Comments 59
Вы Сбербанку написали? Что они ответили?
нет. Не хотим тратить нервы. Завел жене счет в Альфе — больше голову не греем. А Сбер — зарплату получать и только.
Есть такой протокол безопасности банковских транзакций, разработанный компанией VISA, который называется 3-D Secure. Его реализация от платёжной системы MasterCard называется MasterCard SecureCode, а реализация его от платёжной системы VISA называется Verified by Visa.
И этот протокол вводит дополнительный фактор для подтверждения транзакции в виде сгенерированного временного кода, который должен быть как-то сообщён клиенту от платёжной системы, чтобы тот его ввёл для подтверждения транзакции. И разные банки эмитенты платёжных карт по разному реализуют процедуру доставки этого кода до клиента.
Так вот в Альфа-Банке процедура доставки этого кода до клиента сделана тоже не самым удобным образом. Чтобы получать этот код на свой мобильный в виде СМС-сообщения, нужно предварительно подключить там услугу СМС-банкинга, называемую там Альфа-Чек.
1) Во-первых, эта услуга платная (с регулярной абонентской платой).
2) Во-вторых, она подключается не мгновенно. После заявки на подключение нужно ждать 1-2 рабочих дня.
Казалось бы, Альфа-Банк мог бы рассылать такие СМС с кодами подтверждения не только тем, кто подключил эту платную услугу, а вообще всем своим клиентам. Ведь у них есть мобильный номер всех клиентов (в личных данных клиента, а также тот номер на который высылаются временные коды для входа в интернет-банк).
Но представители банка на это отвечают, что в их информационных системах мобильный номер клиента хранится в разных несинхронизирующихся базах: в личных данных клиента, в данных об открытом счёте клиента, в данных интернет-банка, в данных СМС-банкинга. И они не могут быть уверены, что все прочие номера кроме номера СМС-банкинга актуальны. А номер СМС-банкинга по каким-то непонятным мне соображением они считают наиболее актуальным и потому валидным, а номер мобильного для входа в интернет-банк они почему-то не считают валидным, даже если юзер постоянно пользуется интернет-банкаом.
1) Зачем они расплодили столько сущностей и не используют для всех систем единый номер, хранимый в одном месте, — непонятно.
2) На вопрос почему бы тем, у кого подключен СМС-банк, высылать коды 3-D Secure на его номер, а у кого он нее подключен, то высылать на номер, указанный для интернет-банка, или номе, указанный в личных данных клиента банка, представители банка не отвечают. Хотя в таком случае эти коды смогли бы получать вообще все клиенты, а не только те, кто подключил дополнительную платную услугу.
3) Высылать эти коды по e-mail или XMPP они тоже не планируют, заявляя, что это якобы небезопасно (несмотря на возможность работы с этими сервисами по SSL).
И этот протокол вводит дополнительный фактор для подтверждения транзакции в виде сгенерированного временного кода, который должен быть как-то сообщён клиенту от платёжной системы, чтобы тот его ввёл для подтверждения транзакции. И разные банки эмитенты платёжных карт по разному реализуют процедуру доставки этого кода до клиента.
Так вот в Альфа-Банке процедура доставки этого кода до клиента сделана тоже не самым удобным образом. Чтобы получать этот код на свой мобильный в виде СМС-сообщения, нужно предварительно подключить там услугу СМС-банкинга, называемую там Альфа-Чек.
1) Во-первых, эта услуга платная (с регулярной абонентской платой).
2) Во-вторых, она подключается не мгновенно. После заявки на подключение нужно ждать 1-2 рабочих дня.
Казалось бы, Альфа-Банк мог бы рассылать такие СМС с кодами подтверждения не только тем, кто подключил эту платную услугу, а вообще всем своим клиентам. Ведь у них есть мобильный номер всех клиентов (в личных данных клиента, а также тот номер на который высылаются временные коды для входа в интернет-банк).
Но представители банка на это отвечают, что в их информационных системах мобильный номер клиента хранится в разных несинхронизирующихся базах: в личных данных клиента, в данных об открытом счёте клиента, в данных интернет-банка, в данных СМС-банкинга. И они не могут быть уверены, что все прочие номера кроме номера СМС-банкинга актуальны. А номер СМС-банкинга по каким-то непонятным мне соображением они считают наиболее актуальным и потому валидным, а номер мобильного для входа в интернет-банк они почему-то не считают валидным, даже если юзер постоянно пользуется интернет-банкаом.
