Комментарии 248
На самом деле, как нам кажется, поигрывать с этой опцией могут и сами операторы
Например, чтоб предотвратить портацию красивого номерка...
https://www.e1.ru/talk/forum/read.php?f=11&i=504277&t=504277
имхо, смс вообще не должны использоваться для передачи важных данных. И предложенные меры по его "усилению", суть есть костылестроение. "Pure gsm" изначально небозопасная среда и использование ее в банковской сфере - глупость. Опять же имхо, минимальным решением было передача данных исключительно по шифрованным каналам, организованным непосредственно через банковские мобильные приложения.
да, решения в этой области есть, и хотелось бы хотя бы альтернатив СМСкам. Я понимаю, что часть пользователей не обрадуется усложнениям. Но хорошо бы начать с того, чтобы признать, что телефонный номер - это важная часть доступа к различным ресурсам
Идея получения второго фактора на устройство с которого осуществляется доступ идеологически ошибочная. Пуши конечно снижают риск перевыпуска сим карты или перехват смс, но не могут бороться с захватом контроля над устройством.
Идея получения второго фактора на устройство
Если бы он был второй. Через СМС можно получить полный доступ практически к чему угодно. Потому как "восстановление доступа" или привязка приложения происходят по единственной СМС. В РФ это требование спецслужб.
На сбере в мобильном нужен логин (супер длинный) или номер карты.
Номер карты (телефона и т.п.) это практически публичные данные. Использование для авторизации недопустимо.
Номер карты и даты достачно, чтобы сделать транзакцию. CVV любой из 3, в чипе, на магнитке или на обратной стороне карты не нужны. Пример: американский amazon.
Это операция по сути проводимая без авторизации.
В цивилизованных странах продавец с банком могут взять на себя такой риск.
Тут нет противоречия с тем что я написал выше.
Перед клиентом за его деньги отвечает банк. А как он дальше будет перекладывать ответственность - это его дело.
Это не правда. CVV код достаточно подтверждает транзакцию. Вообще 3-D secure только для p2p всегда ативна.
Я говорил про отстутствие и CVV тоже.
но по какой то неведомой причине не нужен пароль
Именно! Я им жаловался! Но вообще сама идея по номеру карта это жесть.
Потому что много балбесов теряют пароли. По этому всё можно восстановить через СМС и публичные данные.
А если что не так, банк отморозится - типа деньги клиента он сам за них отвечает, это его проблемы (по материалам реальных судебных дел).
СМС же приходит на тот же телефон, куда и пуши приходят. Где здесь второе устройство?
У Сбера когда-то была возможность распечатать в банкомате (т.е с авторизацией по физической карте + PIN) список одноразовых паролей. Но потом почему-то эту опцию прикрыли, а жаль.
Безопасно в каком месте? Пуши вместо инфраструктуры оператора идут через инфраструктуру держателя платформы. Ему доверия, наверно, больше, но можно вообще без доверия обойтись.
TOTP как минимум.
чтобы злоумышленник получил пуш-уведомление вместо жертвы ему надо угнать учётку гугла или эппла. Что, видимо, на практике, много сложнее чем перевыпустить симку. Возможно операторам просто стоит взять на вооружение подходы к учёткам принятые в указанных компаниях
С одной стороны, да. А с другой, это, во-первых, совсем другая статья. А, во-вторых, значительная часть граждан запирают телефон на отпечаток или face id. Так что, пока вор будет смотреть на запертый телефон, хозяин его очистит удалённо.
Потому что точно так же можно представить ситуацию, когда пользователь не запер дверь в квартиру, а там у него лежит телефон без блокировки, стоит компьютер без пароля, лежит блокнотик с логином и паролем от онлайн-банка, а также аппаратный USB-токен. От раздолбайства нет надёжной защиты.
Именно поэтому, кстати, уважающее себя банковское приложение в обязательном порядке требует придумать пин-код на вход в приложение, как раз на случай, если пользователь пренебрегает блокировкой смартфона.
Тут, понимаешь, дело в другом. По это уже неоднократно писали. На твой номер телефона очень много чего завязано, в т.ч. серьезного, типа банковских счетов. Но при этом вопрос привязки твоего номера персонально к тебе законодательством вообще никак не регулируется. Даже если, допустим, МТС или Билайн или Теле2 вдруг возьмут и ни с того ни с сего отдадут твой номер кому-то другому, то совершенно непонятно насколько реально их за это можно нагнуть. Вот, кстати, аналогия с банками - может быть неожиданностью, но твоя банковская карточка (как физический объект) юридически является не твоей собственностью, а собственностью банка (раньше так по крайней мере почти всегда было), вот с номерами телефона точно так же непонятно - в случае тяжбы вполне может неожиданно оказаться, что он собственность твоего оператора.
Карта собственность платежной системы, которая в свою очередь просит банки писать о возврате карт. Тем не менее закрыть карту И ЕЁ СЧЕТ можно даже не выходя из дома в сбере прям в приложении, да и до этого никто не требует уничтожать карту прям в Банке, вы вообще можете её не взять.
Нереально их за это нагнуть, все прописано в договоре. МТС включает 3 рубля в день счетчик после 90 дней, а потом начинается еще 90 до передачи в рынок.
Так же как и Samsung Pay!
Телефон защищаем.
Но вот все, что выходит и заходит в устройство по каналам связи - это уже оператор.
Пин-код пусть "доверенные приложения банков" в жопу себе засунут, пока то не регулируется законом
Заблокировать сим карту можно в личном кабинете МТС. Лично проверял, блокировка 30 секунд.
И остается дыра с первоначальной установкой приложения. Там вполне может быть СМС. Ну и возможность получать подтверждения на аппарат который вообще не умеет использовать приложения — пропадает.
У тинькова вроде как раз с помощью пушей подтверждения работают, но не везде.
Так перейдите на SMSoWifi и SMSoLTE, купив Galaxy S21 FE и МТС сим. Заодно уберете 2 секунды ожидания пока прийдет смс.
>минимальным решением было передача данных исключительно по шифрованным каналам,
И wifi и lte зашифрованы, но и сам пакет SMS в IMS зашифрован.
И что делать с теми ресурсами (причем не только в России) кто его использует причем безальтернативно? А с операторами у некоторых из которых которых последнее (после начала спецоперации) смс от не-российских сервисов приходят как попало?
Мне вот почему то вспоминается что некоторые западные карточки пополняемые криптой(Bankoff и прочие) при привязке к Samsung Pay имеют либо больше чем одну опцию проверки (не только смс как обычно но и e-mail) либо только e-mail. Если привязка к *Pay в принципе допускает такой метод проверки пользователя как код на заранее привязанный к карте e-mail а не только код на телефон то почему бы не использовать такое и в России? Сделать закон что ВСЕ сервисы которые требуют входа через код по СМС — обязаны поддерживать и вход через код на e-mail. Включая банки и прочее.
