Как стать автором
Обновить

Комментарии 788

ЗакрепленныеЗакреплённые комментарии

Здравствуйте.

Мы детально проверили вашу ситуацию — она не имеет никакого отношения к дипфейкам, они здесь не применялись. В Тинькофф есть технология liveness, которая исключает возможность прохождения проверок с помощью дипфейков. В вашем случае сотрудник допустил техническую ошибку, и мошенник смог получить доступ в личный кабинет. Мошенник при этом не проходил видеоидентификацию и не пользовался дипфейками. Сейчас ошибка исправлена, с сотрудником проведена дополнительная работа, к нему применены дисциплинарные меры, он отправлен на переподготовку. Все средства будут возмещены в полном объеме, приносим наши глубочайшие извинения.

В этой ситуации меня интересует пять вопросов:

Главный вопрос, который Вас должен интересовать, это "Как отказаться от регистрации биометрии в единой государственной системе?" :)

https://habr.com/ru/articles/788434/

https://habr.com/ru/articles/785054/

https://habr.com/ru/news/775720/

Там же по умолчанию биометрии нет.

По умолчанию биотметрия скоро будет везде.

По-умолчанию, биометрия требует серьёзных мощностей. Личных у оператора.

Особенно в банке, где ты по умолчанию согласен на рассрочки, о которых тебе рассказали в сторисах

Формально еще нет, но банк заранее собирает максимальное количество информации о вас и ваших привычках (геолокация, анализ покупок и пр.).

Лайки - это ещё не биометрия, может использоваться не для подтверждения, а для предварительного опровержения идентичности.

Лайки - это ещё не биометрия

Простите,

Надо будет к моей жалобе в ЦБ РФ копию этой статьи отравить . Пусть ЦБ РФ поинтересуется безопаснотью точнее её отсутвие в Тинькофф банке

Я так на озон банк писал, у них есть прикольная схема когда можно оформить "покупку" без ведома покупателя (при наличии карточки в озон.банке и бабла на ней).
Так что на своём опыте вангую вам ответ вида "у нас лапки, они там сами крутятся".

Ну а главное-то где? :)

Озон банк, ИМХО, такое себе по уровню сервиса. По телефону не дозвониться, в чате отвечают в течение суток.

Без биометрии в ЕБС мошенник не смог бы украсть деньги?

Могут, а что?

Если использовали биометрию, то доказать, что ты "не верблюд" становится гораздо геморройнее.

Мне наоборот интересен вопрос, как ускорить регистрацию биометрии. Но нужно данную систему докрутить, например, задавать пароль или код для доступа к биометрии на сайте гос услуг.

Биометрия нужна для того, чтобы не было никаких паролей и кодов доступа.. В этом её суть.

Биометрия нужна для того, чтобы не было никаких паролей и кодов доступа.. В этом её суть.

А должно быть - чтобы убеждаться, что пароль и код доступа набирал тот, кто надо, а не кто-то посторонний.

А должно быть - чтобы убеждаться, что пароль и код доступа набирал тот, кто надо, а не кто-то посторонний.

А ещё, в мире не должно быть Зла, булки должны расти на деревьях, а люди жить бесконечно.

"А сбылось ЭТО"

Но реальность такова, что биометрию и внедряют и продвигают именно как ЗАМЕНУ паролю.

В процитированном предполагается, что проверка логин-паролей-биометрии -- на устройство скидывается, а сами сервера Майкрософт вообще ни о какой биометрии и паролях ничего не знает.

Правда то, что обычно надо немного прыгать, чтобы проверялась и биометрия и ввод чего-нибудь -- расстраивает, да.

В процитированном предлагается вместо пароля ( "После удаления пароля из учетной записи" ) использовать вход через Windows Hello, который и есть биометрия

Не в дополненние, а вместо

И такая ЗАМЕНА уже несколько лет открыто проговаривается - https://lenta.ru/articles/2022/06/26/passwordless/

 Windows Hello, который и есть биометрия

Только если так настроить. Можно еще PIN-ом (т.е. кодом подходящим конкретно на этом устройстве), аппаратными токенами пользоваться.

Но пароля в учетной записи Microsoft не будет, да.

Кроме того - в Hello биометрия локальная, т.е. для того, чтобы биометрией воспользоваться, надо еще и сам комп/смарт с авторизатором на руках иметь. Т.е. все равно два фактора работают - биометрия+владение, а не только биометрия.

Только если так настроить.

А можно настроить "чтобы убеждаться, что пароль и код доступа набирал тот, кто надо, а не кто-то посторонний. " ?

Увы, прыгать надо. В домашней винде. Если верить гуглежу - настраиваем полнодисковый битлокер с разблокировкой по пину и потом уже саму винду - по биометрии.

В результате посторонний, зная только пин, системой воспользоваться не может.

Увы, прыгать надо. В домашней винде

Не "надо", а "придётся", как я и сказал ранее.

Вы преувеличиваете, можно поставить authenticator от microsoft и вход без пароля будет работать с ним.

А можно просто его использовать, как доп. защиту что-то типа 2FA.

В случае на переход в режим "Без пароля" и без Windows Hello вам нужно будет соединение с интернетом, чтобы авторизоваться в вашем домашнем компе, но ничего не мешает в 1 команду без потери каких-либо данных переключить вашу учетку в винде на "локальную учетную запись" с паролем.

Поэтому не вижу особой проблемы. Вы просто хайпуете на теме и поднимаете панику на пустом месте.

Т.е. чтобы гопники подносили мое лицо к банкомату и снимали все мои деньги? Или вырубили меня доской по голове и по отпечатку вскрыли телефон и банковское приложение?

Так себе идея. Как доп. проверка может и пойдет, но не как основная.

Главный вопрос - это стоит ли держать деньги в банке, у которого нет отделений, куда можно прийти ножками и решить все вопросы лично.

Есть подозрение, что скоро наличие отделения будет частью элитного обслуживания.

Пользуйтесь услугами регионального отсталого банка, ориентированного на глубинку (деревни).
Нет никаких навороченных инструментов. Только старые классические банкоматы без всякой биометрии для выдачи наличных. Только SMS оповещения о движении по счету (без рекламы). Офис близко и работает даже в субботу.

А мне больше ничего и не надо от них. За то как то поспокойнее.

И НИ разу не было звонка от "службы безопасности" этого банка. А вот "сотрудники ЦБ" или "служба безопасности Сбера/Тинькова" названивают регулярно. Минимум раз в неделю :)

Занимаюсь банковским ПО уже ооочень давно и всегда вспоминаю анекдот про трясущегося от страха в самолете программиста, который ПО самолета делал.

А вот "сотрудники ЦБ" или "служба безопасности Сбера/Тинькова" названивают регулярно.

Извините, а как вы проверяете, что это именно "служба безопасности Сбера/Тинькова"? Неужели верите на слово? ;)

Их выдаёт лексикон, характерный фоновый шум кол-центра и слабая нервная система, приводящая к срыву на обсценную речь сразу после слома скрипта.

спасибо за подсказку, но вы не угадали подтекст вопроса и ответили на него вне контекста ;)

Я не понимаю контекста Вашего вопроса.
Если вы не поняли намек на тэг {сарказм} в моем комментарии про "сотрудников ЦБ". То я не понимаю что Вы имели в виду.

Возможно у ТС и нет денег в этом банке, но мошеннику не особо много усилий потребовалось чтобы выпустить кредитку и списать с неё деньги.