1) Зачем они расплодили столько сущностей и не используют для всех систем единый номер, хранимый в одном месте, — непонятно.
2) На вопрос почему бы тем, у кого подключен СМС-банк, высылать коды 3-D Secure на его номер, а у кого он нее подключен, то высылать на номер, указанный для интернет-банка, или номе, указанный в личных данных клиента банка, представители банка не отвечают. Хотя в таком случае эти коды смогли бы получать вообще все клиенты, а не только те, кто подключил дополнительную платную услугу.
3) Высылать эти коды по e-mail или XMPP они тоже не планируют, заявляя, что это якобы небезопасно (несмотря на возможность работы с этими сервисами по SSL).
Тоже интересовался этим вопросом у Альфа Банк
ответ прост и лежит на поверхности — Альфа чек — платная услуга
Решил проблему — завел виртуальную карту (на физ. носители) на ней магическим образом подтверждение 3D Secure не нужно :)
PS Виртуальная карта на физ носителе так же платная услуга, но однократная ;)
ответ прост и лежит на поверхности — Альфа чек — платная услуга
Решил проблему — завел виртуальную карту (на физ. носители) на ней магическим образом подтверждение 3D Secure не нужно :)
PS Виртуальная карта на физ носителе так же платная услуга, но однократная ;)
Глупость какая. У меня виза Альфы, смс с паролями приходят БЕЗ каких-либо альфа чеков (так как уведомлений о списании или получении денег я не получаю, зато смс с паролями — на каждый чих, что, кстати, правильно). Как так получилось — сам не знаю.
Не сбербанк, но отвечу. :-)
Это стандартная технология 3D Secure, с подтверждением транзакции с помощью одноразовых паролей, получаемых в банкомате и/или SMS. Есть как у Visa, так и у MasterCard. Сбербанк, по-моему, один из немногих российских банков, поддерживающих данную технологию. Так что это не баг, это — фича для безопасности.
Это стандартная технология 3D Secure, с подтверждением транзакции с помощью одноразовых паролей, получаемых в банкомате и/или SMS. Есть как у Visa, так и у MasterCard. Сбербанк, по-моему, один из немногих российских банков, поддерживающих данную технологию. Так что это не баг, это — фича для безопасности.
Это стандартная технология 3D Secure
На этом надо было поставить точку. Ибо стандарт — да, есть. А вот как банк будет проверять, что это его клиент, а не кто-то еще — дело банка. Нет, может быть там есть какие-то рамки дозволенного, но судя по всему, довольно гибкие. У Банка Москвы, например, по умолчанию 3D-Secure не включен (и, видимо, все запросы которые пытаются провести с его использованием автоматически отклоняются), для включения нужно подойти к банкомату, получить одноразовый пароль и ссылку, перейти по ссылке, идентифицироваться и задать постоянный пароль, который и будет запрашиваться для операций 3D-S.
«Операции в сети Интернет в защищенном режиме проводятся с использованием
одноразовых паролей, которые можно получить на устройствах самообслуживания Банка
с вводом ПИН-кода или в виде СМС-сообщения на Ваш мобильный телефон,
подключенный к услуге «Мобильный банк». Одноразовый пароль состоит из 8 цифр и
букв латинского алфавита и предназначен для проведения одной операции. Чек банкомата
содержит 10 одноразовых паролей. СМС-сообщение содержит один одноразовый пароль.» из памятки держателей карт сбербанка. Вы её читали?
одноразовых паролей, которые можно получить на устройствах самообслуживания Банка
с вводом ПИН-кода или в виде СМС-сообщения на Ваш мобильный телефон,
подключенный к услуге «Мобильный банк». Одноразовый пароль состоит из 8 цифр и
букв латинского алфавита и предназначен для проведения одной операции. Чек банкомата
содержит 10 одноразовых паролей. СМС-сообщение содержит один одноразовый пароль.» из памятки держателей карт сбербанка. Вы её читали?
Это карта жены, я не особо там читал. Но на момент получения карты (полтора года назад) такого небыло. Никаких уведомлений об изменении не приходило ни на почту, ни на телефон. Но ни это же главное.
Глвное в другом — международная карта (VISA) принимается по всему миру (по идее). Одна проблема — получить чек в Сберовском банкомате за пределами РФ.
PS — Я знаю людей которые до сих пор ездят по миру, не имея мобильного телефона, а следовательно и CMC апринять не могут.