С учетом как описанных в статье так и не только проблем СМС — еще вопрос пострадает ли безопасность а вот улучшить ее можно, если пользователю надо — он может озаботится сервисом который лучше по его мнению контролирует безопасность доступа к этому e-mail'у (а потенциальные сервисы могут конкурировать за то что у них лучше безопасность). А если пользователь с хабра — он может просто сделать e-mail на своем домене и если надо — на своем сервере и вот это — так просто не перевыпустишь по доверенности.
Либо — аналогично потребовать стандартный TOTP использовать как одну из возможных альтернатив.
Приговоры по уголовным делам говорят не в пользу аргумента о законопослушности МТС - https://sudact.ru/regular/doc/NoYRQj9AFpU1/ , https://sud-praktika.ru/precedent/547024.html
про покупку-продажу персданных и прочей информации об абонентах мы уже писали. Все заканчивается штрафом и увольнением провинившегося сотрудника, пострадавшему от этого ни жарко, ни холодно. Компаниям бы пересмотреть это все, но зачем, если накажут все равно по мелочи (как Яндекс со штрафом в 60 тысяч)
Вывод в статье кардинально неверный. Правильный - запрет использования номера телефона при аутентификации, отказ от привязки любых форм электронной подписи к номерам.
Телефонная сеть не была создана для таких целей и пытаться на ней ехать в этом направлении сначала просто, а потом закончится очень больно.
Я согласен, но какие альтернативы? Опять ходить к банкомату и ждать очереди, чтобы распечатать 12 одноразовых паролей? Пуш уведомления с кодом от приложения, возможно, могут решить проблемы (и они у многих уже есть), но изначально то человеку как-то надо в этом приложений авторизоваться, а это тоже делается (во всяком случае в 3-х банках, которые мне известны) тоже через телефон-sms.
TOTP через приложение, часы или OTP прямо на карте или через отдельное устройство.
TOTP может быть, но все, кто не в состоянии поставить приложение (или на его телефон его поставить нельзя) окажутся в пролете, хотя это и можно решить выбором в банке, что мол мне пароли через sms не выдавайте.
OTP через отдельное устройство, наверное, дорого будет хотя как отдельная услуга для заботящихся о безопасности пойдет.
OTP, отпечатанные на карте уже было
У ВТБ, например
Но учитывая как часто сейчас приходится вводить этот код из sms, то нужно будет напечатать очень много кодов на карточке 112 на пару месяцев, только хватит некоторым
На карте это как у банка Авангард где за тысячу дают карту с экраном.
Отдельное устройство это штука размерами с простой калькулятор куда вставляется карта чипом и выдаётся код.
Не забывайте, что аутентификация через телефон может не работать если интернет есть, а сотовая сеть не работает. Или смс шлюз упал.
кроме Авангарда ни один банк сейчас не даёт тотп, я искал. Да у авангарда есть карточка с дисплеем, но у них договор на столько долбанутый что ну его нафиг. Что-то ещё мне в авангарде, что чуть ли всё равно телефон остаётся средством через которое можно осуществить вход и подтверждение.
Таких карт не видел. Спасибо, буду знать.
Карта выглядит интересно
Интересно, насколько надежна такая карта и откуда там питание берется
Весьма надежна, плата и батарея внутри гибкие. Питание от батарейки встроенной. При обычном бытовом использовании питания хватает на весь срок действия карты +-3 года.
Это был бы хороший вариант замены СМС.
а это случайно не так же надежно как и пинкод на карте написанный?
Нет. Это довольно безопасно. При активации такой карты вы задаете ей код разблокировки. Т.е. что бы с нее получить одноразовый код подтверждения, нужно на самой карте вбить код разблокировки, для того ей и кнопки с цифрами.
Переход с СМС на такие штуки сильно порежет возможности мошенникам различного вида.
Использую такую с 2016 года (только не Мир, а сначала VISA, потом MasterCard), правда, делаю всего несколько операций в месяц. Работает вполне нормально, претензий к надёжности не было (хотя карту ношу с собой всё время), только иногда на кнопки приходится давить достаточно сильно, чтобы сработали. И, на мой взгляд, подтверждать операции только картой даже удобнее, чем искать мобильник, разблокировать его, разблокировать приложение SMS и вводить код.
искать мобильник, разблокировать его, разблокировать приложение SMS и вводить код
Согласен полностью. Вообще сейчас что банки, что производители каких-нибудь новых умных устройств считают, что телефон приклеен к людям намертво. Я (хотя такая себе выборка) в домашних условиях вообще телефон не трогаю.
Если есть интернет, SMS приходят всегда. Можете вовсе в авиарежим перейти с включением wifi. Насколько допотопный у вас телефон, лол?
СМС это негарантированный канал. Помимо проблем банка сверху накручивается шлюз, мобильный оператор и сеть.
Может быть доступен сайт банка, но не быть wifi и сотовой связи.
А что для вас гарантриванный канал? Квантовый шифрованный поток? И что значит не гарантированный? Смс центр протокол (SMPP) гарантированный.
Связка банк-шлюз-опсос не гарантирует отправку, доставку, передачу во время и конфиденциальность смс с кодом.
Случай из жизни - в интерфейсе банка сообщается об отправке кода и тикает время в пару минут. Код не приходит. Повторный тоже. Один из них пришёл через 30 могут. При этом из другого банка в этот же момент всё прилетело за секунды.
Коды по смс это как ключи у вахтёра. Пост 24/7, но дежурный иногда (когда больше всего требуется) не на месте. А ещё он властью над ключами контролирует вашу возможность использовать замок.
>Код не приходит. Повторный тоже. Один из них пришёл через 30 могут. При этом из другого банка в этот же момент всё прилетело за секунды.
Открою вам секрет. Он приходит, просто авиарижим переткните, либо даже сразу питание стового модуля. Иногда #100# помогает, хотя не для ussdoverlte. За все время не было такого, чтобы это был не баг чипа и андройд, а со мной это было 20 30 раз.
Чинется smsoverlte и smsoverwifi.
А и еще может приложение сообщения сбоить, нужно открыть его само.
И с СМС ещё хорошо, что они пока много где проходят. Это происходит из-за договоренностей между операторами. Были периоды когда СМС не отправлялись в отдельных городах между федеральными операторами. Если вы оказались за границей, то там ситуация может быть ещё сложнее и экскоммуникация сотовых сетей более вероятна чем блокировка интернета.
Смс идет по wifi. Включаете авиарежим и wifi и все. Можно еще gnss подделать, чтобы наверняка.
