Comments 118
Формулировка опроса неправильная. Нужно не "Сколько у вас рабочих сим-карт?" а "сколько у вас всего сим-карт. Потому что у меня например, помимо 2 рабочих еще 1 в камере на стройке, 1 в 4g модеме, 1 в датчике протечек и 1 играюсь с ардуино (пока проигрываю, но симка то в деле).
А тут точно "рабочих" в смысле "используемых по работе", а не в смысле "работающих" (не отключенных/заблокированных)?
Используемые по работе должны быть зарегистрированы на юрлицо или ИП.
Про ИП не в курсе, а на симки по договорам ЮЛ уже давно требуется привязывать персональные данные сотрудников, за которыми они числятся. После указания перс. данных в ЛК оператора сотрудник ещё и должен подтвердить привязку симки на себя в ЛК госуслуг, где она потом будет светиться в соответствующем разделе.
Я бы сказал "реально эксплуатируемых"
А как узнать сколько у себя сим-карт?
И если карта была приобретена многие годы назад, а эксплуатация и поддержка заброшена, то при отзыве оператором номера, число сим-карт автоматически снижается на единицу? Или нужно отказываться от номера более официально?
Вроде как планировали на госуслугах предоставлять к перечню своих симок, которые есть у пользователя, но пока это не реализованл.
интересно как умершие будут этим пользоваться - у меня единственная симка (после саморегистрации пережила двух операторов) на труп уже 3.5 года и каждый день (после передачи абонента следующему оператору) шлют смс чтобы явился с паспортом (забирают в день смерти) или на госуслуги (не был там никогда вроде) подтвердить свои данные - я убеждал суппорт что я же имею фото паспорта от app id-abonent да сделаю вам сейчас подтверждение (есть в сельсоветах сотрудники госуслуг) этих данных а мне доказывали что не сделаете и без свидетельства о смерти не сможете переоформить на живого: ещё до смерти абонента сказали что им пофиг что абонент мёртв и я подвигал (как для faceid) перед ним селфи-камерой для дистанционной регистрации/оформления симки расписавшись за него на экране ... пользуюсь тк нтересно сколько не будут отключать и пополняю баланс только после окончания оплаченного периода - даю им все шансы честно выключить такую симку но нет
Пока можно просто зайти в офис оператора (каждого из 4 основных и десятка виртуальных) и узнать лично. Заодно, при обнаружении неучтенки - закрыть контракт с переводом остатка средств себе. ;)
У меня был на МТС эпизод, когда на мои данные кому-то была продана симка. Закрыл, написал жалобу.
Сейчас во всех договорах прописан срок в 4-6 месяцев после которого абонент не использующий карту (нет движения по лицевому счёту) принудительно закрывается. После этого договор расторгнут и симка - не более, чем кусок пластика.
Сейчас во всех договорах прописан срок в 4-6 месяцев после которого абонент не использующий карту (нет движения по лицевому счёту) принудительно закрывается.
Причина, по большому счету, как я понимаю - одна. Номерная емкость операторам дорого обходится и они не хотят номера в подвисшем виде держать.
Так, может, это и исправить? Снизить им тарифы, добавить в нумерацию штуки три-четыре-пять дополнительных цифр. И после этого можно будет на каждый новый договор свежий номер выдавать, не трогая старые.
А старый - если абонент вдруг проснется и захочет вернуть - возвращать.
Вроде бы даже есть работающий пример - номера банковских карт как часто другому человеку достаются после 'протухания' первой с этим номером?
Сейчас? Думал, что это было лет 15 назад, как минимум.
Возможность закрепления хотя бы одного номера загражданином (независимо от оператора) так и не прописали?
Вот, кстати, да. Я использую свой мобильный номер со дня покупки первого мобильного телефона и прихода Tele2 в Россию. Было бы реально здорово намертво закрепить такой номер за собой, без его «сгорания» за неактивностью.
Прикрепление номера, это ещё одна новая организация, которая будет этим заниматься. Либо придание этих функций, какой то из старых и деградирующих.
А у нас и так этих организаций как блох на собаке и все делают свою работу "хорошо".
От этого кмк, населению только проблем прибавиться. Хотя кого это когда волновало?
И чем это плохо, по-вашему? Да, развитие цивилизации требует бОльшей бюрократии, одного шамана уже недостаточно.
На мой подобный вопрос мне ответили и я согласился, так - после этого последует выдача номера при рождении и пожизненное закрепление номера за гражданином. Бойтесь своих желаний, они могут исполнится ....
Вполне очевидное развитие ситуации. Ну вот у нас есть паспорт, в перспективе несменяемый, ИНН и СНИЛС, сменяемые с большим геморроем. Будет ещё номер телефона. По идее, в перспективе это всё должно слиться в единый идентификатор, прошиваемый где-нибудь прямо в мозгу, чтобы вытащить можно было только с физическим уничтожением носителя. Не вижу проблемы для законопослушного гражданина.