Так же хочу заметить, что получив чек с паролями в России, не факт, что их хватит. Где брать остальные?
Глвное в другом — международная карта (VISA) принимается по всему миру (по идее). Одна проблема — получить чек в Сберовском банкомате за пределами РФ.
PS — Я знаю людей которые до сих пор ездят по миру, не имея мобильного телефона, а следовательно и CMC апринять не могут.
Так же хочу заметить, что получив чек с паролями в России, не факт, что их хватит. Где брать остальные?
Стандарт безопасности MasterCard 3D Secure и Verified by Visa используется далеко не во всех интернет-магазинах. Для оплаты в магазине или снятия денег в банкоматах, никакие коды не требуются. Технология появилась в Сбербанке еще в 2008 году. Наверняка, обратившись в банк, можно проверку отключить.
Вы расхваливаете Альфа-банк, но там тоже для доступа в интернет-банк требуется одноразовый пароль по SMS. В десятках других банков выдаются конверты со списком паролей. Это стандартно.
Вы расхваливаете Альфа-банк, но там тоже для доступа в интернет-банк требуется одноразовый пароль по SMS. В десятках других банков выдаются конверты со списком паролей. Это стандартно.
А если человек оставил мобильный телефон, на который зарегистрирована карточка дома. Я всегда так делаю когда из РФ уезжаю. Финита?
Слава богу с паспортом не просят зайти в банк, где по письменному заявлению в течении 3-х рабочих дней вам будет выдан ПИН-код. :-)
у СБ, насколько мне известно, как и у всех вменяемых банков есть возможность получения одноразового пароля смской.
а вот Time Out печалит, да.
а вот Time Out печалит, да.
ни одной не пришло. Да и не спрашивал никто номер мобильного тогда.
Только при подключении платной услуги «Мобильный банк».
Есть lite версия данной услуги, она бесплатна. В ней отсутствует СМС банкинг но пароли приходят.
Неправда. Номер привязывается абсолютно бесплатно (что позволяет получать на него смс-кой одноразовые пароли), платны уведомления о транзакциях (как и у большинства банков).
Да, действительно, на сайте указано, что есть две версии: полная и экономная. На радостях я побежал в ближайшее отделение подключать себе экономную версию. А там про это совершенно не в курсе. Придется дальше чеками пользоваться.
Уровень подготовки персонала просто радует. Помнится Сбербанк-онлайн всем отделением подключали.
Уровень подготовки персонала просто радует. Помнится Сбербанк-онлайн всем отделением подключали.
Вот гады!
А какой тип карты Visa?
Сбербанку легче офис сделать в другой стране, нежели доработать саму систему. Кстати, и во Франкфурте есть
отделение.
отделение.
Только сегодня брал 2 билета через сайт РЖД. Правда не е-тикет, а с получением в кассе.
оплата шла через транскредит банк, а не через сбер.
оплачивал «мастером» от связного. как часы.
оплата шла через транскредит банк, а не через сбер.
оплачивал «мастером» от связного. как часы.
Яак я альфа-банковской картой оплатил — тоже без проблемм.
Все зависит от того, какой ПЦ обслуживает Вашу карту на данном конкретном сайте.
Все зависит от того, какой ПЦ обслуживает Вашу карту на данном конкретном сайте.
Банк, который процессит транзакцию может быть любым. Но Verified by Visa всё равно требует, чтобы транзакция была одобрена выпустившим карту банком, которым является сбер.
Самый невменяемо-извращенный вариант применения одноразовых паролей из всех, о которых когда-либо слышал.
Кстати. У меня одна из карт VISA Classic от Сбербанка. Используется для мелких расходов. К ней привязаны Google Checkout и PayPal. Ни разу за всё время не пришлось столкнуться с проблемой ПИН-кодов. Все транзакции проходят на ура. Вот только не могу вспомнить приходилось ли мне платить через интернет «напрямую» без платежных систем…
Если честно не понял недовольства автора. Оплачиваю покупки через сбербанк уже порядка двух лет и всегда был выбор либо распечатать заранее список одноразовых паролей в любом банкомате сбербанка либо подтвердить через код пришедший по SMS к привязанному мобильному телефону. Просто обо всем этом надо было позаботится чуточку пораньше а не когда прижмет. По поводу целесообразности или не целесообразности использования вторичных паролей можно спорить долго, кому удобнее безопасность, а кому то удобство.
Ну не приняли карту в Германии это конечно косяк сильный. Если карта Visa Classic то жалобу в Visa и сбербанк стоило бы отправить пусть потом разбираются кто не прав.