Вы экстраполируете свой личный набор доступных технологий на всех. Большинство связок телефон-оператор не поддерживают oLTE и oWIFI.
Билайн недавно включил, так что все операторы. А насчет телефонов, ну да. Там все же желательна android 12 для USSDoLTE и SMSoLTE.
А если это банк или шлюз заддосили? Или обстановка стремительно меняется и возникла очередь из желающих получить свой код? Мы не контролируем этот канал передачи кодов. Да можно костылями что-то иногда поправить, но всего этого можно было бы избежать при правильном дизайне безопасной системы. СМСки придумали для общения между людьми так их и следует использовать.
так что все операторы.
А почему мне поддержка ТиньковМобайл говорит что они это не поддерживают?
Гарантированный канал в телефонии - голосовой.
Кстати, для подтверждения перевода средств неплохо бы было использовать практики бухгалтерских аутентификаторов где надо было ввести сумму и иногда счёт получателя чтобы получить верный код.
Было бы достаточно обязать все банки наглухо блокировать симку при её перевыпуске, с последующим походом ножками в отделение или хотя бы активация голосом по заданному слову, но лучше дать возможность выбрать.
Когда я симку менял, в Сбербанк пришлось звонить и говорить кодовое слово, а ВТБ (тогда ещё 24) просто игнорировал меня одну неделю и убедить его, что симку перевыпустил я сам, не удалось даже при личном визите в отделение. Но это было лет 5 назад, и что происходит сейчас — мне неизвестно.
Это совсем не сложно. А отношение легко бы поменялось получи клиенты возможность быстро и гарантировано взыскивать свои убытки по мошенническим операциям.
Так это и есть в МТС. Есть опция заблокировать перевыпуск по доверенности.
Вот кстати плохо, что SMS требуются часто. Например, если отключить в браузере сохранение кук (чтобы после закрытия браузера требовалось заново логиниться на сайтах), то на многих из них в этом случае требуется получать одноразовый код из SMS, что неудобно. То есть, по сути, двухфакторная аутентификация через SMS в определённых условиях снижает безопасность, потому что заставляет пользователя сохранять сессию на устройстве.
Я понимаю, что можно держать данные на зашифрованном разделе и т.д., и это конечно правильно, но всё равно можно представить ситуацию, когда сохранение сессии может навредить пользователю.
У них тогда же был и InterPro(тулза на комп которая при работе в браузере дает возможность подписать паролем, просто всплывает попап приложения(не браузера!))(работало это через локальный прокси).
И насколько помню генератор кодов тоже был. Кстати у ВТБ-Бизнес коды до сих пор можно включить (генератор в мобильном приложении).
очень похоже не на ВТБ, а на МКБ, они именно такие карты одноразовых кодов раздавали для МКБ-онлайн
Фото брал с вики. Там написано ВТБ24, а в жизни я таких не видел)
Были такие, у меня парочка вроде где-то валялась.
Это появилось еще во времена ГутаБанка(до того как он стал ВТБ24)
Подозреваю, что такие карты с кодами производятся там же, где и обычные банковские карты, соответственно, банк просто заказывает такую карту с нанесением собственного рисунка с обратной стороны. Дальше всё зависит от готовности банка тратиться на такие карточки.
Я согласен, но какие альтернативы?
В контексте банков:
Для карты и телефона с NFC - "приложите карту к телефону, чтобы подтвердить транзакцию/залогиниться в банк-клиент". Потому что карты без NFC стремительно исчезают.
Но если его таки нет: "Вставите банковскую карту в ридер". Потому что контактный ридер смарт-карт, вообще говоря, стоит не больше ридера флеш-карт.
Дальнейшая паранойя - по вкусу.
Теоретически вроде бы должны быть еще экзотические возможности в виде заливания генератора OTP непосредственно в чип SIM-ки (чтобы не по сети оператора коды ходил, а генерировались на месте, используя неизвлекаемый из карты секрет), но, похоже, это какая-то страшная черная магия, которую никто не может осилить или не хочет с этим связываться.
CVV в чипе, на магнитной ленте и на обратной стороне все разные, так как сервис код разный, поэтому приложить недостаточно. Нужно приложить и вбить cvv с обратной стороны.
Карты без NFC уже давно исчезли, VISA и mastercard запретили их, так как чип требует ввода пина, что не безопасно.
Карты без NFC уже давно исчезли, VISA и mastercard запретили их, так как чип требует ввода пина, что не безопасно.
Интересно, а Почта-банк в курсе об этом? А то лежит у меня истекающая в следующем году их карта где чип и полоса есть а никаких признаков NFC нет и оплата по NFC — не работает. Там правда МИР.
Годами пользуюсь сберовской маестро, никакой nfc там нет =)
1 июля 2023 Маестро выпилится, приказ mastercard. https://www.mastercard.com/news/europe/en/perspectives/en/2021/blog-from-valerie-nowak-why-this-maestro-is-retiring-after-30-years/
Тем не менее, карты не исчезли на данный момент, и уж точно не исчезли "давно".
Вам такую в сбере правда уже не выдадут. Социальная Маестро это сейчас Мир, и причем уже вторая итерация.
https://www.sberbank.ru/ru/person/bank_cards/debit/card_classic/maestro
Вот это грустная информация. Особенно с учетом платного обслуживания, потому что моя бесплатна полностью.
Крдитные карты тоже бесплатные, золотая имеет период 52 дня, раз в 30 выплаты чтобы не платить банку проценты. Там и смс бесплатные.
Если нет, то обслуживание карты стоит 150р в месяц, у визы 450р в год.
CVV в чипе, на магнитной ленте и на обратной стороне все разные, так как сервис код разный, поэтому приложить недостаточно.
Ну, это зависит от того, какое приложение для авторизации в чип карты вшить и как его инициализировать.
А что делать, если карты физически нет? И никогда не было .
Реальная ситуация у меня: Уже давно перестал пользоваться банком В* (полностью ушел на банки А* как зарплатный и С* как популярный) но при этом там пара копеек осталась, и некоторым людям при сборе в родительский комитет почему-то проще отправить деньги в банк В* (может не знают про СБП, может просто лень морочиться). Соответственно, когда пришел срок, и физическая карта вымерла я выпустил виртуалку, и иногда с нее что-нибудь оплачиваю.
Таки что к чему мне прикладывать в это случае?
Карту, физическую. Которую таки надо сходить и получить ни основании позиции "нет аппаратного токена - нет удаленного доступа к счету".
Ну или залогинится через Госуслуги(будем считать что свой OAuth они правильно сделали), от которых тоже надо давно всю авторизацию по SMS отодрать и заставить использовать те же самые аппаратные токены.