Под "держать деньги" я тут хотел сказать "иметь любые дела вообще". Потому как при такой простоте выдачи кредитов, любая доступная банку информация может быть поводом для выдачи кредита.

Банк 100% ничего не удаляет при закрытии даже последнего счёта, так что может и не помочь уже выход из него. Мошенник напишет, что он решил вернуться и открыть счета, а такой бестолковый работник - вернёт к жизни учетку.

Значит нужно, чтобы такой банк никогда не завладел вашими данными...

После закрытия всех счетов пишем заявление на удаление всех ПД. По закону они обязаны только хранить какое-то их количество еще, емнип, 5 лет.

к сожалению в "этих ваших отделениях" могут только "принять обращение" и все. У них самих прав нет ни на что. Смысла туда хоть нет. Колцентр больше прав имеет

Ну так кто виноват, что в руководстве банков сидят идиоты, которые ничего не смыслят в информационной безопасности?

только вот "подтвердить личность через видеосвязь", которую Тинькофф предложил клиенту, не имеет никакого отношения к идентификации и аутентификации, которые осуществляются путем сопоставления биометрических данных векторам ЕБС.

Поддерживаю. При попытке прямого вопроса, что является ли навязанный просмотр рилсов моим согласием на совершение банком любых действий от моего имени так и не получил прямого ответа нет. Лишь отговорки, и настойчивое предложение звонка с произвольного сотового номера (!) и вопросами о ключевом слове и т.п.

Главное в данном случае, это то что нужно принять закон, который бы привлекал к ответственности сам банк, за то что ведётся на мошенников и при этом наказание для банка должно быть десятикратным. Вот тогда начнут нормально работать.

А так, по сути банк не при чем...

Тогда банку будет проще при любом вопросе оправлять всех в офис, но это не выход в современном мире.

это единственный выход, все остальное можно подделать. Да и с визитами тоже не так просто, даже это обходят.

Подделать паспорт конечно можно, и это происходит, к сожалению. Но есть одно очень важное отличие. Есть ненулевая вероятность, что от такого мошенника останется хотя бы фотография. А дальше уже дело техники, было бы желание. Также важно, что визит левого персонажа будет зафиксирован по месту и времени, то есть доказать что ты не верблюд будет гораздо легче.

Согласен с вами, любое решение - не абсолютное, в любом есть свои риски, но если решение позволяет снизить потери - это уже очень хорошо. По крайней мере не смогут из тюрьмы такое проворачивать.

А ещё можно будет попытаться доказать, что в этот момент времени ты был в другом месте и не мог быть в их офисе.

Так об этом и речь.

Если действительно вы были достаточно далеко

(в городе - от сотни метров и более), то можно будет

(если смартфон был с собой)

как доказательство предоставить записи из журнала оператора сотовой связи

(правда, с получением этих данных, на общих основаниях, могут быть сложности).

Оператор сотовой связи (СС) регистрируют местоположение абонента

(в городе - достаточно быть в сотне метров, чтобы мобильное устройство было зарегистрировано минимум в другом секторе базовой станции),

их (операторов СС) лицензия к этому обязывает (вести журналы роуминга {блуждания} абонента).

Правда, насчёт практики - пока ничего сказать не могу. Лишь знаю о том, что есть такая техническая возможность.

Ещё - можно активировать и использовать 2FA (двухфакторную авторизацию), что должно заметно осложнить реализацию такого мошенничества.

Вообще, либо что-то откровенно "криво" у Тинькофф настроено/реализовано

(с авторизацией клиентов), либо откровенно мошенничает персонал того-же Тинькофф-банка, и "сливает" куда-то не туда часть персональных данных клиента.

Есть ненулевая вероятность, что от такого мошенника останется хотя бы фотография

Можно же прийти в кепке или очках с ИК фонариком, люди ничего не заметят, а на камерах лицо будет засвечено

Ну и отлично, дополнительный аругмент против банка, то что сотрудник при проверке документов не попросил снять очки.

Попробуйте снять в банкомате деньги, засветив ИК-фонариком камеру.

Вы не думали бы что это будет странно выглядеть,они же светят. И да,в банке часто просят снять кепку при фото или чего-то ещё

Никогда ещё Штирлиц не был так близок к провалу. Думаю, все ваши наивные идеи уже много кратно рассматривались службами безопасности.

Это когда работник банка не в доле?

Можно, но это уже совсем другая категория престуления. Личная явка с заведомо липовыми документами уже сама по себе - статья.

Вряд ли преступников останавливает сроки преступления, любые преступления совершаются из расчета, что наказание не последует.

Другое дело, если расходы на преступление будут явно превышать барыш. Имеется в виду пропорциональность защиты рискам. Если на счету 5 р, вряд ли он заинтересует злоумышленника.

А если сделают маску как в фильме миссия невыполнима?

Рукописную подпись никто не отменял. Ну и как минимум клиент может доказать, что на самом деле его там не было. То есть мошенничество совершено не против него, а против банка.

А деньги банк вернёт?

Зато сразу отвалится огромное количество мошенников с зон и из-за границы.

Дропы, дропы, дропы, дропы, еее, нет, еее. Они их и так сейчас используют, просто будет чуть сложнее

В случае Тинькова - потенциальная проблема с тем что офис у них один.

Но правда в этом случае - пусть курьера высылают.

Если Тиньков начнёт всех направлять в офис, всего один офис станет проблемой Тинькова, а не клиентов. Так как клиенты устроят великий исход.

электронную подпись нельзя подделать пока что . Но сотудники Тинькофф дрочат на биометрию а не на УКЭП

Так она настоящей будет, просто человек, на которого она формально выписана, может быть не в курсе - https://habr.com/ru/articles/453596/ .

Сейчас есть "больная", неправильная ситуация, когда банк минимизирует свои расходы, все переводит в сеть, опирает все на ненадежные методы аутентификации - и ему это выгодно. А вот сопряженные с этим потери ложатся на клиента. Если будут ложиться на банк, это замотивирует банк думать, где же им можно закрыть глаза на безопасность, а где лучше не надо.

Если что, и для открытия счета и даже для получения резервной сим-карты у Тинькофф целый специалист приходит домой (очень удобно для меня, клиента). Ничего страшного, если для сложных-спорных ситуаций придется что-то подобное.

Вот эти новости, что как-то по биометрии через госуслуги могут квартиру увести - меня шокируют. (Неправда? Может быть - но чтобы убедиться, правда или нет, надо тщательно разобраться, теперь). Меня бы устроил вариант, когда все опасные вещи (которые у меня бывают, дай бог, раз в 5 лет) надо делать в офисе. Ничего, не развалюсь. Зато каждый день буду спать крепче.

Сейчас есть "больная", неправильная ситуация, когда банк минимизирует свои расходы, все переводит в сеть, опирает все на ненадежные методы аутентификации - и ему это выгодно.

Кроме банка, там есть ещё и популяризаторы прогресса, которые рассказывают как всё это здорово. Клакеры хреновы.

Ну вообще это и есть здорово - получать необходимые услуги не отходя от компьютера - в несколько кликов. В популяризации этого процесса нет ничего плохого. Если у банков не будет офисов с армией клерков, которые целый день пьют чай, будет, мне кажется, лучше. Другой вопрос в том, что те кто реализует этот прогресс, должны быть всегда на шаг впереди мошенников. А вот тут возникает проблема

Ну вообще это и есть здорово - получать необходимые услуги не отходя от компьютера - в несколько кликов. 

