Comments 12
Делаем безопасную куку (HttpOnly, SameSite, Secure) и кладем в нее UUID. Потом от этого UUID делаем хеш, например, CRC32, — и кладем его уже в тело JWT. И все.
Если из приложения/браузера украли токен, то и куку унесут. Добавили геморроя разработчикам, точки отказа и никакой дополнительной безопасности.
Понимаю бахнули бы еще подпись внутренней крипто-железкой устройства.
куку HttpOnly, SameSite, Secure можно украсть только если у пользователя браузер подметить на какой-то очень сломанный. В остальных случаях обычным расширением браузера куку уже не украсть.
Мобилка тоже защищена в том числе тем, что при обнаружении рута — банковское приложение просто не работает.
В любом случае это только вершина айсберга. а безопасность обеспечивается множеством техник.
Мобилка тоже защищена в том числе тем, что при обнаружении рута — банковское приложение просто не работает.
В любом случае это только вершина айсберга. а безопасность обеспечивается множеством техник.
Ох помню сколько боли было от SSO
Коллеги, я понимаю, что немного не в тему статьи…
Но когда можно в качестве пароля можно будет указать не только цифры?
И когда можно будет отказаться от авторизации по номеру карты в качестве логина?
Хотя-бы что-то из этого.
В мире, где перехватит SMS стоит X рублей, сводить всю авторизацию к одному фактору — SMS подтверждения…
Очень больно каждый раз вспоминать это при использовании сервисов от ВТБ.
Но когда можно в качестве пароля можно будет указать не только цифры?
И когда можно будет отказаться от авторизации по номеру карты в качестве логина?
Хотя-бы что-то из этого.
В мире, где перехватит SMS стоит X рублей, сводить всю авторизацию к одному фактору — SMS подтверждения…
Очень больно каждый раз вспоминать это при использовании сервисов от ВТБ.
уже сейчас пароль не только цифры — попробуйте сменить пароль в web версии.
в телефоне есть вход по карте и по логину
а в вебе есть по логину, номеру телефона, номеру карты и мой любимый вход по QRCode.
У нас почти никогда нет входа по одному фактору. В действительности даже когда вы видите вход в мобильное приложение только по номеру карты/логину и смс. там есть еще дополнительные проверки (какие не расскажу) и если мы что-то заподозрим там и пароль спросят.
в телефоне есть вход по карте и по логину
а в вебе есть по логину, номеру телефона, номеру карты и мой любимый вход по QRCode.
У нас почти никогда нет входа по одному фактору. В действительности даже когда вы видите вход в мобильное приложение только по номеру карты/логину и смс. там есть еще дополнительные проверки (какие не расскажу) и если мы что-то заподозрим там и пароль спросят.
Спасибо! Радует что меняетесь к лучшему и в этих процессах, сегодня попробую.
Первое что полез проверять в своё время после смены интерфейса мобильного приложения — именно это, но тогда, всё ещё было нельзя.
А из опыта про дополнительные проверки, помню что при переводе крупных сумм, дополнительного фактора не было, но была блокировка счетов уже только постфактум (когда уже было сильно поздно, если-бы это были мошеннические действия и весьма бесполезно).
Из того же опыта помню как телефон компании где я работаю (а не мой личный телефон) из договора попал в системы как телефон для СМС-оповещения и несмотря на смену его в мобильном приложении, из-за этого не работали быстрые платежи по номеру телефона (два звонка в колл-центр, два визита в офис, чтобы разобраться и починит, возможно две или три внутренние заявки, уже не помню деталей) и вероятно не отработал в системах как нужно внутри. :)
Исходя из всего этого опыта (и не только с ВТБ, а практически с любым банком из топ-10), пока полагаюсь на старые добрые надёжные пару: логин/пароль и второй фактор в виде пуш-уведомления (в идеале).
В любом случае, рад, что меняетесь к лучшему!
Первое что полез проверять в своё время после смены интерфейса мобильного приложения — именно это, но тогда, всё ещё было нельзя.
А из опыта про дополнительные проверки, помню что при переводе крупных сумм, дополнительного фактора не было, но была блокировка счетов уже только постфактум (когда уже было сильно поздно, если-бы это были мошеннические действия и весьма бесполезно).