Плюс уж сразу емейл, регистрацию на госуслугах, в VK и рутьюбе. /s
Никаких проблем для законопослушного гражданина ... 300 млрд. украденных за последний год рублей не дадут соврать. Золотая мечта сотрудников безопасности вашего банка .
Логика Вашего комментария непонятна. Какое отношение способ идентификации имеет к неумению сопротивляться цыганам? Уверяю Вас, если Вы не сталкивались с цыганами - и не пытайтесь проверять. А служба безопасности - это такие цыгане 21го века, и их методы совершенствуются. Не зарекайтесь.
К методам идентификации это каким боком?
Проблема несменяемого номера в том, что мошенники(и другие личности преступающие закон), будут знать его до вашего первого телефона/смартфона в руках, со всеми паспортными данными и любой другой информацией.
Это не говоря при ситуации с подменой номера и подставой и другими неочевидными ситуациями. Проблема того же плана, что и биометрия. Рано или поздно она утекает, а сменить её нельзя.
Ну так они и сейчас знают, что изменится в этом плане? Настроить белый список банков и госорганов, и проблема мошенников решена.
Подмена в ситуации фиксированного номера должна быть исключена априори, разумеется, иначе смысла нет никакого. Вообще возможность подмены - результат идиотического протокола, который не кажется особенно сложным усилить криптоподписями узлов и на корню решить проблему подмен.
И никто кому действительно нужно, до вас не дозвонится. Белый список создаёт множество неудобств, потому его используют единицы. Чёрный список бесполезен без работы гос органов.
Она уже не менее полугода должна быть исключена, судя по заявлениям властей, однако мне буквально сегодня звонили с подменой номера. Причём даже не мошенники, т.к. дозвониться из за них, всем остальным стало сложно.
А ещё, раз номер прикреплён, смска или звонок на него от гос органов, будут считаться подтверждением получения информации.
который не кажется особенно сложным усилить криптоподписями узлов и на корню решить проблему подмен.
Телефонное legacy (всяких железок, в свое время дорогих по миру много понаставлено) - судя по всему не дает. В результате 'просто усилить' - не получается. Битов, видимо, в сигнальных сообщениях не хватает - их в свое время укорачивали по страшному, судя по всему. А подписи и сертификаты - длинные.
В результате товарищам буквально приходится все добровольно-принудительно на IP переводить. А там - Давно сделали. Наша, российская система, кстати, если я правильно статьи помню - из за этого самого legacy как-то значительно мудреней сделана.
Я не настоящий сантехник, просто мимокрокодил, но, думается, введение фиксированных номеров для проверенных источников само по себе такое изменение, под которое и апгрейд можно сделать. Тем более он всё равно помалу происходит. Сколько у нас осталось релейных коммутаторов? Предполагаю, что 0.
Подумалось, что белый список можно вести централизовано и прямо на опсосе пропускать на фиксированный номер только верифицированные звонки. И описываемой многократно тенденции встроенных в тело приёмопередатчиков или чего-то такого это будет даже более правильно.
Причём не хотелось бы привязки соцсетей и прочего хлама именно к фиксированному номеру, но, боюсь, доступ в интернет по паспорту - неизбежное будущее всего человечества
В таком виде фиксированный номер особого смысла не имеет. Потому что эквивалентен закрытой системе 'только для государства' (и близких к нему). Сценарии использования, когда именно телефонный звонок на такой номер нужен - какие получаются?
А закрытую систему можно и так сделать, не особо связываясь с древней телефонией и связанной с ней головной болью.
А именно уведомления от государства. В редких случаях звонки, более часто - СМС. Смысл в том, что доставка гарантирована для государства, и в том, что мошенники заведомо отсечены.
А именно уведомления от государства.
И какой смысл этому быть основанным на телефонной сети и иметь фиксированный телефонный номер?
Как я уже ниже писал - пускай в какой-нибудь государственный сервис сваливается, а потом уж желающие настраивают себе оповещение по любому удобному способу. (А на сервисе поднять условный IMAP/RSS, чтобы уж точно ни у кого проблем подергать API не было).
Но, вообще, уведомления от государства должны обладать двумя немного противоречивыми свойствами - позволять государству доказывать, что ты уведомление точно (насколько это вообще возможно доказать) прочитал. И, одновременно - позволять тебе доказывать, что ты это уведомление еще не читал. (Точнее, попросить вышеупомянутое доказательство и дальше утверждать, что если его предоставили - то ты уведомления не видел).
И тут звонки не очень подходят. Скорее уж нужно что-то, на чем ты свою ЭП ставишь, как подписи на квитанциях о доставке.
Ну вот у нас есть паспорт, в перспективе несменяемый, ИНН и СНИЛС, сменяемые с большим геморроем. Будет ещё номер телефона.
Вот потому что есть первые - фиксированный на человека номер телефона и не нужен. Потому что, собственно, куда его? Чтобы государство всегда знало, куда позвонить? Да ну, пускай электронные бумажки через госуслуги шлет.
А все остальные интересующиеся точной личностью должны спрашивать не номер телефона а нормальный документ.
То, о чём я писал - это единый идентификатор. Нормальный документ.
