Оценка количества атак из реального мира будет? Желательно чтобы она была в украденных деньгах. Чтобы оценить опасность и насколько серьезно защищаться надо. Может дешевле просто всем вернуть эти деньги?
Не надо бороться с бумажным тигром. Надо в начале понять есть ли проблема вообще?
Точно нет? Покажете ссылочку или снова анонимусу на слово надо верить? Задача купить батон хлеба в обычном для текущей местности соседнем магазине. Не страдая и не переплачивая при этом. Просто приложить карточку и оплатить цену на ценнике или что-то вроде того.
Решается. Стажерская зарплата это мало или очень мало. Человеку нет смысла саботировать. В крайнем случае посидит отчеты и тесты попишет, это можно в договор вписать. И будет уволен сразу после завершения.
Это нелегально. Уклонение от налогов. Разъяснений и дел море уже.
Начальная привязка это редкое событие, на которое можно вешать что угодно включая видеозвонки или просьбу зайти в отделение в крайнем случае. Поверхность атаки сокращается радикально, можно защищать заметно лучше.
Перевод на миллион с только что привязанного устройства заблокировать всегда это вообще один ифичик. Дальше уже разбирать что там.
Нет. Социнженерия != технической атаке на канал. Это прямо разные поверхности атак. Посмотрите любой документ об оценке угроз и средствам борьбы. Их на аудиты часто пишут.
Айфоны все так и делают вообще. Ключики лежат в системном хранилище, приложенька обеспечивает интерфейс, апишку и все такое. Что там с Андроидами не знаю.
Официальная приложенька все равно нужна. АПИ кто-то тоже должен реализовать? И показать что именно подписывается должен. Левые приложеньки тут плохи. Но если будет опубликована апишка чтобы люди писать свои могли писать, я только за буду.
Вы попробуйте это все бабушке рассказать. Это нерабочая схема. Кроме нет, есть множество других вариантов. Оно может не работать по миллиону причин.
Вы опять решаете не ту проблему. Никто не атакует канал, никто не перехватывает СМС. Человек сам называет цифры, атакуют человека. Не надо защищать то что не атакуют. Это лишнее действие.
Защищать надо только человека. Непробрасываемое никуда подтверждение операции из официальной приложеньки решает проблему "сказал цифры". И при этом не усложняет взаимодействие и доступно всем. Выглядит так что в эту сторону все и идет.
Класс. То есть в поликлинику записываться идти ножками и стоять в живой очереди как в давние времена. Вы не туда воюете.
Пишем что юристы скажут. При этом если человек занимается итальянской забастовкой со словами "не буду работать обычным разработчиком, а буду только по договору" то расстаемся. В момент заключения все это естественно обговариваем.
Оно решает проблемы вкатунов. Не идеально, но ничего лучше пока не придумали. Как только найдется решение получше, то конечно перейдем на него.
То есть вы поддерживаете завязывание всей авторизации на приложеньку Госуслуг Макс? Она умеет привязываться к телефону и никуда ничего не пробросить. Если не смотреть на реализацию, то идея то вообще хорошая. Заменить СМС на авторизацию с приложения которое привязано к устройству. Банковские приложеньки давно так работают.
Внучек, а куда мне ее в телефон вставить? Не работает, когда подношу.
Во всем. Телефон это очень универсальная штука с который все умеют работать. СМС это еще более универсальный протокол. Без телефона с возможностью получения СМС из дома никто не выходит, а если он теряется/ломается бегут покупают новый сегодня.
Удобство максимальное.
Вы вместо этого вы предлагаете что-то что я точно не смогу объяснить бабушке. Что зачем и как оно работает.
А это не важно. Предоставление доступа не сильно отличается от перевода лично на самом то деле. Надо и дальше объяснять это людям, а не усложнять им жизнь за просто так.
Это не крайний случай, это все смежные и перетекающие друг в друга случаи. Везде ключевое что человек сам отдал или деньги или пароль от места где деньги лежат. Усложнением пароля эта проблема не решается.
Значит надо и дальше заваливать соцрекламой и думать над хорошими текстами. И даже звонки из банка со словами подтвердите то что вы делаете выглядят разумно.
И его можно упростить. Идем к провайдеру с идеей и просим под нее специальный тариф. Потом идем к технарям провайдера и договариваемся про идентификацию трафика от разных наших клиентов, и вообще о том как мы будем передавать их паспортные данные и прочие данные провайдеру (чтобы не морочиться с хранением).
Получается белая и хорошая схема. Она позволит зайти туда куда провайдер не пришел или как-то разделить оплату за тариф или даже организовать себе резервный канал.
Оценка количества атак из реального мира будет? Желательно чтобы она была в украденных деньгах. Чтобы оценить опасность и насколько серьезно защищаться надо. Может дешевле просто всем вернуть эти деньги?
Не надо бороться с бумажным тигром. Надо в начале понять есть ли проблема вообще?
Точно нет? Покажете ссылочку или снова анонимусу на слово надо верить? Задача купить батон хлеба в обычном для текущей местности соседнем магазине. Не страдая и не переплачивая при этом. Просто приложить карточку и оплатить цену на ценнике или что-то вроде того.