Не уверен. Мое личное мнение - в денежных делах должны быть затруднения и паузы, позволяющие подумать над тем, что ты делаешь. Как бы желающим получить деньги не хотелось обратного.

Только в делах выше определенной суммы. Покупать еду с затруднениями такое себе. А вот квартиру уже нормально.

Затруднения от сумм выше среднегодового дохода наверно. Там есть смысл заморочиться и подождать.

Покупать еду с затруднениями такое себе.

Так не 3-х дневное ожидание же для еды. Затруднение вида 'купить ли мне пирожок или лень за карточкой/кошельком в сумку лезть' - тоже сюда относится.

Зачем это? Ну точнее я понимаю когда человек имеет какие-то проблемы и лично для себя такое делает. А вот для всех тут чем проще тем лучше. Платить часами оказалось оптимально. Телефоном чуть менее оптимально, но тоже хорошо.

Для борьбы с тем, что как только делают 'заплати за покупку еды, пройдя мимо камеры' - то такой способ немедленно пытаются прикрутить не только для 'покупка еды'.

И борьбы с импульсивным покупками, которые совершают далеко не только те, у кого какие-то проблемы.

С оплатой пройдя мимо есть проблемы. Согласен. Поэтому я и сказал что часы или телефон выглядят оптимальным способом оплаты.

А что плохого в импульсивных покупках? Захотелось и купил. Стал немного счастливее. Проблем не видно. У кого бюджет перестает сходить это их личная проблема и именно им стоит с этим бороться.

Стал немного счастливее. 

если так то да. а если -нет, если "нафига я взял эту ненужную фигню"?

Это значит, что у вас проблемы. Но я не понимаю почему проблемы у вас, а неудобно должно быть всем.

Ребята, вот один из тех, кто поддакивает "да-да, сделайте так чтобы видеопоток мог взять кредит вместо человека"!

Да нет никакой проблемы кроме жлобства.

Одноразовые шифр блокноты были уже 10 лет назад. Их можно интегрировать даже в карту. При этом закрыв отдельным пином.

И это в целом непотопляемо. Но стоит некоторых денег, которые очень хочется сэкономить.

10 лет прогресса не прошли даром. Все гениальное просто: TOTP.
Об этом говорят уже те же 10 лет. Но почему то банки, как ежики, лезут на SMS. И клиенты тоже - как ежики. Хотя есть нормальные банки. Авангард, например, уже 10 лет назад предлагал ЭЦП, карты одноразовых паролей и карты со встроенным TOTP. Сейчас у них есть свой TOTP для мобильного. Наверняка это не уникальный банк, из тех кто серьезно относятся к безопасности.
А Тинькоф - что тут сказать. Видимо прошло его время..

Все гениальное просто: TOTP.

TOTP девайс может сломаться, упасть в реку, сесть батарейка. В идеале всё, что нужно для входа, должно быть у человека всегда с собой, но при этом неотчуждаемо.

В идеале всё, что нужно для входа, должно быть у человека всегда с собой, но при этом неотчуждаемо.

Есть такое - его лицо и мимика, его голос и манера говорить, его отпечатки пальцев.

его отпечатки пальцев

🤦 Во-первых, имея бездыханное тело человека, воспользоваться его отпечатками элементарно. Во-вторых, человек "сорит" своими отпечатками повюду, и этим давно уже смогли воспользоваться.

Вот только эти уникальные данные (биометрию) человек не может осознано контролировать... Т.е. с развитием технологии получить их (а значит теоретически и воспользоваться) без разрешения самого человека все проще и проще... А главное в случае компрометации этих данных сменить их практически невозможно...
Альтернатива - то что находится у человека в голове, мысли пока на расстоянии и твоего разрешения читать еще не научились... :-)

Вот о том-то и речь: биометрию невозможно осознанно контролировать — и поэтому использовать её для аутентификации нельзя.

Так и сами вы можете сломаться и упасть в реку.
Ничего неотчуждаемого у вас нет.
А про батарейку я уже писал: есть стретч-карты одноразовых паролей. Работают 10 лет без батарейки.
И не нужно до абсурда доводить: есть вектора угроз, есть риски и их вероятность. Идеального решения нет: есть оптимальное.
Любое решение для безопасности всегда создаёт пользователю неудобство. Нужно искать компромисс. Это задача Security team.

Ничего неотчуждаемого у вас нет.

Эмммм... Вообще-то есть одна штука — мозг называется...

Уже писал:

И не нужно до абсурда доводить

Иметь мозг — это абсурд???

Иметь мозг
Хватит уже иметь мне мозг!
Напомню: мы не на кружке юных анатотомов, а на техническом ресурсе. Обсуждаем 2FA.

Прогресса? Скорее уж регресса. TOTP был массовым явлением лет 15 назад, я помню, ещё застал "калькуляторы" с TOTP у ВТБ24 (был тогда такой, отдельно от ВТБ). А Авангард, видимо, в так и остался в 2007-м (не только в плане аутентификации, а в целом, как захожу к ним - ловлю флешбеки из нулевых каждый раз).

Пользовался таким от ВТБ. Генератор одноразовых паролей. Только физикам потом отключили. А так, хорошо бы было: до определенной суммы по упрощенной схеме, всё что выше через генератор или офис. Спал бы спокойнее

Но есть нюанс: то, что легко Вам — легко и атакующему.

Правда/неправда хороший вопрос. Сколько раз вы от других айтишников слышали фразу: "да он сам виноват - предоставил данные". В современном мире это victim blaming. Периодически встречаются описания потерпевших, которые требуют реакции ит представителей, желательно публичных, а их не так уж и много. Не обсуждая сценарии инцидентов общая культура разработки и безопасности не улучшается.

Есть ньюанс - специалист у Тинькова приходит для выдачи SIM, для получения eSIM это не нужно (но нужен нормальный доступ в приложения Мобайла и Банка)

Касательно госуслуг и квартиры: есть возможность при наличии квалифицированной ЭП дистанционно через госуслуги наложить запрет на сделки с недвижимостью без личного присутствия

Получить квалифицированную ЭП можно удаленно при наличии биометрического загранника (тот, что с чипом, на 10 лет)

А требуется ли присутствие человека указанного в паспорте?

Снизу странцы Госключа на Госуслугах лежит pdf-ка

Страница 11. На мой взгляд - нет, не нужно. Правда, потребуется учетка Госуслуг.

Нет, не требуется.

эта подпись имеет какой вид, где хранится? на "брелке" (типа рутокена) или в браузере или вообще в PEM файле?

Просто в телефоне, как именно там хранится я не углублялся

Где-то в госключе?

Тоже схема, которую я не понимаю.... подписать что-то просто через госуслуги (войдя через пароль или SMS) - типа несекурно, недостаточно надежно (действительно, пароль менее надежен, чем ключ-сертификат).

Но при этом выпустить сертификат (авторизировавшись так же, через госуслуги) и потом уже сертификатом что-то подписать - уже, считается безопасно.

Если я правильно понял эту схему (может быть ошибся?), она нифига не увеличивает безопасность пользователя (разве что делает мошенничество на 2 минуты дольше), зато уменьшает ее - теперь пользователю сложнее отпереться, так как "ну это же вы подписали документ цифровой подписью, длина ключа 4096 бит, время взлома - сто триллионов лет - его не могли взломать, это точно вы!".

В таком случае это вредный театр безопасности, который сильно портит ситуацию с рисками для пользователя (но, может быть, защищает госуслуги).