Из того же опыта помню как телефон компании где я работаю (а не мой личный телефон) из договора попал в системы как телефон для СМС-оповещения и несмотря на смену его в мобильном приложении, из-за этого не работали быстрые платежи по номеру телефона (два звонка в колл-центр, два визита в офис, чтобы разобраться и починит, возможно две или три внутренние заявки, уже не помню деталей) и вероятно не отработал в системах как нужно внутри. :)
Исходя из всего этого опыта (и не только с ВТБ, а практически с любым банком из топ-10), пока полагаюсь на старые добрые надёжные пару: логин/пароль и второй фактор в виде пуш-уведомления (в идеале).
В любом случае, рад, что меняетесь к лучшему!
Прошерстив интернет, покурив магические квадраты Гартнера, начали смотреть на опенсорс-решения с поддержкой в России:
• WSO2 Identity Server
• Keycloak
• OpenAM
Не рассматривали pla или cap?
Уже выше написали опасность использования СМС как единственного фактора и почему для пользователя это выглядит подозрительно.
На мой вкус это всё выглядит подозрительно вообще говоря дважды и вот почему:
В втб-онлайн есть настройка «запрет удалённого восстановления доступа к ДБО».
А если я ставлю мобильное приложение на новом телефоне и вхожу туда по смс без пароля (или чищу данные приложения и снова вхожу по смс), то это что не «удалённое восстановление доступа» чтоли?
Выглядит как решето честно говоря.
Хотелось бы какую-то защиту от сценария «мобила и/или симка попала не в те руки».
PS наконец сделали лимиты на операции по картам(это хорошо), которые, однако не защитят от утечки доступа к ДБО(так как их повышение не требует второго фактора).
На мой вкус это всё выглядит подозрительно вообще говоря дважды и вот почему:
В втб-онлайн есть настройка «запрет удалённого восстановления доступа к ДБО».
А если я ставлю мобильное приложение на новом телефоне и вхожу туда по смс без пароля (или чищу данные приложения и снова вхожу по смс), то это что не «удалённое восстановление доступа» чтоли?
Выглядит как решето честно говоря.
Хотелось бы какую-то защиту от сценария «мобила и/или симка попала не в те руки».
PS наконец сделали лимиты на операции по картам(это хорошо), которые, однако не защитят от утечки доступа к ДБО(так как их повышение не требует второго фактора).
Как я уже писал выше, в банке нет входа по одному фактору. То, что вы не заметили второй фактор, это не значит, что за вами не следят :))
Мы очень щепетильны в вопросах безопасности денег наших клиентов. Есть проверки и их довольно много. Кто, откуда, с какого устройства, что за сим карта… Только совокупность множества факторов даёт доступ к мобильному банку.
Мы очень щепетильны в вопросах безопасности денег наших клиентов. Есть проверки и их довольно много. Кто, откуда, с какого устройства, что за сим карта… Только совокупность множества факторов даёт доступ к мобильному банку.
У меня есть ещё весёлая история про втб(косвенно, банк тут ни при чём).
Выдали мне как-то в втб карту с CVV 000. Ну нормальный такой случайный CVV с вероятностью 0.1%
И, оказалось, что примерно треть платёжных шлюзов эквайеров не умеет в такой CVV! Ну то есть как не умеет: на js чтобы показать три точки на этапе загрузки платёжной формы в это поле(или через плейсхолдер) пишется 000, а потом значение сравнивается с 000 или intval(cvv)>0.
Паре из них написал, получил шедевральный ответ мол «эта ситуация затрагивает очень мало пользователей(<0.1%) поэтому мы считаем её не влияющей на качество сервиса, обратитесь в ваш банк для перевыпуска карты».
Выдали мне как-то в втб карту с CVV 000. Ну нормальный такой случайный CVV с вероятностью 0.1%
И, оказалось, что примерно треть платёжных шлюзов эквайеров не умеет в такой CVV! Ну то есть как не умеет: на js чтобы показать три точки на этапе загрузки платёжной формы в это поле(или через плейсхолдер) пишется 000, а потом значение сравнивается с 000 или intval(cvv)>0.
Паре из них написал, получил шедевральный ответ мол «эта ситуация затрагивает очень мало пользователей(<0.1%) поэтому мы считаем её не влияющей на качество сервиса, обратитесь в ваш банк для перевыпуска карты».
Sign up to leave a comment.
Хроники SSO: банк, токены и немного магии