С его появлением фиксированный телефон станет не нужен. При одном условии - необходим гарантированный способ доставки информации от госорганов. Сейчас это адрес прописки (точнее, почтовое отделение по адресу регистрации). Лично я бы предпочёл спец-email, на худой конец фиксированный телефон. Один раз я уже пропустил суд из-за невручённого уведомления (подозреваю, что и не выслали, но как доказать).
Вы так говорите, будто этот закон для вашего блага принимают.
Им выгодно продавать все твои привязанные аккаунты банков другому гражданину. И почему-то это не считается мошенничеством.
если клиенты не снизят количество сим-карт до дозволенного уровня, то им приостановят услуги мобильной связи по всем номерам. Период для граждан РФ — до 1 ноября 2025 года, для иностранцев — до 1 июля 2025 года;
"Гениально". Давайте оставим абонента без связи, что может произойти совершенно не вовремя и неожиданно. Вместо того чтобы отключить все не проявляющие активность симки, оставив двадцать.
"Гениально". Давайте оставим абонента без связи, что может произойти совершенно не вовремя и неожиданно.
и даже не по вине самого абонента. Случаи, когда нерадивый сотрудник оформляет кучу карт на левых людей - постоянны. Причем за это, насколько помню, законодатели не захотели вводить хоть какую-то ответственность...
А если все 100 симок активно работают в гейте, через который непрерывно звонят сотрудники Центробанка? Не отключать? ;)
Вот таких вот товарищей...
Правоохранители пресекли деятельность подозреваемых в пособничестве телефонным мошенникам с Украины.
«Задержаны пятеро жителей столичного региона, которые обеспечивали работу специального оборудования для подмены телефонных номеров», – рассказала официальный представитель МВД России Ирина Волк.
Установлено, что злодеи действовали по заданию зарубежных работодателей. Они приобретали GSM-шлюзы и активировали SIM-карты операторов сотовой связи. Это позволяло менять телефонный номер звонившего из-за границы афериста на российский и при этом соблюдать анонимность. В случае блокировки одной из SIM-карт ее меняли на новую.
Пользователями этих услуг были мошенники, которые звонили гражданам и представлялись сотрудниками банков или правоохранительных органов. При этом убеждали собеседников в том, что с их банковских счетов пытаются похитить деньги.
Полиция установила места, в которых находилось оборудование для удаленного использования абонентских номеров. В рамках сопровождения уголовных дел о мошенничестве в четырех квартирах в Москве, Дмитрове и Красногорске проведены обыски. Изъято более десяти тысяч SIM-карт различных операторов сотовой связи, GSM-шлюзы, модемы, компьютерная техника и другое оборудование.
Как я понимаю, меры против них направлены...
При любом варианте действий будут исключения, но с тем, который выбрали сейчас, пострадают все. Если "100 симок активно работают в гейте", зарегистрированных на одно физ лицо, то ОПСОС уже давно должен был уведомить соответствующие контролирующие органы, для проверки характера деятельности. Но не блокировать. Т.к. это к примеру может охранная система тестируется, сеть шлагбаумов или ещё что.
Незаконная деятельность легко вычисляется при таких исходных параметрах и желании. Но желания у ОПСОСов нет, т.к. это грязные, но деньги. Как сделать так, чтобы у ОПСОСов появилось желание, уже другой, сложный вопрос. Простой путь, штрафы, но в тупую(как это часто делается) их применять нельзя.
То есть, туристы в России теперь будут без мобильника вообще?
Иностранцы могут подтверждать личность по биометрии
Ну и роуминг никто не отменял, вроде.
А биометрию перед этим неделю регистрировать. Ту, что на границе снимали, использовать нельзя. Это вариант для гастарбайтеров, не для туристов.
У роуминга заоблачная стоимость. Позвонить можно, иметь гуглокарты и спотифай на мобильнике - безумие.
Это еще предстоит увидеть. Интересно, как выглядит взаиморасчет на сегодня. Поскольку туристический поток, хоть и многократно меньше, но "на экспорт". То есть тут на банальное "роуминг за роуминг" не похоже? А банковские переводы по большей части тю-тю. Сомневаюсь, что операторы как RIPE сказали "ладно, понятно, продолжайте пользоваться, взносы потом оплатите".
Российские симки более не работают в Канаде, роуминга нет. Скорее всего, со стороны российских опсосов имеетс симметричный ответ.
Откуда у северокорейцев мобильники? Им и дома запрещено /sarcasm
Ну первая же ссылка в поиске:
Северная Корея — это самая закрытая страна в мире, однако, в ней тоже есть сотовая связь и интернет.
Зачем нести, извините, ерунду ?
Скорее всего введут аренду телефонов с предустановленными симками в аэропортах, вокзалах. Например, в Японии человек с тур визой не может купить симку и аппарат, но на границе дешево арендуется вайфай раздавалка инета или телефон.
Операторы быстро подсуетятся и сделают точки работающие по новым правилам на вокзалах и в аэропортах. Клиенты всем нужны.
Минцифры подготовило новые правила оказания услуг мобильной связи с ограничениями
Точка.