Но при этом выпустить сертификат (авторизировавшись так же, через госуслуги) и потом уже сертификатом что-то подписать - уже, считается безопасно.

Чтобы выпустить сертификат, вам надо телефоном с nfc по вашему заграну водить. Без заграна не выпустите.

 Без заграна не выпустите.

Еще раз ткну в pdf-ку. Есть еще два варианта - через загруженную в Госуслуги биометрию. Либо при личной явке в МФЦ или банки партнеры. Что, в прочем, то же самое - это заливание биометрии в эти самые Госуслуги.

Это успокаивает, но все равно "как страшно жить" (без иронии). Внезапно вдруг появляется фишка "пролюби квартиру [без СМС] и [регистрации]" и нужно выяснять все подробности этой фичи. Может быть все ок и никуда бежать не надо. А может и надо. Поэтому надо разбираться, выяснять.

Не всё то, что называют DFA таковым является, пример ваш как раз об этом - второй уровень защиты можно получить, используя первый. Разницы тут никакой нет, безопасность отдельного ключа та же самая, что и безопасность пароля в данном случае.

Раньше этот запрет точно так же удалённо снимался, это исправили?

То есть, по дефолту - это открыто!?

То есть, по дефолту - это открыто!?

Открыто что? Есть возможность дистанционно наложить запрет на сделки с недвижимостью без личного присутствия собственника, используя приложение "Госключ". Снять такой запрет дистанционно тоже возможно опять-же при наличии квалифицированной электронной подписи.

Предположим, что человек максимально дундук, безалаберный, рассеянный. Он ничего не предпринимал, не накладывал запреты, но и не разрешал специально (но личный кабинет на госуслугах у него есть). И он легко говорит SMS коды всем, кто его спрашивает (верит в людей). И часто оставляет телефон в барах и такси.

Может ли он профукать квартиру таким образом?

Может, если он предварительно оформил УКЭП и доступ к ней осуществляется посредством приложения "Госключ", которое в свою очередь установлено у него на смартфоне и аутентифицироваться в нем можно посредством пароля ;)

А если УКЭП завел удостоверяющий центр в устьзажопинске?

Как я понимаю "Госключ" разрабатывали специалисты "ИнфоТеКС Интернет Траст", он-же является одним из крупных аккредитованных УЦ и они-же и выдают УКЭП при использовании этого ПО

А разве при имеющейся УКЭП нужен суррогат в виде Госключ?

А разве при отсутствующей УКЭП есть альтернатива ее дистанционного получения, без использования Госключа?

Судя пот по этому - есть

Риски выдачи УКЭП без ведома владельца или ее компрометации существуют вне зависимости от способа ее выпуска, была-ли она получена посредством Госключа или иным образом.

Ничего страшного, если для сложных-спорных ситуаций придется что-то подобное

А если вы за границей? Меня они недавно блочили два раза за попытку перевода на свой же счет по СБП. Если бы вопрос решался только в офисе\курьером, то я бы просто остался без денег.

Ну так пусть для тех у кого такая ситуация в принципе возможна сделают опцию "разрешить удаленную идентификацию" (написав заявление исходно в офисе), а по умолчанию для остальных блокировать. Если человек не ездит за рубеж, зачем ему такая дыра в безопасности?

Можно даже удаленно, не в офисе. Но заблаговременно, и при каждом запуске банковского приложения чтобы было видно, что "происходит что-то важное" (что "вы включили удаленную идентификацию, позвоните 8800... если это не вы").

Вообще, вся проблема с безопасностью, что где-то там наверху думают, что это сложно, дорого, но все таки может быть сведено к чекбоксу "enable security / disable security", а это шнурочки, которые надо каждому человеку подтягивать под размер, или же иметь готовые шаблоны, например "пенсионер" - наиболее устойчивый от типовых мошенничеств (но сложно оплатить хостел в Чехии).

или же иметь готовые шаблоны

ИМХО, по умолчанию должно быть максимально все отключено, а уже по желанию клиента подключать нужные опции.
А то сейчас пенсионер открывает в офисе вклад, а ему некоторые банки автоматом туда интернет кабинет подключают. Вы человека спросили, он вообще интернетом пользуется? А если и пользуется, ему нужен интернет кабинет, если он вклад открыл только для хранения денег?

Вот то же самое и будут делать. Любому незнающему все эти защиты тут же в банке и снимают девочки с планшетом прям во время оформления личного кабинета или еще чего-то. "А давайте чтобы вы не ходили, не стирали ноги, мы сделаем вам возможность получить 8 кредитных карт без подтверждения?". То что они даже и называют вслух иногда то, что делают, не помогает, если человек рассеян и это незнакомая для него обстановка, а слова девочки это вообще белиберда и он на все отвечает ДА, лишь бы закончилось побыстрее.

ИМХО такие разрешения должны оформляться в виде полноценного документа с подписью, где явно прописано какие разрешения пользователь дает, а какие нет. Чтобы не было сюрпризов когда банк самовольно что-то там решил активировать не получив явного согласия пользователя.

<sarcasm>Зачем мелочиться, прибить пользователя к базовой станции. Подключение вне радиуса базовой станции рассматривать как подозрительное. Нормальный человек дальше работы и магазина у дома не должен ездить. А если магазина нет, пусть в службе доставки закажет - это же так удобно. </sarcasm>

Кажется интернет услуги пытаются нарушать главный принцип single responsibility. А перемещаться географически нормальная практика для человека. Осложняется только имплементациями интерфейса IGovernment. Где-то заглушки nonimplemented exception, где-то абстракции протекают, где-то дублирование и легаси, или рефакторинг запрещен.

В некоторых банках есть очень гибки настройки геолокации для совершения различных платежей, а также можно настраивать лимиты, это хороший дополнительный фактор повысить безопасность.

Щас цитфровой рубль введут и Вы сам от "базовой станции" отходить не пожелаете. :)

Вот я сейчас за границей по работе. При попытке получить УКЭП по загранпаспорту приложение "Госключ" не видит чип. Поэтому было установлено приложение "Госуслуги биометрия", где я прошел весь квест с биометрией - и загранник с чипом прикладывал, и аудио/фото, все что просили. В итоге - имею три установленные программы:

Госуслуги, Госуслуги биометрия Госключ

Захожу в Госключ, пытаюсь получить УКЭП по биометрии. И вместо сертификата получаю письмо от Единой биометрической системы о временной блокировке на 10 минут. И так постоянно.

Теперь остался только вариант личного посещения МФЦ или банка.

По поводу квартир и биометрии - сейчас можно в МФЦ (при личном визите) написать заявление на то, чтобы все операции с твоей недвижимостью могли происходить только в твоём личном присутствии.

А личное присутствие это теперь действительно личное присутствие? А то в свое время это трактовалось как "без доверенности", то есть УКЭП через интернет - это личное присутствие.

А можно ли удаленно нет, не продать квартиру, но изменить настройки, убрать это ограничение? (оно же - не операция с недвижимостью).

Да, бинго, так и надо! А если не хотите ходить в офис, сделайте себе полноценную ЭЦП. Брокеры как-то осилили работу по ЭЦП.

Такой закон есть, ничто не мешает вам написать заявление в полицию о том, что пропали ваши деньги, доверенные банку на хранение. Дальше пусть банк оправдывается, что это не хищение.

Как я понимаю, на это банк ответит, что операция была совершена через личный кабинет клиента, а содержание пароля от личного кабинета в тайне - целиком ответственность клиента.

Мне всегда было интересно почему оказывается, что это клиент кому-то передал пароль, а не банк. Как доказать ?