P.S. От себя могу сказать что сам по себе по цене/качеству Сбербанк далеко не подарок, единственное в чем сильно выигрывает так это большим кол-вом банкоматов.
Ну не приняли карту в Германии это конечно косяк сильный. Если карта Visa Classic то жалобу в Visa и сбербанк стоило бы отправить пусть потом разбираются кто не прав.
P.S. От себя могу сказать что сам по себе по цене/качеству Сбербанк далеко не подарок, единственное в чем сильно выигрывает так это большим кол-вом банкоматов.
Основное недовольство тем, что условия, в которых приходится пользоваться услугами данного банка иногда бывают смешны и абсурдны и особенно это проявляется в самый ответсвенный момент. Я не против поддверждения по смс (если бы оно приходило). Я не против даже сходить распечатать чек — дайте где. Но когда ты видишь последовательность окон, в которых нарушена логика — это уже верх неуважения и непрофессионализма, я считаю.
Перечитайте последний абзац поста более внимательно, уделив внимание логике и последовательности запрашиваемых данных, и Вам все станет понятно, я думаю.
Перечитайте последний абзац поста более внимательно, уделив внимание логике и последовательности запрашиваемых данных, и Вам все станет понятно, я думаю.
Перечитал. Логика сбербанка в том что если у человека есть нужда в использовании покупок через интернет, то он должен узнать подробности того как это совершать заранее, а не в момент покупки.
Речь здесь о том, что информация об операции выводится на первом экране и при этом не явно, а требование его использования уже на втором, при том что таймаут сессии ограничен по времении, при чем не большим промежутком. В савокупности это подразумевает, что человек изначально должен занть все тонкости и последовательность, знать куда смотреть… тоесть обладать уже каким-то опытом работы с данной конкретной системой/интерфейсом. Человек, воспользовавшийся их услугой впервые (в данном случае мы с женой), расчитывая на продуманность интерфейса «как в других банках или по аналогии» — априори обречен на провал, что не вяжется ни с логикой, ни уж тем более с юзабилити (на которую, в том числе, тоже выделяются коллосальные средства).
Так же, внедрению тех или иных новшеств должны предшествовать какие-то предварительные подготовительные работы.
Например у нас в компании принято, что если мы внедряем какой-то новый сервис, и нам нужны дополнительные данные для его использования, то мы сначала собираем эти данные со всех клиентов без исключения, а тольок потом внедряем. Иначе можно растерять всех клиентов.
Сбер — организация, которой «фиолетово» на конкуренцию, поэтому они могут позволить себе такой низкий сервис.
Если для Вас это норма, то я категорически не приемлю такой подход и считаю такой «сервис» не правильным. И именно этим я и недоволен.
Так же, внедрению тех или иных новшеств должны предшествовать какие-то предварительные подготовительные работы.
Например у нас в компании принято, что если мы внедряем какой-то новый сервис, и нам нужны дополнительные данные для его использования, то мы сначала собираем эти данные со всех клиентов без исключения, а тольок потом внедряем. Иначе можно растерять всех клиентов.
Сбер — организация, которой «фиолетово» на конкуренцию, поэтому они могут позволить себе такой низкий сервис.
Если для Вас это норма, то я категорически не приемлю такой подход и считаю такой «сервис» не правильным. И именно этим я и недоволен.
А через интернет-банк нельзя эти пароли получить?
Не по теме, но тоже про «всегда рядом». Пишу сюда, потому что надеюсь, что заглянут сюда сотрудники сбера. Недавно понадобилось перевести денежку на карточку сбербанка человеку, живущему в Питере (я в Подмосковье). Сбербанк утверждает, что для такого перевода достаточно знать номер карты, и больше никаких данных якобы не требуется. В первом отделении, куда я пришла, у меня попытались выспросить дополнительно номер счета, ФИО, номер отделения, в котором открыта карта (!!! какой нормальный человек это помнит?), адрес этого отделения… пытались узнать еще и паспортные данные! Но перевод сделать так и не смогли («Это же другой регион, нам надо больше информации»). В другом отделении сказали, что в другой регион вообще не переводят. И только в третьем по счету старенькая бабушка мгновенно сделала перевод, не задавая дурацких вопросов. Мой вывод — компетентность сотрудников катастрофически падает. Уйдет эта бабушка на пенсию, и в другой регион перевести денежки будет совсем невозможно…
> Уйдет эта бабушка на пенсию, и в другой регион перевести денежки будет совсем невозможно…
Я ещё с детства подозревал, что вся стабильность в мире держится на бабушках!
