3) Оно вообще могло времени не требовать? Там в какой-то момент ничего вводить не надо, что сайт банка показывал? Клавиатура же для чего-то есть? Вот тут, например, сначала в генератор что-то вводят, а уже потом он код для сайта генерирует.
В статье, ссылку на которую вы дали в фото девайса, видно, что на клаве есть две кнопки - режим А и режим Б. В первом режиме просто выдавался код. В втором режиме надо было вводить код с сайта, а он выдавал ответный код. На сколько я помню, для входа, например, использовался режим А. А для подписи транзакций - режим Б.
А как же тогда рекомендация что если сели батарейки и дивайс отключился - заменить и придти в отделение для перепривязки? Я не думаю что в таком случае там можно было поставить время прямо в отделении.
Почему вы считаете, что в отделении не могли установить время? Наверняка, у них была инструкция на этот счёт.
Плюс еще такой момент, что алгоритмы на основе времени довольно чувствительны к уходу часов - я не думаю, что там стояло RTC, в котором уход был лучше +-5 секунд за все время работы (хотя хз).
Ну обычный TOTP обновляется раз в 30 секунд, при этом старый код можно ещё в течение 30 секунд ввести.
И вы упорно игнорируете то, что мы с супругой использовали эти калькуляторы взаимозаменяемо. Я думаю, что если вы прекратите свой confirmation bias и попробуете объяснить этот факт, то у вас отпадут все домыслы о привязки гаджета.
А вам принципиально 10 лет из Турции счетом в РФ оперировать лично?
Если вы спрашиваете меня, то мне принципиально вообще такими вещами лично заниматься не важно откуда.
неохота за роуминг платить
Роуминга за получение СМС нет. Да даже звонки с учетом технологии VoWiFi (он же WiFi calling) теперь можно без роуминга делать откуда угодно.
Обычно если есть планы на долгосрок за границей - люди какие-то другие способы ищут, доверенное лицо, например.
У меня тут один знакомый доверенному лицу доверился. Доверенное лицо на какой-то скам попало, и теперь отмазывается от финансирования того, за что в РФ теперь дают срок )
извините, если показалось, что я к вам "прицепился"
Я не писал, что вы ко мне прицепились. Я писал, что вы прицепились к аппаратному токену. Вот на ГосУслугах есть TOTP, получил себе QR-код, а где ты его хранишь и как - это уже твое личное дело, никто тебе не диктует это. В банках же такой свободы нет - тебе навязывают способ, даже если есть альтернативы СМС. Вот о чём я.
Я думаю, что они не привирали. Работало, потому что ключи и криптооперации производились на чипе карте, а на калькуляторе должно было быть то единственное, чего на карте нет - текущее время, которое прописывалось в девайс на заводе. И, возможно, существовала какая-то процедура установки этого времени после замены батарейки. А привязывать этот гаджет к клиенту не нужно было.
Я получал его в первый день, когда их начали выдавать. Кажется 400 рублей за год с меня сняли (СМСками стоило вроде 60 руб/месяц). Выдавать слетелось всё отделение, как на обучение. Чё-то там не смогли привязать существующую карту - выдали неименную, чисто для девайса. Правда оказалось, что ей можно платить и расплачиваться и тролить кассирш, когда они требовали паспорт на имя CARD HOLDER )
Потом пошли с женой в это же отделение получать на неё, чтобы миновать этот цирк с обучением на пациенте. Веселые были времена.
То есть здесь вы пишете про некий народ, у которого всё работало с алишными девайсами, а в соседней ветке пишете мне про некий seed, который надо было привязывать в отделении? Не хорошо, не хорошо )))
В ВТБ оно стоило "бесплатно". Оплачивать надо было абонентскую плату за интернет-банк. Можно было выбрать помесячно с СМС или единоразово - тогда давали девайс. Опции "дайте мне ИБ бесплатно я со своим девайсом" не было, на сколько я помню ) То есть формально оплачивался не девайс, а услуга.
Мы с женой получили по кардридеру, и они взаимозаменяемые были... по крайней мере они валялись в ящике стола и никогда никто не парился тем, какой из них брать. Так что на счёт привязки сомневаюсь - всё уникальное содержалось в чипе карты. Если бы кардридер надо было привязывать к клиенту, то нафига нужна карта с чипом?
Закрытая сферическая коробочка в вакууме, которая генерит коды.
Вы сами это определение родили? Потому что, например, есть такой токен для хранения ГОСТ-ключей под названием Rutoken ЭЦП 3.0 в виде смарт-карты. Да, без кардридера он не работает, тем не менее это токен.