Не знаю как сейчас, но пару лет назад NFC-модуль не ставили на бюджетные телефоны. По вашему, получается, что если ты нищеброд и не можешь хотя-бы в кредит взять какой-нибудь флагман или близкую к флагману нему модель телефона, значит и защита банковского приложения тебе не нужна :) В эту же категорию записываем тех, кто не видит смысла покупать небюджетный телефон.
В моем комментарии выше по ветке было
Но если его таки нет: "Вставите банковскую карту в ридер". Потому что контактный ридер смарт-карт, вообще говоря, стоит не больше ридера флеш-карт.
Если нет NFC - покупаем ридер, цепляющийся либо по USB, либо по bluetooth Которые ну реально не дороже паршивого калькулятора. То что security фирмы ухитряются дикий ценник за них выставлять- это уже другой вопрос.
А то что в магазинах (и прямо в банках, кстати), этих ридеров нет - так потому что никому до сих пор особо и не надо.
Ну или, как тут рядом сказали - используем генераторы OTP, которые по хорошему тоже должны в любом банке за небольшую сумму приобретаться (и быть более-менее универсальными, разумеется, т.е. подходить к любой карточке, выпущенной российским банком).
Готовы ради того, чтобы посмотреть баланс с телефона, таскать с собой отдельное устройство?
Хардварный токен - для подтверждения транзакции и первичного логина в приложение. Для readonly доступа так параноить, разумеется не нужно. Первый раз получил ключ сессии - и пускай он потом переиспользуется и обновляется.
Хотя для 'посмотреть баланс' я бы вообще хотел бы отдельное приложение, которое принципиально ничего больше не умеет.
Потому что полный банковский клиент - тормозной, толстый и вообще на отдельном, специально выделенном для этого смарте живет, на котором никакой повседневной активности не производится и который большую часть времени лежит в тумбочке в выключенном состоянии и в котором, кстати, SIM-ки нет.
У той же юбики генераторы одноразовых OTP с nfc плоские едва ли не как банковская карта, и размером меньше обычной флешки. Это уже даже устройством назвать сложно, висит на связке с ключами, меньше него только ключ от почтового ящика.
А то что в магазинах (и прямо в банках, кстати), этих ридеров нет - так потому что никому до сих пор особо и не надо.
Любой POS-терминал уже такой ридер, правда какие там ограничения по софту…
Телефонная сеть не была создана для таких целей
Так себе аргумент. Телефонная сеть не была создана для высокоскоростной передачи данных. Тем не менее вполне с ней справляется.
Правильный - запрет использования номера телефона при аутентификации
Просто надо сделать так, чтобы угнать номер было бы так же сложно, как угнать учётку гугла или эппла. Невозможно представить, чтобы случайный человек пришел в магазин эппла с доверенностью и сбросил пароль на icloud
В то время это было очень даже высоко. Сама идея коммутация каналов это жесть. А уж как международное сообщение по SS7 устроено (сечас правда это суперядро IEEE для IP скорее, а не SS7).
>Невозможно представить, чтобы случайный человек пришел в магазин эппла с доверенностью и сбросил пароль на icloud
Ну дак и у МТС то же самое, если ты заблокировал эту опцию.
Не следует относиться к номеру телефона как к персонифицирующему фактору. Ваша личность вообще не должна по нему определяться. Сегодня у вас один номер. Завтра другой. Послезавтра 100 номеров. Это просто цифры.
Контракт и паспортные данные синхр. по ЕСИА правда одни и те же.
Почему нет? Это удобно и логично: у каждого человека есть идентификатор и, используя этот идентификатор, с человеком можно связаться. Телефонный номер, адрес электронной почты или номер паспорта, какая по большому счёту разница? Достаточно описать уровни достоверности для разных типов идентификаторов и предоставлять сервисы в зависимости от них.
Это может казаться удобным, но алогично и опасно. Если человек не нарушил закон и нет оснований для розыска, то связаться с ним должно быть возможно только по его желанию и удобными ему способами. Из ФИО или номера паспорта не должен быть доступен телефон если человек сам его не опубликовал с такой привязкой.
Конечно, если везде вокруг видеть злоумышленников, то надо прятать свои номера телефонов, адреса электронной почты и просто адреса. А так же прятать лицо под маской и руки в перчатки. С соседями не знакомится, детей в школу не отдавать. А то они там разболтают неавторизованым одноклассникам как вас зовут и даже ваш домашний адрес.
Если же снизить градус паранойи до нормального, то возможность найти человека при необходимости — это удобно и полезно. И для того, кто ищет и для того, кого ищут. Причём, исторически это никогда не было проблемой. В фильме "Терминатор-2", например, Терминатор находит Сару Конор, пролистав справочник в телефонной будке. И никого, в конце 80-х это не волновало.
Эх, хорошо было, когда способом связи по умолчанию аська была. UIN можно было без особого стеснения публичным держать - и приватность приемлемая, и проблемы упустить контакт не было.
Мир стал сложней. В фильме Терминатор по открытому справочнику выполнил свою задачу. А могло быть несколько сложнее т.к. даже у нас можно было удаляться из справочников и ответа 09.
Сейчас к терминаторам добавились дистанционные воры и мошенники использующие украденные персональные данные.
Третья группа это различного рода информационный бизнес пытающийся продать вас или вам воруя или вымогая ваши данные.
Абсолютно оправдано минимизировать испарение любой информации при этом не обязательно переходить в крайнее состояние с переездом в лес.
Это удобно и логично: у каждого человека есть идентификатор и, используя этот идентификатор
Вам же написали, номер может меняться и контролировать это сложно. Вы даже не можете законно проверить действительность этого идентификатора.
А если у меня нет телефона? А если у меня он на двоих с кем-то?
А был же законопроект № 978343-7 https://sozd.duma.gov.ru/bill/978343-7#bh_histras
Что с ним стало?
> Авторы законопроекта предлагают статью 45 Закона от 07 июля 2003 № 126-ФЗ «О связи» дополнить пунктом 7, который будет закреплять, что «пользователь мобильной связи вправе сохранить выделенный абонентский номер за собой, а также распоряжаться им, в том числе передавать третьему лицу на возмездной или безвозмездной основе с уведомлением об этом оператора мобильной связи. Данная возможность является дополнительной услугой и оговаривается отдельно. Пользователь мобильной связи вправе в любой момент отключить дополнительную услугу, обратившись к оператору мобильной связи. В случае неподключения
дополнительной услуги обслуживание производится согласно стандартным условиям договора об оказании услуг связи.
В случае подключения дополнительной услуги и отсутствия в течение 6 месяцев оплаты оказываемых абоненту услуг мобильной связи оператор мобильной связи вправе более не оказывать дополнительную услугу».