То есть это предположение анонимуса без регалий, без пруфов без документов, без всего. Надо верить.
Ссылочка почитать будет? Ну там процент денег украденных через взломы технической инфраструктуры или что-то такое?
Вы все таки посмотрите типовые документы любого аудита. Обычно он называется Анализ рисков и угроз.
Все уже придумано и классифицировано. Не надо изобретать свою классификацию.
Решается. Стажерская зарплата это мало или очень мало. Человеку нет смысла саботировать. В крайнем случае посидит отчеты и тесты попишет, это можно в договор вписать. И будет уволен сразу после завершения.
Это нелегально. Уклонение от налогов. Разъяснений и дел море уже.
Начальная привязка это редкое событие, на которое можно вешать что угодно включая видеозвонки или просьбу зайти в отделение в крайнем случае. Поверхность атаки сокращается радикально, можно защищать заметно лучше.
Перевод на миллион с только что привязанного устройства заблокировать всегда это вообще один ифичик. Дальше уже разбирать что там.
Нет. Социнженерия != технической атаке на канал. Это прямо разные поверхности атак. Посмотрите любой документ об оценке угроз и средствам борьбы. Их на аудиты часто пишут.
Айфоны все так и делают вообще. Ключики лежат в системном хранилище, приложенька обеспечивает интерфейс, апишку и все такое. Что там с Андроидами не знаю.
Официальная приложенька все равно нужна. АПИ кто-то тоже должен реализовать? И показать что именно подписывается должен. Левые приложеньки тут плохи. Но если будет опубликована апишка чтобы люди писать свои могли писать, я только за буду.
Вы попробуйте это все бабушке рассказать. Это нерабочая схема. Кроме нет, есть множество других вариантов. Оно может не работать по миллиону причин.
Вы опять решаете не ту проблему. Никто не атакует канал, никто не перехватывает СМС. Человек сам называет цифры, атакуют человека. Не надо защищать то что не атакуют. Это лишнее действие.
Защищать надо только человека. Непробрасываемое никуда подтверждение операции из официальной приложеньки решает проблему "сказал цифры". И при этом не усложняет взаимодействие и доступно всем. Выглядит так что в эту сторону все и идет.
Класс. То есть в поликлинику записываться идти ножками и стоять в живой очереди как в давние времена. Вы не туда воюете.
Пишем что юристы скажут. При этом если человек занимается итальянской забастовкой со словами "не буду работать обычным разработчиком, а буду только по договору" то расстаемся. В момент заключения все это естественно обговариваем.
Оно решает проблемы вкатунов. Не идеально, но ничего лучше пока не придумали. Как только найдется решение получше, то конечно перейдем на него.
То есть вы поддерживаете завязывание всей авторизации на приложеньку
ГосуслугМакс? Она умеет привязываться к телефону и никуда ничего не пробросить. Если не смотреть на реализацию, то идея то вообще хорошая. Заменить СМС на авторизацию с приложения которое привязано к устройству. Банковские приложеньки давно так работают.Внучек, а куда мне ее в телефон вставить? Не работает, когда подношу.
Во всем. Телефон это очень универсальная штука с который все умеют работать. СМС это еще более универсальный протокол. Без телефона с возможностью получения СМС из дома никто не выходит, а если он теряется/ломается бегут покупают новый сегодня.
Удобство максимальное.
Вы вместо этого вы предлагаете что-то что я точно не смогу объяснить бабушке. Что зачем и как оно работает.
А это не важно. Предоставление доступа не сильно отличается от перевода лично на самом то деле. Надо и дальше объяснять это людям, а не усложнять им жизнь за просто так.
Это не крайний случай, это все смежные и перетекающие друг в друга случаи. Везде ключевое что человек сам отдал или деньги или пароль от места где деньги лежат. Усложнением пароля эта проблема не решается.
Потому что вы решаете не ту проблему. Нет проблемы технической защиты доступа от третьих лиц. Не ломают это место. И даже не атакуют.
Есть проблема защиты человека от мошенничества. Когда он сам все что надо нажмет и скажет. Ее надо решать по другому.
Значит надо и дальше заваливать соцрекламой и думать над хорошими текстами. И даже звонки из банка со словами подтвердите то что вы делаете выглядят разумно.
У вас задача хлебушка купить, а не заниматься расследованиями.
Точно непонятно? Тогда надо текста просто больше написать. Вроде это решаемо одной строчкой кода. И не городить ерунды.
Тоже самое, просто больше текста в СМС. Чтобы точно понятно было.
Главное в другую крайность не впасть. Где текст такой длинный что его никто читать не будет.
Атакуют человека, а не средства защиты. Человек так же подпишет чем угодно и передаст циферки откуда угодно. Нет смысла менять средства защиты.
Это уже похоже на нормальное решение.
И его можно упростить. Идем к провайдеру с идеей и просим под нее специальный тариф. Потом идем к технарям провайдера и договариваемся про идентификацию трафика от разных наших клиентов, и вообще о том как мы будем передавать их паспортные данные и прочие данные провайдеру (чтобы не морочиться с хранением).
Получается белая и хорошая схема. Она позволит зайти туда куда провайдер не пришел или как-то разделить оплату за тариф или даже организовать себе резервный канал.