Я всё же настаиваю на том, что токен - это в первую очередь ключевая информация.
Сабжевый аппарат от ВТБ на самом деле не токен от ВТБ, а обычный картридер (который можно заказать с али, например). Вся магия там работает в самой карточке.
Что вы привязались к аппарату от ВТБ? Я говорил про практику автономного OTP в российском банкинге, а не про её конкретную реализацию.
Что касается "самого обычно кардридера", то и это неправда, потому что этот кардридер выполняет вполне конкретную функцию. Кроме того, если я не ошибаюсь, то он был TOTP, потому что на одни и те же входные данные он генерировал разные коды в первом режиме. То есть в нём есть RTC, который сбрасывается, если батарейка сдохнет совсем.
Так то и в аппаратном токене тоже батарейка садится, хотя обычно он по сроку действия раньше протухает.
Во-первых, это какой-то whataboutism. Во-вторых, совершенно точно батарейка работает дольше года - ВТБшный "калькулятор" только что откопал - работает до сих пор. В-третьих, её можно поменять. У меня был DigiPass одного европейского банка, мало того, что он года 4 отработал, так он заранее стал предупреждать, что батарейка садится, и я её просто взял и поменял, подсоединив на время замены клеммами 3 вольта от двух пальчиковых батареек, чтобы не прерывать питание. В-четвертых, из всех альтернатив упомянутых в моём каменте вы прицепились почему-то именно к аппаратному токену, проигнорировав всё другие варианты.
Я скрэтчкарты вообще не рассматриваю, ибо тредстартер явно обозначил, что его беспокоит проблема одноразовых кодов в контексте нахождения в другой юрисдикции (в его случае Турция). Вы что будете делать, когда у вас кончится скрэтчкарта в Турции? Поэтому проблема не в СМС совершенно. Само по себе СМС это больше геморрой с тем, что нужно следить за тем, чтобы номер не отключили. Поэтому это такое же рисковое занятие остаться без OTP, как и скрэтчкарта.
Что такое токен в классическом смысле? Это криптографический ключ, который по определенному алгоритму выдаёт коды. Где находится этот ключ: в приложении Google Auth на телефоне, в файлике KeePassXC на компе, в отдельном девайсе или в чипе пластиковой карты - это уже вторично.
Я за всю историю российского банкинга помню единственный кейс с OTP - у ВТБ24 был, но хардварный. Выдавали девайс, куда вставляешь карту с чипом и он генерил коды. Но тема продышала не долго. В остально банки упорото не хотят в OTP.
Это кривая схема, так как для этого надо дать приложению права на установку из неизвестных источников. И оно вообще может что угодно после этого поставить.
По-моему в настройках ЛК можно было поставить вход по режиму Б.
Ну вытащите батарейки и вставьте их обратно. Посмотрите, что случится.
В статье, ссылку на которую вы дали в фото девайса, видно, что на клаве есть две кнопки - режим А и режим Б. В первом режиме просто выдавался код. В втором режиме надо было вводить код с сайта, а он выдавал ответный код. На сколько я помню, для входа, например, использовался режим А. А для подписи транзакций - режим Б.
Почему вы считаете, что в отделении не могли установить время? Наверняка, у них была инструкция на этот счёт.
Ну обычный TOTP обновляется раз в 30 секунд, при этом старый код можно ещё в течение 30 секунд ввести.
И вы упорно игнорируете то, что мы с супругой использовали эти калькуляторы взаимозаменяемо. Я думаю, что если вы прекратите свой confirmation bias и попробуете объяснить этот факт, то у вас отпадут все домыслы о привязки гаджета.
Если вы спрашиваете меня, то мне принципиально вообще такими вещами лично заниматься не важно откуда.
Роуминга за получение СМС нет. Да даже звонки с учетом технологии VoWiFi (он же WiFi calling) теперь можно без роуминга делать откуда угодно.
У меня тут один знакомый доверенному лицу доверился. Доверенное лицо на какой-то скам попало, и теперь отмазывается от финансирования того, за что в РФ теперь дают срок )
Я не писал, что вы ко мне прицепились. Я писал, что вы прицепились к аппаратному токену. Вот на ГосУслугах есть TOTP, получил себе QR-код, а где ты его хранишь и как - это уже твое личное дело, никто тебе не диктует это. В банках же такой свободы нет - тебе навязывают способ, даже если есть альтернативы СМС. Вот о чём я.
Они привязывали карту, да. Точно не было кода в nvram. Сейчас вспомнил, что в отпуск мы брали всегда только один калькулятор. И он работал для обоих.
