Comments 43
Предчувствую ответ: "Да, вы правы, 2 канала избыточны - можно обойтись без СМС".
Характерно, что SLA этого самого макса, принадлежащего ООО, нигде в законе и госте не прописаны, те ты стоишь с необходимостью перевести много денег срочно - смс пришла, Макс не пришел - и дурак именно ты, что не снял наличку заранее, так понимаю?
Про смс тоже нет SLA, если что.
Мм, прелестно. Принуждать подтверждать финансовые операции через сервис конкретно выбранной частной компании. Сколько же открытий чудных нам готовит госкапитализм еще.
У меня нет смартфона! И что мне теперь за интернет не заплатить онлайн получается без этого чертового маха или просто купить что-то онлайн... Иначе как вредительством это не назовешь...
С часть про вредительство я согласен, но все таки скорее всего заплатить за интернет - это не значимая операция, для которой будет требоваться проверка. Там скорее всего что-то из разряда - переводы от 100 тысяч или типо того
У меня есть знакомый обещает с Максом бороться фразой "если Макс обязателен, купите мне для него телефон".
А без переводов я на него хочу посмотреть.
Паспорт гражданина тоже обязательный документ. Но госпошлина за его выдачу/замену оплачивается самим гражданином. Так в общем и тут думаю.
Вообще-то, если обязательность исходит от работодателя, то работодатель обязан предоставить оборудование, SIM с тарифом и оплату этого тарифа. Этого требует закон.
А если от школы, учителя в которой больше не диктуют задания в классе, а пересылают только в max?... причем теперь часто делают это утром того дня когда надо домашнюю оаботу сдавать (речь про первую смену)
С этим максом, как с недавней "вакцинацией" все носятся как слоны в посудной лавке испугавшиеся мыши и намеренно топчащие посуду.
Специалисты в области информационной безопасности отмечают, что мессенджер Max потенциально более защищён, чем традиционные СМС
От чего именно он защищен, модель угроз какая? Никого там на верху не смущает, что СМС идет через инфраструктуру, целиком находящуюся в юрисдикции РФ, а push-уведомления на смартфон - через инфраструктуру, частично находящуюся вне этой юрисдикции?
Я уж не говорю о том, нафига мне навязывают использование смартфона там, где без него можно обойтись. Ну, нет у меня смартфона, и покупать его себе не хочу - что же мне теперь, через сайты в интернете их услуги не оплачивать?
Они Вам скажут вслух "сами Вы себе проблемы создаете, у всех сейчас смартфоны есть", хотя сами не могут написать нормальный мессенджер
Вот мне сегодня ребенок написал в 8 утра сообщение, пришло в 15. Пока это частная тема, это кое-как, а если на него завяжут ВСЕ?
Про перехват СМС не писал только ленивый (в том числе и на хабре). Используемый протокол очень дырявый и, хоть для эксплуатации дыр и требуются определенные условия, зато это фактически можно сделать из любой точки земного шарика.
Отправлять код в Мах не обязательно через Push (через Push отправляем только пинок, чтобы Мах сходил на сервер и забрал код) и эта схема будет более безопасна (тут либо угонять аккаунт Мах, либо ломать их сервера), но зависит от наличия интернета.
Впрочем что то говно, то это. TOTP one love.
Макс защищен от того, чтобы вы не смогли случайно перевести деньги куда не надо. От всего остального вас защитит надежный антивирус и молитва
Если я куда-то перевожу деньги, то значит мне туда надо. А если я их потом потеряю, то, значит, я лох, а лохам деньги не положены.
И в целом, я считаю, что худшее, что может сделать государство для людей - это начать о них искренне заботиться, вместо того, чтобы позволить им самим позаботиться о себе, по крайней мере - в тех вопросах, где речь не идет о насилии.
Я тоже критикую. Хочу иметь возможность отправить деньги или купить что-то на маркетплейсе с другого телефона, сидя на кухне, а не идти в комнату читать код из SMS.
push-уведомления банковских приложений или одноразовые коды (TOTP), считаются более безопасными, поскольку не зависят от мобильной сети
Это как?