Предсказуемым фейлом, т.к. номер телефона - не имущество, соответственно передавать, завещать, дарить и т.д. по своей воле его нельзя невозможно.
Номер телефона это наследуемое имущество, но неделимое. Поэтому если наследником не 1 (мой случай), получить номер затруднительно. Но можно передать как пользующийся, только аккуратно, не упоминаете, что владелец того.
Это не наследуемое потому что не имущество вовсе. Операторы идут навстречу и балансируя на тонком льду передают право пользования номером единственному наследнику.
Ну ну. Это уже тонкости. А если там дофига денег? А лицевой счет? А если номер 7 семерок в 916? Мда.
Это не тонкости, а практика, от которой суть явления не меняется. А если денег дофига, то деньги - это имущество и они прекрасно наследуются, прекрасно делятся на наследников пропорционально доле и т.д. Т.е. номерок может уже давно тю-тю, а деньги у оператора лежат и ждут, пока наследники пересудятся между собой. Мухи - отдельно, котлеты - отдельно. А "красивый" номер - как и "некрасивый" - передается наследнику исключительно в силу доброй воли оператора.
Баланс счета де юре делится между наследниками.
Номер в пролёте, если оператор не пойдёт навстречу.
По состоянию на март 2021. Beeline шлет СМС в котором сообщает о том что SIM была перевыпущена.
И блокирует на новой SIM получение SMS с коротких номеров на сутки.
Не знаю насколько эффективны такие меры, но хоть что то.
Если информировать через gsm - то надо делать звонок на старую SIM и пока не получат информированное согласие - не перевыпускать/не разблокировать входящие.
unrar.rar :) Что делать если карта "сдохла"? Физически (утопил, протерял, да элементарный выход из строя, что тоже случается)
Как может выйти из строя набор ключей? Вы шутите? Только вместе с телефоном. Или вы еще не на eSIM? О...
Физический выход из строя. Потеря. Кража.
Шанс выхода из строя телефона гораздо выше, чем у кусочка пластика с замурованным в него кремнием. Причём тот компонент, который хранит ключи, может остаться нетронутым, просто недоступным.
Я как-то уронил телефон, разбил экран. Картинка есть, а сенсор - не работал. Всё б ничего, но когда он разрядился и выключился, ввести пароль для расшифровки ФС уже не получалось.
Тем не менее, за последние лет 5 лично у меня такое происходило дважды. Первый раз тупо отрубилась часть услуг и в салоне связи сказали, что есть временные технические трудности у оператора (типа у многих такое), которые могут быть решены заменой сим-карты (да, не факт, что это смерть сим-карты, но может быть, например, косячное обновление), второй раз внезапно перестала подключаться к сети, что было исправлено опять-же заменой сим-карты.
Также на вопрос в салоне связи, почему у меня одна симка прожила десяток лет и пару телефонов, а как перешел на 4g - так с интервалом менее чем в год второй раз сдыхает, сказали, что новые сим-карты, по их наблюдениям, менее долговечны и это не проблема, т.к. замена сим-карты бесплатна.
Достаточно wifi, чтобы получить SMS от 900. Это шутка такая? МТС даже не смотрить вашу GNSS позицию.
Я как то актуализировал паспортные данные по своей симке.
СберОнлайн меня перестал пускать по смс и пришлось явно входить по логину и паролю, что явно неплохо.
Остальные банки (ВТБ и кто-то ещё был тогда на телефоне) не среагировали.
В свете статьи - а может кто прокомментировать периодически мелькающие объявления о продаже на сайтах типа алиэкспресс такой вундервафли, как SIM reader/writer. Такой девайс функционален или все-таки это игрушка со звучным названием?
пример сабжа - http://www.clcr.ru/aksessuary/programmator-simcard-reader/writer.html
Я могу ошибаться, но мне кажется, что при получении такого устройства на почте рядом с вами неожиданно могут оказаться сотрудники ФСБ и потом попробуют вас закрыть за нелегальный ввоз шифровальной/шпионской аппаратуры
в начале нулевых работало (уже тогда - не со всеми операторами), я зашивал себе несколько копий симок на одну болванку, правда переключение между виртуальными симками через ребут телефона и (естественно) оффлайн всех других номеров кроме одного в каждый момент времени сильно снижали пользу. Сейчас-то уже поди все опсосы на более сильную криптографию в симках пересели.
Сейчас есть вариант вида несколько esim в карточке типа обычной симки. Но это относительно "честный" вариант, не копирование симки левой приблудой
Шикарная вещь - давно о такой мечтал.
Копирование Milenage невозможно, кроме как под электронным микроскопом. Вы думаете там в 3GPP совсем идиоты сидят? Типо компьютер и CardOS они запилить сумели в SIM, в крипту нет?
Какое копирование? Речь о штатном режиме для esim. Для телефона это выглядит обычной симкой, а для опсос-а - обычной esim. Данные в карточку заносятся через приложение - компаньон на телефоне каждым пользователем самостоятельно. Отсканировав qr/введя строку
Копирования ключей, 5G, LTE OPC, Ki. Ну и еще приватные ключи IEEE, ассиметричная пара.
Ничего что их никто не копирует?
Внутри должна быть вся та же криптография, что и в любой embedded sim в современном телефоне. Ты когда добавляешь esim в свой айфон/пиксель/самсунг - вскрываешь криптографию в обычной симкарте? Ты просто сканируешь QR-код полученный от оператора, содержащий немного параметров. Остальная настройка от тебя скрыта "под капотом"
>скрыта "под капотом"
>должна быть вся та же криптография
Мда. Хаха. Нет, криптография там намного сложнее.
>Ничего что их никто не копирует?
Говорите за себя.
Ты говоришь со мной на другом языке. Исходя из твоей логики на последнем айфоне/самсунге/пикселе никогда не заработает 4G/5G при использовании esim. Но практика показывает что это не так. Как это работает? Ключи же не скопировать
Мда. Хаха. Нет, криптография там намного сложнее.
Криптография в embedded sim намного сложнее криптографии в embedded sim. Круто.
Говорите за себя.
Большой опыт в копировании esim иначе чем по qr от оператора?
Ключи прилетают с сервера (Machine to Machine) по ссылке в qr коде и считываются trust engine внктри eSIM. Мда. Они другие от тех, что в sim карте, те зашивают на заводе, да и оператор получает только хеш от них в криптомодуле. Нигде в чистом виде их нет.