Идиотизм...
А как быть с симками оформленными на юр. лица?
Там сейчас указывают ФИО сотрудника, который ими пользуется...
Эти симки тоже включаются в этот лимит?
У нас на генерального фиг знает сколько симок так числятся, которые по факту в камерах видеонаблюдения и шлагбаумах стоят. А как иначе? Нельзя использовать симку в железе и при этом не указывать человека...
также меняются правила оплаты услуг мобильной связи за наличные деньги — такой расчёт может стать возможен только в уполномоченных правительством организациях, и исключительно при подтверждении личности плательщика.
И организаций таких конечно же будет одна на всю страну.
Те кто проголосовал больше 20, поделитесь, зачем вам столько?
может всего когда-то подключенных
я вот не могу вспомнить у меня было 50 или 150 симок притом я не особото и пользовался мобильными услугами: как-то за раз по 10р двадцать чтоли подключил и на стойке просто заполнили один бланк а остальные степлером скрепили к нему - пытался раздать знакомым а некому не надо ... был купон на модемы по 100р с симкой инета в комплекте и я купил четыре а к ним ещё по симке оказалось - оформлявший прям ворчал что столько на одного (они ушли в минуса жёсткие за простой и так я узнал что можно написать заявление за возрат непользованных суточных списаний - бонусные рубли вернули настоящими и я их снял чтобы поверить что из 400р стало 6тр)
а не там про рабочих - наверное у них по работе они
к статье надо быдо добавить что должно стать (не помню числа): пока мвд не проверит что в договоре реальные данные подключённая симка будет не активна
Считаю нужно ещё закрепить за каждым гражданином пожизненный номер телефона на который привязаны госуслуги, банки и другие важные для лоховодов сервисы.
Базу тут же угонят, и в ней, очевидно, будут телефоны всех ВИПов.
Да и меня тешит надежда, что я всё-таки унесу все банки и госы на другой номер, во избежание.
Госуслуги, банки и т.д. от телефона надо отвязывать. Телефон, это канал связи, а не способ аутентификации.
Нужна вменяемая альтернатива. Без больших финансовых затрат со стороны клиента.
Универсальные аппаратные ключи (типа yubikey) - слишком дорого.
Программные аналоги на базе смартфона - со смартфоном теряешь и все ключи.
ТОТР - для большинства пользователей это магия в которую они не умеют.
Да и вообще для очень большого количества пользователей какие-то хитрые действия практически нереальны (они слишком тупы для этого). Максимум что они осиливают - это ввести код из смс или приложить карту к смартфону.
Универсальные аппаратные ключи (типа yubikey) - слишком дорого.
(В очередной раз вздыхая и вспоминая любимую мозоль) А не нужно хотеть универсальные. (Тыкая пальцы в целую кучу старых SIP и банковских карт с чипами.) Вот же, даром аппаратные ключи раздают. С SIM-ками проблема не в завязку на SIM-ку, а в том, что ее нет, а есть завязка на номер.
Максимум что они осиливают - это ввести код из смс или приложить карту к смартфону.
Ну, так и надо. "Приложите карту к телефону и наберите ПИН с договора (не путать с платежным ПИН-ом), чтобы подтвердить регистрацию в личном кабинете".
Только не надо рассказывать про то, что NFC не у всех есть. У кого нет - выдаем дешевейший контактный ридер смарт-карт.
А нужно что-то универсальное, чтобы для заказа пиццы в додо любимой пиццерии мне не требовалось для начала сходить к ним, заключить договор и получить аппаратный ключ для регистрации в приложении.
А нужно что-то универсальное,
Для описанных целей 'чем-то универсальным' является сам телефон с его кейстором.
Пролюбил телефон - пролюбил и весь кейстор.
Пролюбил телефон - пролюбил и весь кейстор.
Проблема - почти проблема курицы или яйца. Если ты утерял артефакт доступа(не обязательно физический), то ты должен либо предъявить сервису что-то другое, что доказывает, что ты это ты (и что тоже можно утерять). Либо сервис должен кому-то поверить, что ты это ты, и далее по рекурсии.
Кроме того - кейстор с телефона (точнее та его часть, которую в виде Passkeys оформили) сейчас копируется на все твои остальные телефоны, если они есть.
Fido2 ключ маленький, стоит на 2 порядка дешевле телефона, привязать их можно, например, 3 штуки - один носить с собой, второй держать дома, третий в банке или у родителей. При утере одного ключа авторизуетесь со вторым, отвязываете утеряный и привязываете ещё один на замену ему. С телефонами такое проделывать дорого и очень неудобно. К тому же, как с компьютера работать, телефон к нему подключать постоянно?
Fido2 ключ маленький, стоит на 2 порядка дешевле телефона, привязать их можно, например, 3 штуки - один носить с собой, второй держать дома, третий в банке или у родителей.
Верно, но купить их все-таки небольшой квест. А телефоны просто лежат в ассортименте. Лежали бы эти ключи так же россыпью, как телефоны - никаких вопросов бы не было.