Наверное потому что пароли не хранятся в открытом виде в банке. Хранится его хешированная версия, по которой вычислить оригинальный пароль крайне сложно

…при этом пароль проходит в открытом виде через балансировщики и фронты, а возможно ещё и через сервис защиты от ddos. Взять из БД не получится, а насобирать пароли некоторой части активных пользователей — вполне реалистично.

Не совсем в открытом. Там же httpS.

Вполне возможно что только до балансировщика, где https расшифровывается, а дальше post с plaintext-ом

дальше post с plaintext-ом

По какому протоколу? Если https, то он зашифровывается по новой. А если нет, от это пахнет вплоть до уголовки для владельцев балансировщика.

По обычному http. <Пользователь> - [https] - <LB https://site.com> - [http] - {<http://node1.site.com>,<http://node2.site.com><http://node3.site.com>}

https://habr.com/ru/companies/ruvds/articles/493852/ - CloudFlare как пример.

Я не особо в курсе про текущие реалии законодательства, но у нас уголовно запрещено передавать данные по http протоколу?

В любом случае в цепочке <пользователь вводит пароль текстом> - <хеш введенного пользователем сравнивается с хешем в базе> существует узел который вот этот самый пароль получает в чистом виде, а дальше уже хеширует и солит. Если этот узел компрометируется - то все. Вон в почте это решается с помощью PGP, только кто им пользуется.

у нас уголовно запрещено передавать данные по http протоколу?

Формально прямо в такой формулировке нет, но есть требования регулирующих органов, и, если будет совершено преступление соответствующей степени тяжести с использованием данного канала телекоммуникации (что, кстати, например, в США является само по себе отдельным составом преступления) и при этом будет в наличие свидетельство преднамеренного отказа ответственных лиц со стороны провайдера от использования безопасного протокола, то соответствующие ответственные лица могут быть обвинены в преступном бездействии или даже в преступном сговоре, если удастся доказать связь. Более вероятно и легко, правда, чисто гражданское привлечение юрлица провайдера в качестве соответчика по нанесению ущерба действиями мошенников с использованием его услуг.

В некоторых странах типа Германии, как я читал, даже наличие незапароленной WiFi-сети является правонарушением само по себе. Это не http-протокол, но тоже дыра в безопасности - и закрывают мерами нормативного регулирования.

Да это утопия какая-то. Так бы с учетом того что каждый день кого-то ломают, что-то утекает, программист была бы самая распространенная профессия в тюрьмах.

В авиации, которая зарегулированна регуляторами не сильно меньше чем банки, целые самолеты падают и люди гибнут из-за ошибок в коде, я не помню каких-то санкций к погроммистам. Только акции боинга упали в цене.

Если я правильно понимаю, httpS предполагает установку соединения между браузером и конечным веб-сервером. То что между ними может оказаться балансировщик - ни на что не влияет.

httpS — между хостами. Это помогает от уборщицы в датацентре — врезать в соединение не получится. А на самих хостах https терминируется.

Речь же шла про злоумышленника который имеет доступ внутрь инфраструктуры (доступ к БД с хэшами паролей).

Это банк так заявляет :)? А как этот пароль установлен ?

Так я клиент заявляю, что у меня вообще пароль никак не хранится... Как эту коллизию разрешить ?

Пусть докажут, что я кому то передавал пароли (покажут логи) . А если они в суде скажут, что идентификация прошла по "морде лица" вся их защита посыпится. Если соврут в суде, а найдутся другие свидетельства, что они списали деньги не по пин-коду, то это уже статья УК. Вменяемый юрист, даже банковский, на подлог не пойдёт. Похожие дела уже были, только не с дипфейком, а с банальными утечками со стороны банка.

Писать заявление в полицию - ошибка, т к в этом случае 90% дело "зависнет", т к банк сделает морду кирпичом типа "ну вы там расследуйте, как найдете к чему прицепиться, мы сразу и признаем". А полиции нафиг не нужно бодаться с банком, "неравенство крыш" не в их пользу. Идти нужно к грамотному юристу (эх, где ж они?!) писать претензию в банк и жалобу в банк россии. Если не вернут деньги, то в суд. Это их система дала сбой, ошибочно признав дипфейк за клиента. Значит и ответственность в первую очередь на них. А как так получилось, вот пусть сам банк идёт к синим человечкам и пишет заяву на мошенников. Это не дело клиента, т к объегорили банк, а не клиента.

Пароль сбрасывается по смс, телефонный номер клиенту не принадлежит и где и как там эта смс ходит и кто её читает, клиент не контролирует и не может контролировать. Сбрасывать пароль по смс разрешил банк, я как клиент просил это запретить.

Так клиент никому не передавал пароль, это банку позвонил мошенник, сказал что забыл пароль и сменил телефон одновременно, и ему поверили, а значит банк должен вернуть деньги как было, отменить все заключённые мошенником договора и дальше искать его самостоятельно и пинать полицию самостоятельно, не заставляя это делать клиента.

В 99+ процентов случаев это не так. Взлом происходит через перехват управления личным кабинетом без использования стандартного входа по паролю. Либо восстановление пароля имея захваченный канал восстановления, либо смена номера ЛК либо захват через присоединение новой карты с новым/дополнительным номером либо, как здесь, через слияние с имеющимся ЛК с другим номером.

А вот интересно бы узнать мнение от практиующих юристов по этому поводу. Так то увели бабки у банка, который вроде как их обязуется хранить, а не у клиента. Автор заяву написал, но не на банк. Можно ли заяву написать на банк? Ведь для клиента это выглядит так, что банк, принявший обязательства хранить деньги вдруг сообщает, что их нет, что типа клиент их снял\перевёл, т.е. мошеннические действия банка по отношению к клиенту. Какие перспективы у подобного развития событий.

Мошенничество (1) имеет субъектом конкретных физических лиц, но не юрлицо, и (2) подразумевает прямой умысел. Поэтому о мошенничестве в отношении банка говорить нельзя. А вот потребовать от банка вернуть незаконно перечисленные со счёта деньги в рамках гражданского процесса может быть перспективным вариантом.

У меня была более мягкая идея. Банк как-то "страхует" ваши риски (не в страховой, а от своего имени). Причем на произвольную величину. Например, если из банка утекает база пользователей и злоумышленники узнают ваш номер телефона и ФИО - банк вам (всем клиентам) выплачивает по 10 рублей.

Если у вас увели 100 000 рублей, банк выплачивает 0.5% от потери, то есть, 500 рублей.

Пустяк? Да. Но в нем есть великая фишка - он заставляет банк признаться, насколько у него все херово. Если банк прямо абсолютно уверен в защищенности (так не бывает, но допустим), он за потерю ваших 100 тысяч будет готов 100 миллионов заплатить (все равно шанс этого события - нулевой). Если же банк понимает, что шанс этого 50/50 в течение года - его оценка будет гораааздо скромнее.

А дальше просто смотрим, какой банк САМ выше оценивает свою безопасность (не рекламными роликами с дикторским голосом), а конкретными цифрами обязательств - и принимаем решение, кому доверяться. Заявлять пустые слова "у нас надежно" - это дешево, а вот обещать хотя бы копейку за каждый украденный рубль - совсем другое дело.

Всё уже придумано до нас. Например, см. Visa Zero Liability Policy. Когда в штатах только начали внедрять кредитные карты, была придумана такая политика. Если клиент банка заявлял, что списание с карты клиентом не авторизовано, платежная система считала эту проблему своей.