Я ещё с детства подозревал, что вся стабильность в мире держится на бабушках!
Для такой операции можно было бы воспользоваться их банкоматом. Но всегда как-то стремно — набираешь номер карты, а имени владельца не видно, приходится по нескольку раз перепроверять, а в это время очередь сзади подпирает и некомфортно. А если через интернет Банк-Онлайн то же самое делать, то имя видно.
Напишите жалобу на сайте сбера, с указанием даты, времени и места. Мне отвечали на претензии в течении недели. Если напишите претензию прямо в отделении сбера, вам еще и письмо с ответом пришлют.
У меня была подобная ситуация (сотрудник Сбера «проконсультировал» так, что пришлось мотаться по отделениям и потерять два часа). Оставил жалобу в колл-центре, через два дня перезвонили, извинились, сказали что сотрудника отправили на дополнительное обучение. Двух часов, конечно, не вернёшь, но в принципе нормальная реакция.
На чеке 20 паролей, так что если заранее озаботиться вопросом, то можно было бы купить 20 билетов.
Интересно, а можно получить с собой в поездку более 20 паролей?
Скорее всего нельзя, потому что когда берешь в банкомате новый чек, старый сгорает.
Интересно, а можно получить с собой в поездку более 20 паролей?
Скорее всего нельзя, потому что когда берешь в банкомате новый чек, старый сгорает.
Вообще то это международная система защиты visa 3d secure которая также зовётся verified by visa она запрашивает дополнительный пароль, ее поддерживают уже огромное количество банков и с тем же вы могли столкнуться пользуясь карточкой любого западного банка, к тому же пароль можно получить не только через чек но и по СМС.
Хотя от сбера да я сам решил уходить потому что последние пару недель банкомат на прием денег не работали практически нигде и инет-банк страшно тупил.
Хотя от сбера да я сам решил уходить потому что последние пару недель банкомат на прием денег не работали практически нигде и инет-банк страшно тупил.
Про 3D-secure написали выше. Добавление — насколько я понимаю, прибегать к этому механизму или нет решает тот, у кого вы что-то покупаете. Дополнительная мера безопасности — больше гарантий, что вы не сделаете роллбэк транзакции.
Например, при покупке авиабилетов через Expedia никаких паролей никто не спрашивает. Это и понятно — пока подойдёт время воспользоваться билетом, все платежи успеют пройти.
Ну и когда я получал карту в Сбере, мне подробно объяснили, что к чему, и про одноразовые пароли, и про СМС, и про подключение мобильного банка. Странно, что не объяснили вашей супруге. Возможно, неудачное отделение попалось.
Например, при покупке авиабилетов через Expedia никаких паролей никто не спрашивает. Это и понятно — пока подойдёт время воспользоваться билетом, все платежи успеют пройти.
Ну и когда я получал карту в Сбере, мне подробно объяснили, что к чему, и про одноразовые пароли, и про СМС, и про подключение мобильного банка. Странно, что не объяснили вашей супруге. Возможно, неудачное отделение попалось.
Вот это полный тупизм, называется все продумали.
Проблема по большей части не в наличии этих паролей, а в способе их получения.
У сбера это банкомат.
Причем на чеке 20 одноразовых паролей, которые нужны как для оплаты через интернет, так и для всяких действий через сбербанк онлайн. Набрать пачку чеков на всю поездку нельзя — новый чек обнуляет старый.
А раньше их вообще всего 10 было.
Т.е. есть ненулевая вероятность плана: взял чек, уехал куда-либо (где нет банкоматов сбера), потратил все пароли — сидишь кукуешь и, скрепя сердце, снимаешь налик, либо используешь альтернативный пластик.
У сбера это банкомат.
Причем на чеке 20 одноразовых паролей, которые нужны как для оплаты через интернет, так и для всяких действий через сбербанк онлайн. Набрать пачку чеков на всю поездку нельзя — новый чек обнуляет старый.
А раньше их вообще всего 10 было.
Т.е. есть ненулевая вероятность плана: взял чек, уехал куда-либо (где нет банкоматов сбера), потратил все пароли — сидишь кукуешь и, скрепя сердце, снимаешь налик, либо используешь альтернативный пластик.
Sign up to leave a comment.
Сбербанк — Всегда рядом