Так ведь я и не говорил про обычную сим. Ссылка на то что я дал - это esim. Да, оно в формфакторе обычной симки, да, при залитом профиле её можно даже по идее в кнопочной звонилке пользовать, но это esim. И оператор сотовой связи с ней будет взаимодействовать как с esim. Кроме того, это не стартап, а вполне коммерческий проект и некоторое количество живых отзывов есть в интернете, пусть и мало
Зачем если сейчас все не скрывая использует персонализацию ключами по E2E каналам? Вы вообще? Зачем взламывать Milenage LTE или новые 5G KEY (причем это невозможно кроме как тибериумным реверсингом или если у вас есть AFM2 ключ SIM, а они есть только у Gemalto), если можно просто написать эмулятор eSIM?
Банк развел руками: с его стороны все действия выглядели нормально, суммы не вызывали подозрений.Вроде у сим-карт был какой-то специальный уникальный идентификатор меняющийся при перевыпуске. И вроде как у банков была техническая возможность этот идентификатор проверять.
Если я ничего не напутал, то почему это не используется?
Как вариант, законодательно обязать сотовых операторов создать базу, куда писать дату выпуска сим-карты, которую могли бы проверять банки перед отправкой секретных данных. Если сим-карта была перевыпущена — добро пожаловать в банк с паспортом лично.
Используется. Один раз заменил SIM-карту (физически, с mini на nano), после чего пришлось звонить в колл-центр, называть слово и подтверждать, что это я её поменял.
Но это было чёрт знает когда.
В результате некоторые ОПСОСы закон вообще не исполняют, некоторые устанавливают срок блокировки(от нескольких часов до недели) и лишь в избранных случаях(лично знаю только про сбербизнес) симка полностью блокируется до прихода абонента в офис ножками.
А по факту даже банальное уведомление абонента о перевыпуске есть не у всех ОПСОСов.
банк обязан заблокировать передачу смс на неё
В результате некоторые ОПСОСы закон вообще не исполняют, некоторые устанавливают срок блокировкиЕсли банку нужно заблокировать отправку своих смс на номер, банку достаточно их не отправлять со своей стороны. От опсоса требуется лишь предоставить банку сведения, что симку заменили, и опсосы, вроде как, это предоставляют в виде некоего идентификатора, только большинство банков на него кладут большой болт.
А по факту даже банальное уведомление абонента о перевыпуске есть не у всех ОПСОСов.А куда опсос должен информировать клиента, если в момент перевыпуска симка, которая на руках у клиента, превратилась в тыкву и смс на нее уже не дойдет? Или я должен давать опсосу свои соцсети и почту для этого? (как-то не очень хочется, вдобавок, при замене симки у меня мобильный интернет тоже отвалится, так что ни почту, ни соцсети я не увижу, пока не доберусь до дома)
До момента превращения в тыкву. И вообще-то дойдет разумеется по smsoverwifi (IP SIP через IMS не требует SIM после первичной авторизации никогда у мтс) и email.
А ОПСОСы(видимо некоторые) при перевыпуске посылают смс на старую симку. По крайней мере Теле2 так год назад делал, когда я менял симку.
Нет возможности, если запретить МТС передавать эти сведенья.
Элементарное решение проблемы: дать возможность клиенту банка задавать дополнительный код для добавления к кодам в СМС.
Например, банк присылает код для входа - 8721. Клиент добавляет свой код, например, 5585 (да даже банальной конкатенацией, если уж не сложением!) - получается 87215585. И вводит именно его.
4 цифры запомнить легко. Можно даже 7 (задай номер телефона бабушки мужа). Подобрать невозможно. Решает все проблемы с перевыпуском SIM, с утерей или кражей телефона и с перехватом СМС. И даже с социнженерией (у банка-то такой код должен быть!).
Вот так бы делать банкам.
Это не безопасно. Вы явно из тех людей, что думали, что хешировать md5 номера паспортов это безопасно. Ан нет за 11 минут подбирается на моей 2080 Ti вся база 4+6.
К слову сказать, в ЕС с 2018-го года действует директива PSD2 в рамках которой сейчас вводится технология SCA для всех онлайн-транзакций. Она как раз про это самое и есть
Ну это по сути логин по паролю + СМС коду. Только пароль строго цифровой и вводится в то же поле, что и код.
Имхо, проблема прежде всего в банках. Основные проблемы:
1) Разрешение восстановления пароля через СМС. В некоторых случаях можно установить запрет, но... см. далее.
2) В некоторых банках установка мобильного приложения с помощью одной смс полностью нивелирует запрет дистанционного восстановления пароля из п.1.
3) Сообщение о привязке нового мобильного устройства совпадает с сообщением о простом онлайн входе. По крайней мере в одном известном банке. Это вводит в заблуждение.
4) Своеобразная трактовка банками понятия кода из смс как цифровой подписи. Я вот по обывательски думал, что цифровой подписью я должен подписывать каждую операцию. Ан нет, оказалось, что по логике банков достаточно однократной авторизации через смс при установке мобильного приложения, а далее... все операции через приложение считаются подписанными...
Так что прежде всего банкам надо решать эту проблему, а не операторам связи.
Мне раньше даже в голову не могло прийти, что банки могут свести всю защиту доступа ко всем счетам (да еще кредитам) к одной единственной смске...
Как нам кажется, в деле красной нитью проходит нежелание оператора брать на себя ответственность за то, какие сервисы абонент привязывает к своему номеру телефона.
Я статью прочитал и вроде бы как-то согласен. Но подумал… А вот почему оператор должен желать брать на себя ответственность за то, какие сервисы абонент привязывает к своему номеру телефона? Я вообще считаю, что ОПСОСы в современных реалиях должны «вымереть» в обычных провайдеров беспроводной связи. Их задача — предоставление стабильных и надёжных каналов связи, а не обеспечение вот этого всего. А банки, госуслуги и всякие сервисы путь лучше надежные и более предсказуемые механизмы аутентификации развивают, тот же упоминаемый TOTP, например. А то получается ситуация, когда меняешь обычного провайдера связи и у тебя всё перестаёт работать.
Какие улучшения нужны?
Все дальнейшие предложения направлены хоть и на повышения надёжности, но на усугубление пагубной зависимости от сотового провайдера вместо освобождения от неё. Допускаю, что автор просто не попадал в ситуации, когда авторизоваться где-то срочно надо, а СМС тупо не приходит. И самое плохое в этой ситуации то, что у граждан выбора просто нет.
с одной стороны - да, конечно, ответственность брать не должен. Но номера уже используются, а операторы вроде как не в вакууме существуют, есть же все эти многочисленные отраслевые и межотраслевые ассоциации, на что они нужны-то? Вот собрались бы операторы да и сформировали позицию - что ответственности нести не желают и не будут, придумывайте другие способы, товарищи, например, банки. А так крайний как всегда абонент, хотя именно у него минимум рычагов воздействия
Оператор несёт ответственность за передачу номера третьим лицам
Отменяет.