Многие платежные системы имеют аналогичные программы защиты от мошенников. Например:

Mastercard Worldwide Zero Liability

American Express Fraud Protection Guarantee

И даже финансовые суррогаты вроде "электронных кошельков" тоже имеют подобные гарантии.

Это не совсем то. Это добровольный шаг, его и у нас можно сделать, но почему-то банк не делает. (Ну или списывает на "ну это же вы перевели деньги мошенникам, тут мы хорошо отработали, вы сами виноваты").

Я же говорю об очень мягком государственном принуждении, как острый вопрос на интервью, на который гость не будет отвечать (пытать же его нельзя), но "всем все понятно".

Принудительно заставить все банки следовать Zero Liability - ни в США, ни у нас нельзя же? Они именно добровольно сами это делают?

Но заставить ответить на вопрос и "подписать" оферту (возможно "нулевую") - это любой банк может. Зато клиенты будут знать, во сколько банк оценивает свою "очень высокую безопасность". 10 копеек? ну ок. 0? еще лучше!

А вообще мне интересно, как в других странах это происходит. В "наших" (типа Украины, Беларуси, с очень похожим населением) и в совсем других (вроде Франции, США). Там совсем нет мошенников? Совсем нет "лохов"? В каких объемах это? Тоже шутку про "Вам звонят из службы безопасности Then Bank of New York" все понимают, потому что всех так пытались разводить?

Они именно добровольно сами это делают?

А не зависит ли это от того, как трактуется "клиент одобрил" в регулировании?

Вполне возможно, что это 'добровольно' - это 'умрешь доказывать, что действительно одобрил, и если не вернуть самим - человек напишет заявление, что банк деньги украл/не уберег'. С посредствующими уголовными делами, штрафами итд. Потому легче вернуть и потом разбираться, чем наоборот.

В США же вроде как закон был изначально принят после мошенничества - что по кредиткам максимальная ответственность клиента в случае мошенничества - 50 баксов.

По закону эта защита ограничивает потери клиента 50 долларами. Большинство банков добровольно снижают эту сумму до 0, т. к. 50 долларов для них не сильно большая сумма и если убытки меньше - они на расследование больше потратят. Плюс промо неплохое и повышает доверие к кредиткам.

Beekeeper смотрите. Снят в 2022. Если вы ещё не нагуглили ответ. А вообще про расцвет Phone scam ещё до ковида писали. Ну и понятно, что скам выгодней в богатых странах без ограничений переводов за границу и в крипту, там и работают жулики.

Мне советуют The Beekeeper на imdb со Стетхемом, фильм 2024 года вроде. Не оно?

    Оно-оно

    Можно получить что-то типа Пейпала, который любит блокировать счета по подозрению, во время месячника борьбы за безопасность и просто на всякий случай.

    Да, можно. Но вы же не просто так написали "пейпал" - он уже стал легендой в этом плане, я ведь понимаю о чем вы. И если банк постоянно блочит - люди про это будут знать, и будут решать сами, насколько для них это проблема. Неотъемлимое преимущество пейпала в том, что им ведь можно и не пользоваться :-)

    типа Пейпала, который любит блокировать счета по подозрению

    опытной группы профессионалов, использующих научно обоснованный алгоритм!

    Это добровольно-принудительно делается с кредитами и кредитными картами в виде одного-двух дополнительных процентов кредита в год.

    Банк без отделений, это так современно, говорили они... Вот интересно, а сколько лет известно например про сим-своппинг? 10, 15 или больше?... Долго наверное ломал свой электронный мозг хваленый ИИ в антифрод системе, как же решить эту сложнейшую проблему, и наконец придумал. А зачем нам усложнять то жизнь мошенникам? Ведь для угона номера им, бедолагам, приходится ходить в офис опсосов... Давайте просто менять номер по видео связи! И никому вообще никуда не придется ходить...

    Кстати, сейчас очень много готовых сетей с присутствием у каждого дома (ПВЗ озон-вайлберриз, магниты, пятерочки). Можно даже банки обязать верифицировать клиентов друг для друга. То есть, если куда-то нужно доставить свое физическое лицо для сверки - не обязательно, что банку придется по всей стране открывать офисы. Достаточно договориться с теми, кто уже открыл.

    Что-то подобное вроде у Вебмани было, только там всё же была специальная должность.

    Там была система аттестатов.

    Если вам хочется начальный аттестат - вам нужна личная (потом добавились еще варианты) встреча с владельцем персонального или выше у которого стоит отметка что он согласен начальные выдавать, на которой он проверит паспорт. Оплата - сколько владелец персонального захочет. Насколько помню - владелец персонального потом скан должен был скинуть выше. Деньги пойдут частью ему а часть - уровнем выше за проверку тех данных. Персональный хотите - вам к владельцу аттестата регистратора.

    И так далее.

    При общении - видно какой аттестат у другой стороны. Там их много разных.

    А можно ваш мудреный текст перевести на простой русский язык?А то приходится констатировать:интересно...,но ни хрена непонятно,что хотел комментатор сказать.Начальный...персональный аттестат...Что вообще за хрень такая?

    Аттестаты - просто разные уровни подтверждения с разными лимитами (вебмани любили называть всё упорото по-своему и весьма странно), и для того, чтобы получить подтверждение уровня N, надо найти человека, у которого уже есть уровень N+1 или выше.

    Описание текущий версии системы (немного отличается от описанного мной, в сторону еще большего усложнения) - https://wiki.webmoney.ru/projects/webmoney/wiki/attestaty

    Совсем простыми словами изначальную версию @svosin описал.

    А насчет запутанности - интересно как вы оцените например все многообразия способов входа в систему у webmoney.

    Только отделения самих банков, с правильными регламентами и фото-видео съемкой. То что вы предлагаете по сути уже есть в виде офисов опсосов. В случае чего из такого офиса вы не получите даже фото того, кто приходил с липовыми документами.

    Мне кажется, эта проблема решаемая. У Озона ПВЗшки вообще всякие ИП делают, тем не менее, каждый ПВЗ соответствует всем регламентам. Если за верификацию каждого пользователя будут платить N рублей - то там и камеру перевесят как надо и хранение записей сделают.

    Глупости какие... Знаете что нам на суде представитель МТС сказал, когда запросили данные того, кто пришел с липовой доверенностью? Что этот человек не давал согласия на разглашение своих персональных данных. Смеялась даже судья.

    А дальше что было? На нет и суда нет?

    Там суд против МТС был, а не против того, кто доверенность нарисовал.

    Вы таким образом доверяете всю систему одному клерку в ПВЗ в селе Зюпаново. Куда один особо ловкий мошенник устроился по поддельным документам, насверял остальным всякой лажи, и растворился в закате.

    Банковсим мелким клеркам (которые устроились по поддельным документам) мы же доверяем? Если в банке выше проверка - окей, пусть тот же ПВЗ для получения этой фишки высылает данные в банк. Проверить одного оператора проще, чем проверить 500 человек, которых уже проверит он.

    Ну и другие методы есть. Скажем, ПВЗ или сотрудник должны работать долгое время. Мошенники любят быстрые схемы, а если для нее надо полгода честно работать - им сразу не интересно.

    Да просто взять пример с вебмани и их сертификатов разных уровней и сделать разные уровни проверки.

    То есть, если куда-то нужно доставить свое физическое лицо для сверки -
    не обязательно, что банку придется по всей стране открывать офисы.
    Достаточно договориться с теми, кто уже открыл.