Ну и 'на порядок дешевле' - это преувеличение. Дешевый новый смарт (а для использования в качестве запасного ключа другого не надо) стоит сейчас где-то 7000руб. Где живут fido2 ключи за 700руб - я не знаю. Себестоимость - это может быть, но где их за столько продают?
С телефонами такое проделывать дорого и очень неудобно.
Ну как... логинишься один раз и потом на полке держишь, включая раз в несколько месяцев, чтобы проверить "не отвалилось ли" и для синхронизации. С ключами регулярный вход тоже неплохо бы проделать.
К тому же, как с компьютера работать, телефон к нему подключать постоянно?
Не вижу существенной разницы что с собой таскать. Неудобно будет - когда почему-то рабочее место с компьютером в одном месте, а место парковки телефона - в другом.
Верно, но купить их все-таки небольшой квест.
На любой онлайн площадке они лежат свободно. На озоне, конечно, цены ояебундестаг, но это потомую что санкции нам на пользу. На амазоне за 2000р по текущему курсу в розницу можно взять. Если банки решат их внедрить, они будут лежать в каждом отделении и дешевле, т.к. банк их бужет закупать оптом и щарабатывать на них банку глупо.
Дешевый новый смарт (а для использования в качестве запасного ключа
Таскать современную лопату исключительно в качестве ключа - такое себе, чтобы не сказать грубее. Еще и заряжать его постоянно. У - удобство. Я сравниваю со смартфрном, которым можно пользоваться как смартфоном. К тому же, расскажиту мне, как этим вторым смартфоном мой первый автоиизовать? Ключ я просто приложу, а в телефоне за $90 впядли будет NFC, а даже если будет, это даже звучит как лютая дись какая-то.
Ну как... логинишься один раз и потом на полке держишь
Куда вы логинитесь один раз? Речь про 2fa, ключ используется прстоянно, каждый день.
Не вижу существенной разницы что с собой таскать.
Ключ таскать с собой не надо, он всегда в клавиатуру воткнут или в usb удлинитель и лежит перед вами на столе, а телефон дома хрен пойми где на зарядке валяется, зачем мне дома телефон? А если выйти из дома, вы правда не видите разницу между "флэшкой" и второй лопатой?
Таскать современную лопату исключительно в качестве ключа - такое себе, чтобы не сказать грубее.
Лопата и так с собой таскается. Но тут речь идет о запасном, который в тумбочке обычно лежит.
К тому же, расскажиту мне, как этим вторым смартфоном мой первый автоиизовать?
Он не для этого. Он для бакапа тех Passkeys, которые в основном живут и которые, когда с него работаешь - он и так предлагает. Но, если хочется - авторизует тем же способом, как авторизует стационарный комп. Читает камерой предлагаемый QR и спрашивает "а точно пустить?"
Куда вы логинитесь один раз? Речь про 2fa, ключ используется прстоянно, каждый день.
Логимся - в учетку гугла. В ту же самую, что на основном смарте. Заодно будет служить запасным фактором для входа в эту самую учетку. (Ну или Эппла или кто там любимый производитель)
А если выйти из дома, вы правда не видите разницу между "флэшкой" и второй лопатой?
Второй лопаты не будет. Как и 'флешки' для 2FA. Будет один основной смарт с пасскеями. Которые не для банков и госуслуг а для контекста 'чтобы для заказа пиццы в додо любимой пиццерии мне не требовалось для начала сходить к ним'. Именно с него эта ветка началась и именно для него я смарт использовать предлагал.
Для банков там чуть выше предлагалось 'Приложите карту к телефону и наберите ПИН'.
А госуслуги, по хорошему, должны свой хардварный токен, одновременно являющимся электронным ID, требовать.
Если банки решат их внедрить, они будут лежать в каждом отделении и дешевле, т.к. банк их бужет закупать оптом и щарабатывать на них банку глупо.
Банки свои собственные карты внедрить не могут. А так да - если токены лежат в каждом отделении - хватаем их и больше не голову не ломаем.
Ну вы посмотрите, с чего началась ветка. С комментария про обязательный номер телефона и с моего ответа:
Госуслуги, банки и т.д. от телефона надо отвязывать. Телефон, это канал связи, а не способ аутентификации.
Мне настолько наплевать на пиццерии, что я обсуждать это не имею ни малейшего желания.
Логимся - в учетку гугла. В ту же самую, что на основном смарте.
Я логинюсь в кучу сервисов с компьютера.
Для банков там чуть выше предлагалось 'Приложите карту к телефону и наберите ПИН'.
Как вы утомили своими телефонами...
Госуслуги, банки и т.д. от телефона надо отвязывать. Телефон, это канал связи, а не способ аутентификации.
С этим никто не спорит.
Мне настолько наплевать на пиццерии, что я обсуждать это не имею ни малейшего желания.
А вот это уже зря. Потому что, как ни крути - большая часть учеток у народа - именно в таких сайтах и именно под них стандарты затачивают. Если бы речь шла только про банки и похожие - то предыдущее поколение стандартов, что под них делалось, не очень-то взлетело. Фидошные авторизаторы же далеко не первые.