Тогда я ключ от вашей квартиры начну раздавать всем кому ни попадя, а когда вас ограбят и пристрелят - скажу что я не виноват что вы там ценные вещи хранили и вообще сами приняли решение там находиться при таких грустных обстоятельствах.
Я думал я просто кусочком железа делюсь, подумаешь, готов понести наказание по рыночной стоимости ключа.
Оператор ради своей выгоды забил болт на мои права, в следствие его желания получить больше выгоды я пострадал - т.е. он прямо финансово заинтересованное лицо и с этой целью осознанно выдает мой номер телефона кому хочет во владение.
Поэтому и несет за это ответственность
ГК РФ Статья 1064. Общие основания ответственности за причинение вреда
Позиции высших судов по ст. 1064 ГК РФ >>>
КонсультантПлюс: примечание.
О выявлении конституционно-правового смысла п. 1 ст. 1064 см. Постановления КС РФ от 10.03.2017 N 6-П, от 08.12.2017 N 39-П.
1. Вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред.Законом обязанность возмещения вреда может быть возложена на лицо, не являющееся причинителем вреда.Законом или договором может быть установлена обязанность причинителя вреда выплатить потерпевшим компенсацию сверх возмещения вреда. Законом может быть установлена обязанность лица, не являющегося причинителем вреда, выплатить потерпевшим компенсацию сверх возмещения вреда.
(в ред. Федерального закона от 28.11.2011 N 337-ФЗ)
(см. текст в предыдущей редакции)
2. Лицо, причинившее вред, освобождается от возмещения вреда, если докажет, что вред причинен не по его вине. Законом может быть предусмотрено возмещение вреда и при отсутствии вины причинителя вреда.3. Вред, причиненный правомерными действиями, подлежит возмещению в случаях, предусмотренных законом.В возмещении вреда может быть отказано, если вред причинен по просьбе или с согласия потерпевшего, а действия причинителя вреда не нарушают нравственные принципы общества.
Конец один для всех - этот трюк всем давно известен, и оператор занимается этим ИМЕННО потому что ему ничего за это нет.
Ущерб возник из-за противозаконных действий оператора? Да/нет
Да. Всё. Остальное - не меняющие суть дела детали.
завтра оператор не захочет чтобы его номер не использовался для передачи звуков "у", и что? Мало ли что он хочет там себе, если оператора спрашивать - то он хочет чтобы ты ему платил миллион долларов в день, а он бы вообще никаких услуг не предоставлял.
А посему, есть договор и его условия, и в нём никакого запрета нет. Если оператор допускает незаконные действия - он несёт ответственность за последствия.
Не хочет? пусть пишет в договоре что это не мой телефон, а общественный, таксофон блин, и что разговоры, данные, смс и прочая будут передаваться неопределенному кругу 3х лиц по желанию левой пятки непонятно кого.
Посмотрим, как долго такой оператор проживёт.
Ущерб возник из-за противозаконных действий оператора? Да/нет
Да. Всё. Остальное — не меняющие суть дела детали.
…
Не хочет? пусть пишет в договоре что это не мой телефон
Если ущерб причинён противозаконными действиями оператора, то тут и так всё понятно. Вопрос-то не в этом. В договорах и так прописано, что номер не ваша собственность от слова совсем. И если вы попали в форс-мажорную ситуацию и за 3 месяца свой баланс «прохлопали», то номер уже не ваш. А дальше уже как повезёт. Оформит его мошенник и вся ваша «надёжная» авторизация на сервисах внезапно оказывается под неиллюзорной угрозой. Поэтому «остальные детали» очень даже суть меняют: либо этот номер должен быть реально моим и не отчуждаться 100 лет по любым причинам любыми третьими лицами, либо нафиг такую аутентификацию.
Как это не в этом?
Если бы не было противозаконных действий оператора, то третье лицо не получили бы доступ, либо получили бы доступ по чьей-то еще вине.
Никто баланс не прохлопал, сотрудник оператора выдал симку с номером третьему лицу без законных оснований.
Я как-то не заметил что вы обсуждаете вопрос пагубности аутентификации, я заметил что вы говорите что опсос не должен за свои действия нести ответственность, и продолжаете его выгораживать.
Итак.
а. Механизм аутентификации через номер телефона плохой
б. ОПСОС _должен возмещать ущерб_ который произошёл вследствие его незаконных действий т.е. перевыпуска симкарты, либо иного способ незаконной передачи ОПСОСом или его представителем доступа к телефону. Решается в суде и суд решил.
в. В случае когда пользователь недоглядел за _законными_ действиями ОПСОСа - ОПСОС возмещать ущерб вероятно не должен. Решается в суде.
Всё. Предмета спора нет.
когда меняешь обычного провайдера связи и у тебя всё перестаёт работать
Номер можно сохранять за собой.
Срань господня с этими перевыпусками. Почему при выдаче сим-карты и номера телефона нельзя поставить пароль который предотвращает перевыпуск или передачу номера телефона? Или вводить проверку личности? Особенно при передаче номера от одного провайдера-другому. В США оба механизма реализованы и достаточно хорошо работают.
Не знаю как у остальных операторов, у моего есть функция запрета выдачи сим карты по доверенности. То есть только при личном визите вы сможете получить новую симку.
С одной стороны - это хорошо, с другой, в связи со стремлением уменьшить накладные расходы - офиса рядом может и не оказаться.
Пароль, который знает оператор, и пароль который может изменить оператор.
Тут обычное мошенничество с превышением полномочий, и пароль от него не спасет, как не спасает "доверенность" т.е. ее отсутствие
Налоговая выдает всем бесплатный ЭЦП, еще вроде госключ какой-то есть.
Но пользоваться ей пока можно только в налоговой.
Надо развивать инсфраструктуру ЭЦП типа NFC токенов, приложений для подписи. Андроид тотже должен понимать что нужна подпись и какое приложение может ее дать.
Типа взять кредит в мобильном банке, а в конце подпиши договор ЭЦП и либо тотже госключ, либо токен приложи.
Статья интересная и действительно полезная. Спасибо.
Давайте посмотрим на эту ситуацию со стороны оператора связи. Операторов связи несколько, идет здоровая конкуренция и борьба за абонентов и новые подключения. Операторы делают все возможное чтобы подключение осуществлялось как можно быстро с уменьшением бюрократии. Приходится сокращать издержки в виде перевыпуска использованных ранее неактивных номеров. Сажать доп процедуры на оператора это создавать неудобства всем абонентам. Ведь кроме симок для физ лиц есть еще очень много сфер где они используются - одни умные счетчики чего стоят.