Нейросеть писала?
А так, на самом деле приятно, что хоть кто-то не соглашается с этой максилизацией.
"По их мнению, это ограничивает применение других, более надёжных способов подтверждения операций..."
Да уж куда надёжнее макса то? Ниужто банки не верят в национальный мессенджер?
Вот уж насколько я пытался выступать адвокатом дъявола призывая не демонизировать макс (приписывая ему всякое) из-за абсурдной компании по продвижению (все-таки качество продукта и компании по продвижению не связано между собой) - но продвигаемые законы стали совсем неадекватные. Если для проведения значимых операций онлайн требуется безальтернативно проприетарное, частное решение - то это уже дискриминация и лишение свободы выбора. Причем до этого - альтернатива всего была (в госуслуги через max или через totp, подтверждение возраста через max или паспорт и т.д.).
Ну в конце концов, пусть тогда правительство выкупит этот max из частных рук, встроит в госуслуги - ну будет хоть понятно, что это значимая инфраструктура под управлением государства.
Им ваще начхать тот факт, что социальная инженерия ломает человека, а не протокол доставки, да
Доверчивый юзер продиктует мошеннику код хоть из смс, хоть из макса
Там вопрос не только в доверчивости, но и в том, что мошенники умеют запутывать жертву так, чтобы жертва ответила на вопрос до того, как успеет подумать, стоит ли отвечать. Я на такое не ведусь, только вот обходится это довольно дорого, потому что приходится всё время держать себя в состоянии предельной подозрительности во время звонков с незнакомых номеров. Ну так, на уровне "а давайте-ка выстрелим через дверь для подтверждения личности стучащего". Три раз. И контрольный в голову. Для подтверждения личности. А потом поговорим.
P.S. То есть это означает постоянные попытки придумать способ использования ответа против меня, жёсткую фильтрацию текста ответа с применением предельно неоднозначных формулировок и так далее.
О как. Скоро и посрать не сходишь, не получив разрешение у максика )
А если по сути, то зачем тут закон нужен вообще? Банки и сейчас порой присылают смс для подтверждения операции, а иногда нет. Видимо банки и без нелепых законов как-то балансируют между удобством и безопасностью. И главное, если не нравится как работают платежи в одном банке, всегда можно попробовать другой, механизмы которого мне подходят больше. Тут же предлагается безапеляционный мах, вместо здоровой конкуренции.
И он сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание
необходимость отправки двух уведомлений по каждой операции приведёт к существенному росту расходов
При этом о неудобствах для клиентов банки не упоминают.
предлагается либо сделать доставку кодов подтверждения бесплатной, либо установить государственные тарифы на такие услуги.
Должен быть еще один вариант: возможность клиента полностью отказаться от 2FA (точнее, получается уже 3FA). Нет смысла заботится о счете, на котором не бывает больше 10 т.р. в год.
При этом о неудобствах для клиентов банки не упоминают.
Потому что понимают, что на удобство или неудобство клиентов банков тем, кто вводит такие правли, насрать. То есть этот аргумент не будет иметь значения. А тогда зачем его упоминать? Удобство клиентов - это проблема банка, вопрос его конкурентоспособности, а если такое введение швабры в анус будет обязательно для клиентов всех банков, конкуренция в этом моменте будет невозможна.
Должен быть еще один вариант
Такое банки сделать тоже не могут, потому что есть закон, который не позволяет. Это же не свободный бизнес, который старается сделать максимально удобно для клиентов, чтобы клиенты бежали в такой банк, это насмерть зарегулированная область рынка.
Нет смысла заботится о счете, на котором не бывает больше 10 т.р. в год.
Банк не рискнёт такую дыру оставлять, даже с благословления регулятора. Сегодня у вас там 10 тыщ, завтра - миллион. Конечно, в такой теоретической схеме на стороне банка будут прописаны все возможные отказы от ответственности, но всё же.
Скорее, имеет смысл отказ от дополнительных подтверждений по транзакциям меньше определённой суммы (как давно сделано в случае платёжных терминалов).
Банки раскритиковали обязательное подтверждение операций через СМС и Mах