    У Киви и Яндекс.Денег (когда они еще так назывались) была такая опция верификации. Приходишь в магазин Евросети, показываешь паспорт, платишь 50 руб и твой номер с кошельком верифицируется и поднимаются лимиты на операции по кошельку.

    Кстати, сейчас очень много готовых сетей с присутствием у каждого дома (ПВЗ озон-вайлберриз, магниты, пятерочки).

    А знаете, сколько у сотрудников зарплаты? А знаете, за сколько они согласятся "верифицировать" кого угодно?

    при наказании за это? думаю, на тех же условиях, как и операционистка в банке или девочка в окошке на госуслугах. Или, думаете, все подлые и продажные идут в Озоны, а все честные и неподкупные в МФЦ? :-)

    Ага. То-то много как наказывают сотрудников мобильных операторов, выдающих дубликаты симок.

    Метко подмечено, но мне кажется, этому есть объяснение. Оператору нет нужды напрягаться (и нести расходы) на эту тему, проблемы негров - не проблемы шерифа. А вот, если гипотетические ПВЗ озона начнут на этом зарабатывать, у них будет стимул получить этот контракт и эту возможность. И чтобы получить его - они пойдут на соблюдение требований.

    Почему-то же условия в банке или МФЦ отличаются от условий в офисе оператора связи и клерки с той же планеты там уже гораздо более законопослушны. Значит, нужно просто создать условия более похожие на банк и менее похожие на офис оператора.

    Тиньков честно скопировал "банк без отделений" с американского Capital One. И даже лицензировал какой-то софт у них, насколько мне известно. Так вот, у американского Capital One совершенно стандартная политика zero liability. И есть стандартный протокол действий в случае фальшивой идентификации. См. например

    https://www.capitalone.com/bank/money-management/financial-tips/dealing-with-identity-theft/

    Класс, не знал. У нас обычно если про американцев говорят, то кроме бумажных чеков не вспоминают ничего)

    А что не так с бумажными чеками? Удобнейшая вещь при оплате, к примеру, задатков или какого либо отложенного по времени платежа. Правда в итальянских банках "без отделений", вроде ING Direct или n26, к сожалению не обслуживают чековые книжки и чеки.

    Так это не ко мне вопрос. Просто ну вот часто в таком ключе преподносится - мол вот какая у них архаика.

    ну-ну. надеюсь у нас еще эта "архаика" будет долго. уж больно удобная "архаика"

    • Мошенник позвонил с неизвестного номера, сообщив, что старый ему не принадлежит и телефон срочно нужно заменить.

    Странно вообще, почему не позвонили по старому номеру чтобы разобраться в ситуации? Ведь то что он более не принадлежит владельцу известно лишь со слов неизвестного с неизвестным номером. Да и вообще подтверждение личности ТОЛЬКО лишь по одному видеозвонку в сомнительных условиях выглядит очень странным. Является ли сотрудник поддержки, проводящий звонок, компетентным чтобы отличить deepfake от реального лица (вопрос риторический)?

    PS
    Надеюсь автору не придется доказывать банку что это не он опустошал кредитку. Учитывая что Тинькофф банк исполняет, то могут сказать что-то типа - взлом взломом, а денежки с кредитной карты вернуть вам придется...

    А каким образом по вашему должен банк подтверждать личность, у которого нет отделений?

    С помощью выездного представителя

    Ну ок, лучше чем ничего, конечно

    мало того - еще он (представитель) фото клиента с развернутым паспортом делает.

    Круто, но можно перекупить всех представителей в городе, особенно небольшом, наркодилеры так делают, например.

    И я уверен, огнестрела у бандитов явно побольше, чем у банка с единственным офисом и местного районного отделения полиции. Вот что они им сделают?

    Так что при таком раскладе можно сверять "кого надо" сверять и подтверждать личность "кого надо" тоже. Это миллионы, если не миллиарды, чистого Кеша за пару месяцев, пока схема работает.

    Ну, я бы так и сделал.

    Ну одно дело скам, с разводкой на доступ к учетке, процесс, который может даже школьник организовать. А другое дело ОПГ, которое имеет огнестрела больше городского отдела полиции. Вторые скорее будут не пароли тырить, а наркотой торговать

    Всё равно реальный человек-верификатор намного лучше. Его можно арестовать и начать с него раскручивать всю цепочку ОПГ. Да-да, он и скрыться может и по поддельным документам работать, я это знаю. Но всё-таки это реальный живой человек, который физически находится (или по крайней мере находился) в стране и городе потерпевшего, от которого могли остаться какие-то следы, зацепки: номер автомобиля, на котором он приезжал, лицо на камерах наблюдения, попадание в логи IMEI его телефона в логи вышки ОпСоСа.

    Видеозвонок через интернет это просто набор цветных пикселей. Он может быть произведён из-за границы, обёрнут в 10 VPNов, быть полностью синтезированным: и окружение в кадре и человек, шансы докопаться до истины тут просто нулевые. Не говоря уже о том, что масштабируется на десятки, сотни, тысячи потерпевших такое мошенничество несравненно проще.

    Поэтому считать эти два способна верификации равноценными я считаю абсолютно некорректно.

    Как-то у вас не "бьётся" по масштабам "перекупить всех представителей в городе, особенно небольшом, наркодилеры так делают" и "миллиарды, чистого Кеша", даже "за пару месяцев" (миллиард за пару месяцев - это 16,666(6)... миллионов в день).

    Ну как минимум сначала кодовым словом - это то, чего нет в базах персональных данных.
    Лично я, хоть и мне нравится удобное приложение Тинькова - пользуюсь им редко, когда интересные категории кешбека попадаются, а никак не основным банком.

    Потому что пару лет назад я чудом успел заблокировать все карты, когда мой аккаунт взломали. Причем смену номера телефона произвели, несмотря на то, что часть вопросов была отвечена неправильно, а главное - кодовое слово вообще не было запрошено!
    О взломе я узнал, когда мне прилетело СМС от Тинькова о смене email - наверное, начинающий мошенник попался,поменял почту до смены номера. Позвонил - и мы, наверное, параллельно с ним общались со специалистами.
    Потом было долгое разбирательство, перевыпуск карт - но больше в этом банке я большие суммы денег не держу.

    Никогда, еще раз - НИКОГДА нельзя использовать кодовое слово для подтверждения чего-либо. Только для блокировки карт... Кодовое слово хранится открытым текстом, доступно сотрудникам и прекрасно сливается со всеми остальными данными...

    Ну если его так хранят - то вообще нет никакого доверия банкам. Хотя Кодовое слово входит в перечень конфиденциальных данных, знать которые должен только владелец карты.

    Пускай и базы клиентов открытыми хранят, чего уж там... Всё равно сливаются базы как та же Альфа недавно. Проверил - там все карты кроме недавней виртуальной были

    Возможно вы сильно удивитесь, но даже номер карты в такой перечень не входит. Платежными системами не запрещено например выдавать карты клиенту без конверта, то есть в открытом виде. К тому же, ранее было обычным дело передавать карту в руки продавцу, официанту например... Никому ведь не могло прийти в голову когда придумывались эти правила, что банки додумаются использовать номер карты в качестве доступа ко всем счетам клиента...

    как же можно прятать кодовое слово от сотрудников, если они должны его у вас спросить и сверить?

    Все просто. Оно не должно использоваться ни для каких критичных операций. Можно использовать для блокировки карты например.