Я логинюсь в кучу сервисов с компьютера.
И компьютер с поддержкой WebAuthn/Passkeys в конце концов ключики с телефона к себе перетащит - это при логине другим устройством происходит. Т.к. стандартизаторы в конце концов сдались как раз из за "а если токен потеряешь?" и решили одобрить автоматическое расползание.
Как вы утомили своими телефонами...
В этом сценарии - речь про банковское приложение на телефоне. Если хочется на компе - "вставьте банковскую карту в ридер". Который, аналогично сценарию с токеном, тоже либо банком выдается, либо сам покупаешь. Но он - заметно дешевле. И универсальный, в общем. К любой банковской (и не только) карте должен подходить.
С этим никто не спорит.
Спорят разработчики госуслуг. Во-первых, номер телефона отвязать невозможно. В принципе. Во-вторых, вся двухфакторная аутентификация обходится кодом из смс и менять это не собираются. Это я вам сейчас цитирую работника госуслуг, как-то в комментах пересеклись. На моё замечание о том, что сим карта и номер мне не принадлежат и опсос может отдать мой номер другому, мне ответили, что это мои проблемы.
Т.к. стандартизаторы в конце концов сдались как раз из за "а если токен потеряешь?"
А если телефон? Мы по кругу хотим. Токенов можно привязать несколько, можно привязать TOTP в качестве резервного канала аутентификации и, в конце концов, можно достать из сейфа бумажку с кодами восстановления доступа.
Если хочется на компе - "вставьте банковскую карту в ридер". Который, аналогично сценарию с токеном, тоже либо банком выдается, либо сам покупаешь. Но он - заметно дешевле.
В целом, норм, подойдёт. Только токен уже есть. его можно и в комп форкнуть и к телефону приложить и он маленький, на ключах и всегда с собой, а вот ридер тут менее удобен. И не видел я такого нигде. Хотя тут рассказывали, что в Германии что-то похожее практикуют.
Спорят разработчики госуслуг. Во-первых, номер телефона отвязать невозможно. В принципе.
Можно оставить учетку без номера телефона если привязать его к другому пользователю. Восстановить доступ обратно можно через МФЦ или приложения банков-партнеров, где указан этот номер телефона.
или приложения банков-партнеров, где указан этот номер телефона.
Так человек, в частности, про это и возмущается. Восстановление доступа в кабинет банка сплошь и рядом по номеру карты (который ни разу не секрет) и по SMS-ке в телефон. А дальше уже попадаем в кабинет госуслуг через это самое восстановление.
Т.е. получив доступ (имея возможность получать SMS) к телефонному номеру человека - получаешь доступ к госуслугам человека.
Можно оставить учетку без номера телефона если привязать его к другому пользователю.
Это какому? Вот сижу я, смотрю на описанный выше сценарий и мне он не нравится. Как сделать так, чтобы он стал невозможен (путем выноса телефона из учетки госуслуг)?
Другое дело, что это костыль. Наличие там телефона будет (и так должно быть) некритичным, если этот телефон вообще к процедуре входа отношения не имеет.
Это какому?
Вероятно, что к любому. Это получилось ненамеренно, когда у жены сломался телефон и мы решили временно привязать к ее аккаунту в ГУ мой номер. То что номер при этом отвязался от моей учетки я обнаружил тоже случайно - через несколько дней после звонка скамеров. Там как обычно просили назвать коды из СМС'ок, которые почему-то не пришли.
Можно оставить учетку без номера телефона если привязать его к другому пользователю.
Удобство и безопасность, да.
или приложения банков-партнеров, где указан этот номер телефона.
Как раз таки в этом и проблема. Банки положили болт на безопасность, пускают в приложение по коду из смс. Госуслуги положили болт на безопасность, пускают из банковского приложения, в которое пускают по коду из смс и запрещают отвязать телефон. И все говорят, что это мои проблемы.
У Apple это сделали нормально. Вся связка ключей шифруется локально и требует пароль. Часть ключей можно хранить на устройстве. Если поставить на ключ флажок, то он копируется в облако и синхронизируется с другими вашими устройствами. Не хотите - не надо. Если потеряли девайс, можете в любой момент его удалённо заблокировать и стереть всю информацию. Есть защита от подмены аппаратных компонентов для обхода систем аутентификации на уровне железа (за что в прочем их упрекают в снижении ремонтопрегодности).
Единственная проблема в том, что это программно-аппаратное решение, сделанное в рамках изолированной экосистемы. Повторить в условиях помойки как на андроид не получится - слишком много элементов.
Как мне этим "нормально" залогиниться, например, в гитхаб на компе с линухом? Куда мне ваш айфон приложить для этого?
Как мне этим "нормально" залогиниться, например, в гитхаб на компе с линухом?
Штатно, как их использование задумали - приблизительно так. (Эквивалентный кусок инструкции от Apple) Сканируешь QR, который тебе сайт предлагает и дальше авторизуешь, мучая телефон. В линуксном хроме - работает. В Firefox - мелкие баги, насколько я помню, чистят сейчас.
