, понимаю, что сотовые телефоны в наши дни весьма распространены, но меня почему-то очень выводит из равновесия, когда для пользования интернет-сервисами необходимо наличие телефона.

[Xalium]

притом, что сотовой связи может и не быть, например, в морях.

[WolfTheGrey]

1. При заходе с телефона (браузера) оставьте, пожалуйста, возможность использовать десктнопную версию сайта.
2. С точки зрения недавнего опыта попытки получения карты в банке (ваш клиент уже около 10 лет физик+ 1,5 года юрик) вы сейчас выбираете какие шашечки повесить на машину, которая собственно говоря сама не очень хорошо ездит. Из проблем с которыми столкнулся — при заполнении на сайте заявке на кредитную карту в анкету улетают не всегда те данные, которые указываешь на сайте, часть пунктов на сайте и в анкете у работника банка интерпретируются по разному или текст описания разница между сайтом и позднее подписываемой анкетой, иногда отличия кардинальные по смыслу. При заполнении анкеты указывается кодовое слово, которое имеет более строгие правила, чем устанавливаемое в отделении, но при этом об этом на сайте не слова. Но в тоже время заполнение анкеты в отделении банка приводит к более высокой процентной ставкой. В итоге, я или не могу использовать привычное кодовое слово или буду платить больше. Спасибо за заботу! И самое что неприятное — та-дааааам, после отправки анкеты и предварительного одобрения данное слово из анкеты устанавливается не на новую возможную карту, а на весь аккаунт, о чём вы тоже не предупреждаете. После этого опыта я написал несколько обращений и к сожалению получил пару ответов в духе «у нас всё хорошо, сам дурак», только в полностью клиентоориентированной форме.

[Cobolorum]

Господи да когда же вы поймете что не надо летать один «универсальный» дизайн и интерфейс который как вы думаете подойдет юрикам и физики и кошечкам и собачкам!
Все люди разные каждый из них индивидуален.
Научитесь поддерживать и развивать несколько версий фронтенда.
P.S. Банк который сделает интернет банк в виде командной строки, с историей, редактированием команд, аласами, внутренними перемененными и bc/dc останется на всегда со мной.

[Solomadin]

Привет! Спасибо за комент)

Сейчас речь идёт про точку входа. Внутри продукты Альфы разные. Как по форме, там и по содержанию. Мы собираем тонны обратной связи и стараемся учитывать потребности разных клиентов, для разных задач.

[andrew8712]

В Альфа-банке меня раздражают ограничения на использование символов в пароле. Даже знак _ использовать нельзя

[Solomadin]

Ужас

[gozhiy]

Я не являюсь клиентом Альфа банка, но по опыту пользования других мобильных клиентов могу высказать свои впечатления. Может они вам пригодятся.
1) Часто при вводе пароля/телефона на точке входа используется стандартная клавиатура. Если я себе ставлю другую клавиатуру у клиент-банка рвет шаблон. Все заканчивается временным возвратом стандартной.
2) Использование телефона вместо логина неимоверно раздражает. Я, например, не помню свой номер. К тому же банки имеют обыкновение в приложении объединять все договора одного клиента. Это ничего, что в разных договорах у меня моут быть разные телефоны? Или вообще отсутствовать? Кстати, всегда интересовало, почему клиент-банкинг имея тучу разрешений в телефоне не может сам вытащить № телефона из системы?
3) Очень неудобен ввод кода подтверждения из СМС. Чтоб его ввести нужно перейти в форму сообщений, найти СМС, запомнить (хорошо запомнить, ибо это важно) или записать на бумажке, закрыть «сообщения», открыть вновь клиент-банкинг, ввести без ошибок.
Берите пример с Вайбера — прислали СМС с кодом, вайбер сам прочитал и принял решение об авторизации.

[Solomadin]

Привет! Спасибо за отзыв!
1)Клавиатура будет с @
2) Теститируем
3) Работаем над этим