Я Вам про кислое, Вы мне про мягкое. Хорошо, спрошу иначе, как опция отключения восстановления пароля по смс спасет вас от этого?
Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
Проблема не в том что есть легкий способ сменить пароль через СМС. Проблема в том, что его нельзя отключить. Нет возможности отказаться от этого способа. Дали бы возможность получать пароли только в банке для тех кому это надо — вопроса бы не было, не включил эту возможность — увели деньги — ССЗБ.
Тут согласен, сам пытался заставить банк, чтобы подписать с ними бумагу, о том что заявку на кредит могу подать только я лично, путем прихода в банк. Отказали, у нас такого нет. Но я понимаю почему, потому что у них нет такого процесса, он никак не описан внутри банка. А запроса от клиентов на это скорее всего нет, 90% (это моя личная оценка) на это просто все равно. Поэтому банку это не выгодно инициализировать в разработку и.т.д.
Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?
Смс-давно не панацея даже OWASP и NIST два года назад рекомендовали не использовать как второй фактор, многие банки предлагают push уведомления, но я понимаю почему они не делают это поголовно для всех. Потому что в потенциальном селе\деревне X нет нормального мобильного интернета, а вот gsm связь с смс есть.
Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
Я Вас что силой заставляю читать? В начале написал же
«Конечно, особой ценности статья не несет, но, возможно, вам это будет интересно.»
Если у вас горит, можете поставить мне минус карму — если станет легче. Но как по мне, поднимать такие вопросы нужно, чтобы хоть иногда компании думали о своей репутации. Тем более в комментах, многие рассказали куда более страшные истории чем у меня, например с кредитом и для меня это полезно, заказывать подписание договора через курьера не буду. Так же как для других какая-то информация из поста может быть полезна. ок?
Вы его каждому клиенту предоставите бесплатно? Куда его надо будет подключать? Как он будет конектиться с системами банка и по каким протоколам? Что мешает похитить ридер и карту вместе с ним и как ридер спасет от физической кражи?
Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
Если что-то из них этого не умеет — то же самое, но через контактный ридер.
Что делать тем у кого нет NFC?
Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.
Мы говорили про риск кражи, а не зловредов на телефоне.
Есть еще великий фазинг.
Я Вам про кислое, Вы мне про мягкое. Хорошо, спрошу иначе, как опция отключения восстановления пароля по смс спасет вас от этого?
Тут согласен, сам пытался заставить банк, чтобы подписать с ними бумагу, о том что заявку на кредит могу подать только я лично, путем прихода в банк. Отказали, у нас такого нет. Но я понимаю почему, потому что у них нет такого процесса, он никак не описан внутри банка. А запроса от клиентов на это скорее всего нет, 90% (это моя личная оценка) на это просто все равно. Поэтому банку это не выгодно инициализировать в разработку и.т.д.
Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?
Смс-давно не панацея даже OWASP и NIST два года назад рекомендовали не использовать как второй фактор, многие банки предлагают push уведомления, но я понимаю почему они не делают это поголовно для всех. Потому что в потенциальном селе\деревне X нет нормального мобильного интернета, а вот gsm связь с смс есть.
Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
70к \ 12 мес = 5800 (с копейками).
5800 - 3300= 2500 - оплатили за жилье
2500 - 400 = 2100 - оплатили коммуналку и интернет, из статьи.
2100 - х = у - сюда закладываю еду, одежду, досуг, накопления (допустим на первый взнос по ипотеке).
Вот и интересно сколько остается после вычета этих статей расхода в месяц, и через сколько ты накопишь на первый взнос по ипотеке.
получается что с зарплатой 70к долларов на руки в год в Лондоне, ты считай что бомж?
Кажется попахивает нобелевской премией.
Перечитайте еще раз всю ветку, и посмотрите про что Вы пишете. Дальше полемику не вижу смысла продолжать.
Что делать тем у кого нет NFC?
Мы говорили про риск кражи, а не зловредов на телефоне.