Я думаю, что они не привирали. Работало, потому что ключи и криптооперации производились на чипе карте, а на калькуляторе должно было быть то единственное, чего на карте нет - текущее время, которое прописывалось в девайс на заводе. И, возможно, существовала какая-то процедура установки этого времени после замены батарейки. А привязывать этот гаджет к клиенту не нужно было.
Я получал его в первый день, когда их начали выдавать. Кажется 400 рублей за год с меня сняли (СМСками стоило вроде 60 руб/месяц). Выдавать слетелось всё отделение, как на обучение. Чё-то там не смогли привязать существующую карту - выдали неименную, чисто для девайса. Правда оказалось, что ей можно платить и расплачиваться и тролить кассирш, когда они требовали паспорт на имя CARD HOLDER )
Потом пошли с женой в это же отделение получать на неё, чтобы миновать этот цирк с обучением на пациенте. Веселые были времена.
ВТБ не стал бы привязывать левый девайс.
То есть здесь вы пишете про некий народ, у которого всё работало с алишными девайсами, а в соседней ветке пишете мне про некий seed, который надо было привязывать в отделении? Не хорошо, не хорошо )))
В ВТБ оно стоило "бесплатно". Оплачивать надо было абонентскую плату за интернет-банк. Можно было выбрать помесячно с СМС или единоразово - тогда давали девайс. Опции "дайте мне ИБ бесплатно я со своим девайсом" не было, на сколько я помню ) То есть формально оплачивался не девайс, а услуга.
Мы с женой получили по кардридеру, и они взаимозаменяемые были... по крайней мере они валялись в ящике стола и никогда никто не парился тем, какой из них брать. Так что на счёт привязки сомневаюсь - всё уникальное содержалось в чипе карты. Если бы кардридер надо было привязывать к клиенту, то нафига нужна карта с чипом?
Да, именно такой.
Вы сами это определение родили? Потому что, например, есть такой токен для хранения ГОСТ-ключей под названием Rutoken ЭЦП 3.0 в виде смарт-карты. Да, без кардридера он не работает, тем не менее это токен.
Я всё же настаиваю на том, что токен - это в первую очередь ключевая информация.
Что вы привязались к аппарату от ВТБ? Я говорил про практику автономного OTP в российском банкинге, а не про её конкретную реализацию.
Что касается "самого обычно кардридера", то и это неправда, потому что этот кардридер выполняет вполне конкретную функцию. Кроме того, если я не ошибаюсь, то он был TOTP, потому что на одни и те же входные данные он генерировал разные коды в первом режиме. То есть в нём есть RTC, который сбрасывается, если батарейка сдохнет совсем.
А потом?
Во-первых, это какой-то whataboutism. Во-вторых, совершенно точно батарейка работает дольше года - ВТБшный "калькулятор" только что откопал - работает до сих пор. В-третьих, её можно поменять. У меня был DigiPass одного европейского банка, мало того, что он года 4 отработал, так он заранее стал предупреждать, что батарейка садится, и я её просто взял и поменял, подсоединив на время замены клеммами 3 вольта от двух пальчиковых батареек, чтобы не прерывать питание. В-четвертых, из всех альтернатив упомянутых в моём каменте вы прицепились почему-то именно к аппаратному токену, проигнорировав всё другие варианты.
Я скрэтчкарты вообще не рассматриваю, ибо тредстартер явно обозначил, что его беспокоит проблема одноразовых кодов в контексте нахождения в другой юрисдикции (в его случае Турция). Вы что будете делать, когда у вас кончится скрэтчкарта в Турции? Поэтому проблема не в СМС совершенно. Само по себе СМС это больше геморрой с тем, что нужно следить за тем, чтобы номер не отключили. Поэтому это такое же рисковое занятие остаться без OTP, как и скрэтчкарта.
Что такое токен в классическом смысле? Это криптографический ключ, который по определенному алгоритму выдаёт коды. Где находится этот ключ: в приложении Google Auth на телефоне, в файлике KeePassXC на компе, в отдельном девайсе или в чипе пластиковой карты - это уже вторично.
Я за всю историю российского банкинга помню единственный кейс с OTP - у ВТБ24 был, но хардварный. Выдавали девайс, куда вставляешь карту с чипом и он генерил коды. Но тема продышала не долго. В остально банки упорото не хотят в OTP.
Я бы ставил через стор. А так лучше/хуже в данной ситуации - это вопрос большего или меньшего доверия к ПО, аудит которого никто проводил.
Это кривая схема, так как для этого надо дать приложению права на установку из неизвестных источников. И оно вообще может что угодно после этого поставить.