Оно, правда Bluetooh хочет нормальный для того, чтобы убедиться, что ты точно тут, а не перекидываешь картинки по сети.
Да, у меня есть вопросы к тому, как оно сделано (интернет хочет на всех устройствах) и почему нельзя было просто цеплять смарт по USB, подобно юбику, или прямо по Bluetooth, раз уж его хочет, а не развлекаться с камерой - но оно живое и стандартизированное.
Это неудобно. Я просто касаюсь ключа, который воткнут в клавиатуру, тратя на это секунду времени. Бегать искать по квартире телефон (я его по нескольку дней в руки не беру, бывает), сканировать коды и т.д., всё это бессмысленно, проще тогда TOTP код ввести.
Впрочем такое смогло бы сработать, если бы аппаратный ключ выдавали в МФЦ с привязкой к аккаунту на госуслугах (есиа), а каждый сервис (без бюрократических проволочек) мог бы проверять этот ключ через апи есиа (для проверки, что ключ действительный)
"Госключ" сейчас является таким компромиссным решением. Приватный ключ хранится на смартфоне и защищается паролем. Его нельзя скопировать. Не идеально, но как есть.
Приватный ключ хранится на смартфоне и защищается паролем.
Его нельзя скопировать.
Его нельзя скопировать, получив в открытом виде. Потому что даже у владельца полного ключа шифрования нет, чтобы хранимое расшифровать. А используется он - судя по всему - где-то в облачном HSM, куда передаются все эти контейнеры, внутри которого расшифровываются, ключ применяется и тут же забывается.
Ибо ГОСТ-овскую криптографию внутри смарта - низзя. Сертификата нет.
Во всяком случае я так понял, как оно работает, когда понять пытался по небольшому количеству статей и презентаций. Как-то странно он устроен.
А не нужно хотеть универсальные. (Тыкая пальцы в целую кучу старых SIP и банковских карт с чипами.) Вот же, даром аппаратные ключи раздают. С SIM-ками проблема не в завязку на SIM-ку, а в том, что ее нет, а есть завязка на номер.
Почему не нужно? Почему не использовать проверенное на практике универсальное решение, которое уже используют огромное количество помпаний по всему миру. Из финансовых это, как минимум, Bank of America, Paypal и несколько немецких банков в пример приводили.
Универсальные аппаратные ключи (типа yubikey) - слишком дорого.
Мне не дорого. $20 норм цена за безопасность, кмк. yubikey со всеми его возможностями не нужен, простые fido2 ключи оптом будут в несколько раз дешевле. Тем более, что эти уключи у меня уже есть.
ТОТР - для большинства пользователей это магия в которую они не умеют.
Какая разница для пользователя, вводить код из смс или из приложения? Я понимаю, что есть определённая категория людей, которым тяжело по состоянию здоровья за 30 сеунд код ввести, но аппаратный ключ этой проблемы не имеет.
Да и вообще для очень большого количества пользователей какие-то хитрые действия практически нереальны (они слишком тупы для этого). Максимум что они осиливают - это ввести код из смс или приложить карту к смартфону.
Может, если ты настолько тупой, что не можешь ввести логин/пароль и TOTP код, тебе не нужно иметь удолённый доступ к деньгам с возможностью брать кредиты и переводить деньги со счетов межбанком? Пускай для смс-пользователей останется доступ в ЛК, где можно будет только переводить деньги между своими счетами, платить по QR и переводить по СБП с жёстким лимитом 100к в месяц. И никакого межбанка и удалённого кредитования.
Для большинства этого будет более чем достаточно. Хочешь полноценный доступ, освой простейшие средства безопасности и потрать $20 на себя любимого. Для инвестиций же ввели квалификацию для доступа к высокорискованым операциям, почему тут не так?
Мне не дорого. $20 норм цена за безопасность, кмк. yubikey со всеми его возможностями не нужен, простые fido2 ключи оптом будут в несколько раз дешевле. Тем более, что эти уключи у меня уже есть.
Не поделитесь, как вы это реально используете?
Я YubiKey 5 NFC взял попробовать. Функции проверил (GPG, ssh ключи, passkey, TOTP). Но там ведь памяти с гулькин нос. Буквально два-три десятка аккаунтов.
Для отдельных суперсекретных ресурсов - да. Но не для повседневного использования на всех сервисах, где я зарегистрирован.
Не поделитесь, как вы это реально используете?
Как второй фактор. Регистрирую его на сайте, например, на гитхабе и после ввода пароля достаточно просто коснуться ключа, а не вводить коды из SMS/TOTP аутентификатора/почты. Количество сервисов, к которым так его можно привязать не ограничего. Жаль, что поддерживают ключи не все. Очень бы хотелось поддержки, как минимум, банками.
И при таком использовании нет ограничений по количеству? Можно это ключ использовать как на сотне разных сайтов (они запоминают именно ключ, один на всех сайтах, а не пишут в него что-то), так и на одном сайте для разных аккаунтов (гитхаб рабочий и личный, на gmail тоже не один аккаунт...)?
