>> У человека должен быть физический доступ к сим-карте и банковской карте, чтобы войти в аккаунт сбера.
как показывает практика, вовсе не обязательно... Номер карты вообще не нужен, номер телефона мошенник уже знает. Если для привязки приложения мошеннику достаточно получить одну-единственную смс, мой пожилой родственник ему ее и скажет... Он и пароль конечно сказал бы - если он его знал бы:)
Пароль пригодился бы в момент первоначальной установки приложения. Вместе с СМС это было бы типа 2fa. А дальше это "типа 2fa" обеспечивается владением телефона, на котором установлено приложение + знанием кодпароля к самому приложению.
Английский физик сэр Рудольф Пайерлс вспоминает: «Одно из моих любимых воспоминаний – это случай, когда в дискуссии всплыло имя физика, о котором Ландау прежде ничего не слышал. Посыпались вопросы: «Кто это? Откуда? Сколько ему лет?». Кто-то сказал: «О, ему всего двадцать восемь... ». И тогда Дау воскликнул: «Как, такой молодой и уже такой неизвестный?».
>>Есть как раз сейчас интересная задача по интеграции 1с со сторонним веб сервисом. Изучаю сейчас http сервисы и Odata.
вот поддержу - это здорово, когда новое осваивается под конкретную задачу, и, в случае, когда это связано с ERP, дополнительный бонус, не просто под задачу, а под задачу для конкретных пользователей, когда сразу видишь результат применения полученных знаний. Совсем другая мотивация сразу.
проблема в реализации этого "кодового слова", которое лишь дополнительный атрибут в карточке клиента. Как его в ней не подсвечивай и интерфейсно не выделяй - человеческий фактор, и на него могут не обратить внимания.
Вот если бы оно было бы паролем, без которого сотрудник просто в карточку клиента зайти не смог бы, это было бы более интересно.
это, кстати, подтверждения того, что установка пин-кода на симку от "целевой" кражи телефона(симки) не спасет... И, соответственно, от увода тех лк, доступ к которым восстанавливается с помощью смс...
>>новенький блестящий корабль обгонит эту консерву с тараканами в котором >>обитателям станет по большому счёту наплевать на миссию, которую задумали далёкие предки
так там же(в АИС Налог 3) речь о доступе через веб-сервисы к информационной системе налогоплательщика, то есть это не ручные ответы на автоматические запросы...
>>OTP перехватить намного труднее. это понятно, но вроде у топик-стартера только одна смс уплыла, с помощью которой пароль и восстановили (тк не было задано контрольного вопроса). И с помощью только нового пароля и зашли - уже без получения новых смс. Хотя ведь сейчас 2фа вроде по умолчанию у всех принудительно установлена (пароль+смс)?...
А причем тут Н.Вирт?..
>> У человека должен быть физический доступ к сим-карте и банковской карте, чтобы войти в аккаунт сбера.
как показывает практика, вовсе не обязательно... Номер карты вообще не нужен, номер телефона мошенник уже знает. Если для привязки приложения мошеннику достаточно получить одну-единственную смс, мой пожилой родственник ему ее и скажет... Он и пароль конечно сказал бы - если он его знал бы:)
Пароль пригодился бы в момент первоначальной установки приложения. Вместе с СМС это было бы типа 2fa.
А дальше это "типа 2fa" обеспечивается владением телефона, на котором установлено приложение + знанием кодпароля к самому приложению.
Почти во всех банках так же
Либо пароль формально есть, но сбрасывается смской
Майя Бессараб. Так говорил Ландау - Часть 3
Английский физик сэр Рудольф Пайерлс вспоминает: «Одно из моих любимых воспоминаний – это случай, когда в дискуссии всплыло имя физика, о котором Ландау прежде ничего не слышал. Посыпались вопросы: «Кто это? Откуда? Сколько ему лет?». Кто-то сказал: «О, ему всего двадцать восемь... ». И тогда Дау воскликнул: «Как, такой молодой и уже такой неизвестный?».
>>Оказалось что у меня остигматизм на правый глаз
А как определили?..
>>Есть как раз сейчас интересная задача по интеграции 1с со сторонним веб сервисом. Изучаю сейчас http сервисы и Odata.
вот поддержу - это здорово, когда новое осваивается под конкретную задачу, и, в случае, когда это связано с ERP, дополнительный бонус, не просто под задачу, а под задачу для конкретных пользователей, когда сразу видишь результат применения полученных знаний. Совсем другая мотивация сразу.
В моём доме прошу не выражаться! (с)
с опытом понятно, но этому же учат на первом же курсе, разве нет?..
ну вот чему учат на первых курсах в реальной жизни ведь редко пригождается, разве нет?...
(редко, но метко)
а в счетах интересно что?.. типа пени накапливаются?..
>>назвать ЛЮБОЙ номер МТС, назвать ФИО владельца и вытворять с номером все, что он захочет.
вообще там речь же не шла о "рандомном" номере, любой - это ж не значит "рандомный". Чтобы сделать пакость нужен как раз не рандомный номер...
вроде есть же - Отказ от бумажного ЕПД. Госуслуги Москвы
>>А кто решил, что этого недостаточно?
проблема в реализации этого "кодового слова", которое лишь дополнительный атрибут в карточке клиента. Как его в ней не подсвечивай и интерфейсно не выделяй - человеческий фактор, и на него могут не обратить внимания.
Вот если бы оно было бы паролем, без которого сотрудник просто в карточку клиента зайти не смог бы, это было бы более интересно.
это, кстати, подтверждения того, что установка пин-кода на симку от "целевой" кражи телефона(симки) не спасет... И, соответственно, от увода тех лк, доступ к которым восстанавливается с помощью смс...
>>новенький блестящий корабль обгонит эту консерву с тараканами
в котором
>>обитателям станет по большому счёту наплевать на миссию, которую задумали далёкие предки
так там же(в АИС Налог 3) речь о доступе через веб-сервисы к информационной системе налогоплательщика, то есть это не ручные ответы на автоматические запросы...
понятно, спасибо!
>>OTP перехватить намного труднее.
это понятно, но вроде у топик-стартера только одна смс уплыла, с помощью которой пароль и восстановили (тк не было задано контрольного вопроса). И с помощью только нового пароля и зашли - уже без получения новых смс. Хотя ведь сейчас 2фа вроде по умолчанию у всех принудительно установлена (пароль+смс)?...
Фитиль - "Порожняк"