Как мне кажется логика операторов такая что они обеспечивают клиентов связью, смс, интернетом. Оператор не заставляет клиента привязывать к симке банковские приложения. Неужели банк со своей стороны не может сделать двух-трех ступенчатую аутентификацию и регистрацию через гос услуги. Для того чтобы сохранить свои деньги в банке я готов пройти все это, но чтобы получить обычную симку там для умного дома не готов.
Левые чуваки управляют твоим номером, но ты оператор не причем.
Все нормально у вас?
Умные счетчики у умных операторов могли бы не использовать номера вообще.
Проблема в том, кто решил повесить всё на СМСки. Они для этого не предназначены, не надо вокруг почти публичного канала строить забор из костылей.
Меня сложно упрекнуть в симпатии к опсосам, но тут я считаю они ничего никому не обязаны. Есть в договоре фраза "информация может быть доступной третьим лицам" - давай досвидания. Вы же не передаете пароли от онлайнбанка через случайных людей на улице? Чем СМС принципиально отличается?
Резюме по статье: в текущем виде (многие) электронные сервисы небезопасны. Надёжных (концептуальных) способов исправления ситуации нет (и не предвидеться в обозримом будущем).
Вывод?
На днях наблюдал странную и слегка пугающую вещь.
У наших собак раньше были гпс трекеры но долго лежали без дела.
И вот сегодня понадобился один и я начал оживлять их.
У обоих не было связи с сервером.
Вытащил сим-карты и начал тестить связь с помощью смартфона. Вставил одну из симок, зарегистрировался в сети. Интернет заработал, вытащил сим-карту.
А потом забыл про это и позвонил на ее номер. И звонок прошел. При этом телефон без сим-карты показывал сеть, и корректно обрабатывал вызовы.
На фоне использования смс и звонков для аутентификации, выглядит даже немного страшно.
Нужно всем банкам использовать многофакторную авторизацию не привязанную к номеру телефона
Тогда они будут привязаны к самому телефону типо биометрия. Например, alà оплата Сбер Pay на мвидео или еаптека, разблокируй сбер онлайн и сделай платеж. Да и samsung pay. В нем не нужен пин код при даже очень больших суммах! Так как биометрия или пин код код knox samsung pay.
Предложенное не выгодно операторам, именно поэтому вводятся такие тарифы, которые всегда держат абонента в долгах. Простой пример: мегафон не даёт перевести мою жену в корпоративную группу (тоже мегафоновскую). Несколько лет назад этот ОпСоС ввёл тариф, где вне зависимости от желания абонента, раз в месяц списывается абонплата в 350р. При этом, если баланс отрицательный, то воспользоваться тарифом нельзя... но деньги уже были списаны в долг. Так вот, перевод в корпоратив возможен только с положительным балансом... получается, что нужно заплатить более 700р... не такие большие деньги, но это 3-5 месяцев абонплаты на других тарифах.
Я предлагаю закреплять номера телефонов за абонентом, т.е. именно продавать сам номер, а не продавать право использования.
Я предлагаю закреплять номера телефонов за абонентом, т.е. именно продавать сам номер, а не продавать право использования.
Это противоестественно относительно технической реализации. Сей-час перенос номера это по сути просто переадресация.
вот поэтому и возникают такие проблемы... а в будущем будет ещё хуже. Однозначно нужно усложнить этот процесс... как минимум до уровня автомобильных номеров.
Вовсе нет!! Это видно в базе! https://www.kody.su/
Смс через wifi или volte зашифрованы на 2 уровнях.
А толку с того?
Многие способы перехвата — просто игнорируют это шифрование.
Потому что это либо посторонний софт на аппарате без ведома пользователя (даже если пользователь думает что поставить левое — нельзя — см https://habr.com/ru/post/575626/ например) либо на стороне оператора (или товарища майора подключенного к оператору).
Вообще весь трафик в идеале derives ключи с серверов GSMA (зеркала в Европе и Америке), а частично с сервера оператора. Но это в идеале.
Вообще не умерен, насколько ФСБ может расшифровать EVS (HD+ значок). Декодер open source впрочем.
Есть целая пачка уязвимостей в вышках еще.
SMSoverLTE/wifi не поддержиыает, а вот RCS поддерживает E2EE. ФСБ получит garabage, так как перехат ассим. ключей не даст расшифоровать данные, получив общий симметричный ключ. Perfect forward secrecy.
По сути выходит end-to-end шифрование от пользователя до сервиса важных операций. Влияние оператора таким образом исключается.
По правилам (в eSIM так точно) простая подпись точно есть и не одна. См. https://www.iphones.ru/iNotes/mts-zapustila-esim-kak-podklyuchit-onlain-i-v-salone-11-01-2020
Согласен с условиями соглашения об эл. взаим. с исп. ПЭП.
Я в этих "баталиях" не понимаю главного....
1) У клиента/человека есть договор с банком на финансовое обслуживание.
2) У клиента есть договор с сотовым оператором на обслуживание и сервисы связи.
Какое отношение между собой имеют данные договора и по какому праву или необходимости банк в своем договоре с клиентом принудительно "связывает" свой договор с договором клиента на обслуживание у оператора сотовой связи (номером сотового телефона)?
Ведь каждый договор предусматривает (ну или должен по логике предусматривать) только отношения между клиентом и той организацией что оказывает услуги?
Причем тут финансовые сервисы и номер сотового телефона? Почему имея N договоров с сотовыми операторами и X договоров с банками на текущий момент я обязан банкам сообщать свой сотовый номер? В законодательстве для банков прописаны обязательные документы для идентификации клиента, и как бы номера сотового я там не видел...
Плохие банки без наличия сотового вообще не идентифицируют клиента.
Если клиента сотового оператора не устраивают его условия он же может разорвать договор с ним и остаться в принципе совсем без номера сотового телефона или заключить договор с другим сотовым оператором (причем с тем с которым "не работает" банк, к примеру оператором другой страны с которым невозможна процедура сохранения сотового номера). Так на какой же правовой основе банки сейчас в обязательном порядке требуют наличия у клиента номера сотового телефона?
Примерно такое же отношение как (например) не-блокировка счетов тиньковым, блокируется только удаленное обслуживание а деньгами по прежнему можно пользоватся. через офис. который один в России и по предварительной заявке (но нет это блокировка)
Ни один из встречашихся мне банков еще не запрещал платежи методом подаем платежку в офисе (но правда цена может быть… необычной).
Кстати по факту нужен договор не с сотовым оператором а с оператором способным принять СМС (даже в России это НЕ одно и тоже, некоторые VoIP-операторы могут смс принять на части номеров о чем и пишут, при этом кстати запросто может оказаться (И сейчас именно так и есть) что связность будет лучше (в плане прием "странного" вроде смс не из России))
Тайная жизнь сим-карты: кому принадлежит ваш телефонный номер и при чем здесь электронная подпись?