Я просто продолжил использовать Roboform для хранения passkey. Аппаратный токен, понятное дело, безопаснее, но удобный универсальный сценарий не придумал.
Нет ограничений. Речь про FIDO U2F (универсальный второй фактор). Насколько я понимаю, если по-крестьянски, при регистрации на сервер уходит публичный ключ. При аутентификации сервер генерирует что-то, что уходит в девайс, девайс подписывает это приватным ключом и отдаёт назад. Сервер сохранённым публичным ключом проверяет, что подпись верна.
А вы пишите про resident keys, там при регистрации для каждого ресурса своя пара ключей генерится и на ключ пишется метадата типа логина. Это для passwordless аутентификации и там правда ограничение есть, т.к. на ключ данные пишутся.
Можно это ключ использовать как на сотне разных сайтов (они запоминают именно ключ, один на всех сайтах, а не пишут в него что-то)
Да, я так и делаю, это второй фактор, то чем вы владеете.
так и на одном сайте для разных аккаунтов (гитхаб рабочий и личный, на gmail тоже не один аккаунт...)?
Вот тут не знаю, не пробовал, врать не буду. Но не вижу, завем бы вам это запрещать. Вам же пароль одинаковый для разных аккаунтов никто не запрещает устанавливать.
Мне коллега из Швеции рассказывала, как она могла в свой онлайн банк зайти только с одного ноута. Без подробностей, конечно, но такая себе история с юзабильностью.
Надо исходить из того, что большинство людей лениво и не особо разбирается, поэтому должно быть просто. Телефон - это просто, хоть и не 100% безопасно.
Это давно уже помимо канала связи и идентификация.
И это очень плохо, так быть не должно. Нельзя идентифицировать человека по номеру телефона, который опсос может в любой момент отобрать и передать другому. Это нонсенс. Телефон должен быть исключительно каналом связи, я именно об этом и пишу.
Есть конечно комбинированный способ. Например почту что бы завести без телефона никуда и то несколько ящиков заведешь на один номер, а дальше лесом пошлют. Ещё ВК почти везде начали навязывать авторизацию. В маил почту заходишь ВК там чё то булькает, на юлу объявление выгружает то же в ВК какую-то группу создаёт с товаром а там уже мошенники начинают счёт на оплату скидывать и курьера подсылать. Ну и в ВК без номера никуда
Например почту что бы завести без телефона никуда
У меня вся почта заведена без телефона. За пределами РФ ещё не все сбрендили окончательно, как наши.
Когда нашим приспичит запретить забугорную почту для использования на наших ресурсах тогда придется регистрировать у наших. Да и помимо почту много где нужен телефон.
Я не очень понимаю, зачем вы мне рассказываете, как у нас всё сделано через задницу, чтобы что? Я это прекрасно знаю и как раз пишу о том, что так быть не должно. В чем ваш поинт, с чем вы спорите?
Да и помимо почту много где нужен телефон.
Телефон должен использоваться исключительно как канал связи. Точка. Как средство аутентификации/идентификации он не нужен нигде. То, что какие-то косорылые мудаки завязали всё на коды из смс, не аргумент.
На текущий момент это нереально, граждане между регионами переезжают, а номера по MNP можно только внутри региона переносить.
К чему эти полумеры? Штрих код на затылок как в Хитмане или цифры на лбу.
Так rfid давно вживили во время вакцинации от ковида и читается оно проще машинными методами.
https://habr.com/ru/articles/366291/
Да и ИИ уже в мире приспособили людей определять по морде лица и без всяких штрих-кодов или циферок (которые можно замазать или подретушировать, а пластика в копеечку влетит).
Интересно кто будет считать симки ?
Когда появилась возможность переходить г другому сотовому оператору со своим номером
по работе столкнулся с необходимостью определять оператора по номеру и стал копать
оказалось
1 Есть веделенные пулы номеров телефонов закрепленные за операторами связи - реестр ведет Минцифры при выдаче лицензий операторам, файлики лежат в CSV в открытом доступе
на тот момент большая часть выглядела как 00001 -00999 - Ростелеком, 01000-99000 МТС и тд, тоесть выделялись диапазоны, но уже тогда появлялись виртуальные операторы, которым оператор отдавал часть совего диапазона, но почемуто не диапазоном а все нечетные. И в выгружаемом файлике вместо одной строки появлялось 100тыс строк.
Представьте разницу между выгрузкой и обраткой CSV в 2мб и в 2гб
2 Переданные номера - тут сама жесть:создана "База данных переданных номеров" БДПН
и ведет ее "НИИ Радио" и у них тоже выгрузка в CSV на сайте (после письменного запроса от организации желающей данные получать) и файлик 10 лет назад уже вылазил на несколько Гб. И никакого APIс возможностью выгрузки изменений, только хардкор, только весть файл. И с кодировкой еще косячили при формировании файла.
Так и тут поручат какой-нибудь "Центр статистики учета населения" , и будет всем счастье.
Минцифры подготовило новые правила оказания услуг мобильной связи с ограничениями по выдаче сим-карт