    НЛО прилетело и опубликовало эту надпись здесь

    Ну это не будет работать, потому что могут быть нюансы в написании. Код именно должно быть очень просто передать голосом, для нектритичных операций - он именно для этого изначально и придумывался. Код не должен использоваться в таком же формате как и пароль.

    Для такого случая citi bank придумал передавать код, известный только клиенту, в процессе общения с оператором в тональном режиме, так же он и устанавливается. Таким образом, авторизация происходит силами самого клиента в автоматическом режиме и сотрудник банка не имеет доступа к этой информации.

    В Русском Стандарте в то время когда я им пользовался (в конце нулевых) кодовое слово представляло собой 5 цифр и поддержка при необходимости подтверждения запрашивала 3 случайных их них: "назовите третью цифру, назовите пятую цифру, назовите вторую цифру". Запрашиваемые позиции, конечно, всегда были разными.

    Как по мне - неплохой вариант, поскольку не даёт оператору всей информации и даже не оставляет полной информации при тотально применяемой сейчас записи разговоров с поддержкой. Одновременно с этим довольно простой для того, чтобы им могли пользоваться люди, не привыкшие относиться к безопасности серьёзно, поскольку объём запоминаемой информации очень маленький.

    кмк у сотрудника не должен быть удобный интерфейс для просмотра всей базы. Посмотреть данные о Васе Пупкине можно только если нам позвонил Вася Пупкин и только во время звонка. Ну и если сотрудник техподдержки за день обслуживает 60-70 заявок, нельзя чтобы он вдруг открыл профили 200 клиентов в сутки.

    Зачем ему их открывать? Ему голосом кодовые слова сами клиенты говорят.

    Очень немногие. Сколько звонков за день он принимает? Это не те объемы, чтобы сливать. Да и он может не знать полные данные человека, не видеть его полный номер даже (ему ведь уже позвонили и система уже знает, совпадает или нет). Не может их записывать в тетрадку (если там есть наблюдение).

    Я подозреваю, что у Freedom Finance сделана подобная штука. При общении с саппортом нужно произнести присланный код. Я предполагаю (точно не знаю) что саппорт сам не может открыть профиль произвольного юзера - только если он позвонит.

    В смысле не те объемы? Каким образом вы это считаете? Этого более чем достаточно, для одного человека.

    Я представил утечку в 1000+ кодовых слов, и мне кажется, неправдоподобным, чтобы она произошла от оператора, который эту 1000 месяцами копил. Все таки это риск. Мне кажется более вероятным (для крупной утечки) когда есть относительно безопасный способ слить всю базу или ее большой кусок за раз, а не тысячей лотереек "поймают меня сегодня или нет".

    Гадание на кофейной гуще... Могут сливать целевых клиентов. Но это все не очень важно. Достаточно сказать магическое заклинание оператору "я забыл код", и этот код уже не нужен.

    Давно придумана система одноразовых кодов. Клиенту высылается одноразовый 4 значный пинкод по всем каналам связи которые он оставил. Он его называет сотруднику техподдержки и только введя его сотрудник техподдержки получает доступ ко всей информации клиента. Срок действия пинкода один раз или минут 15.

    Первично использовать курьера. Но далее нужно использовать 2х-3х факторную аутентификацию, и это будет безопаснее, чем использовать только биометрию.

    Да, только банков с такой двухфакторкой - единицы.

    Неужели есть хоть один ;)?

    Авангард вроде бы раньше был... Сейчас не знаю.

    Авангард работает. Ну вот здесь писали, что вроде юникредит еще держится. Еще слышал про Сбер, но для счетов ИП. Про физиков больше не слышал, все сдулись.

    А в авангарде действительно можно сделать так, чтобы имея доступ к смс итп не было возможности обойти отсутствие кодогенератора ? Или по звонку его тупо отключат дистанционно итп ?

    Без понятия, если честно. На сколько я знаю у них раньше было восстановление пароля только через офис. Также, на крупных операциях нельзя использовать sms, там просто кнопки такой нет.

    До 30 000 можно выбрать подтверждение по СМС или одноразовый код с карты. После 30 000 только карта.

    Один из компромиссных вариантов - временно ограничивать счет, допустим, на месяц, пока пройдена только проверка 1го уровня. Полное снятие ограничений либо после проверки 2го уровня (физ. встреча), либо через месяц-два автоматически (если не будет оспорено).

    Потенциально получаем способ устроить DoS атаку

    Ну моя идея, чтобы вместо того, что сейчас дает полный контроль за счетом, давать лимитированный. Сейчас все хуже, чем DoS атака - у тебя просто уводят все деньги и ты тоже не можешь ими пользвоваться.

    Ну и если таки кто-то это смог, то хозяин может вернуть все назад и возможно устранить проблему, чтоб не повторилась.

    А почему они тогда карты не выдают по видеосвязи, а присылают какого-то чудика, который вас фоткает?

    Ну это был типа сарказм

    Кстати, полагаю, что фоткает он вас не от недоверия к вам, а от недоверия к нему. Вот как раз, чтобы он не мог понаделать счетов на вымышленные имена. Поэтому должен и паспортные данные получать правдоподобные и фотографии.

    ЭЦП

    Ну они же уже собрали биометрию хитрым способом ( по сути подтверждением является вход в приложение) и решили, что могут использовать ее как хотят. Мы собирем у вас все данные, а вы придумайте как их защитить, если они "случайно" утекут.

    А у банка в этой ситуации можно отсудить украденные мошенником деньги? Все же именно банк допустил ошибку и верифицировал мошенника под дипфейком.

    А вообще перестал пользоваться их услугами из-за очень классной техподдержки, у которых одно решение на все проблемы - вот тебе новая карта.

    В рамочку и на стену

    одно решение на все проблемы - вот тебе новая карта.

    А новая карта это что? Правильно, новая фотосессия с паспортом для Представителя при ее получении...

    А ещё вы не можете поменять лицо и голос, поэтому мошенник может спокойно продолжать использовать вашу биометрию против вас. Именно поэтому я отозвал свои биометрические данные (которые были собраны без согласия) из Тинькофф и других банков.

    А еще голос может искажаться при болезни, а лицо в месте со слабым светом плохо видно, поэтому это не только не безопасно, но и может создавать проблемы самому владельцу.

    Я вообще не представляю, как люди сверяют лицо.

    Как AI может сверять лица - понимаю - там магия.

    Как на границе сверяют - понимаю - там тоже магия, их в особых спецшколах учили по методикам КГБ.

    Но как сверяет лицо сотрудник Татьяна или Михаил - я не понимаю. Они неделю назад искали работу. Сегодня работают в банке. При этом, люди не молодеют, и человек через 3 года уже не слишком похож ни на свое фото в паспорте (последний раз меняется, напомню, в 45. А клиенту банка может быть и 70), ни на свое фото при открытии счета.

    Подозреваю, что сверяется через вербальное представление "тааак, он лысый и еще с усами как у моего дяди Сережи", а что там у нас на фото - "ну да, лысенький тоже и усатый". Вся уникальность лица при визуальной сверке упрощается до 3-10 бит (лысый/волосатый, тощий/жирный, мужчина/женщина, урод/симпатяга, нос обычный/кривой).

    Вся уникальность лица при визуальной сверке упрощается до 3-10 бит

    По правильному - больше https://ru.wikipedia.org/wiki/Словесный_портрет#Голова . Часть признаков "пожизненные" (соотношения частей в основном).
    Раньше чтобы получить диплом охранника для частной охранной (где-то в нулевых), нужно было знать чуть больше чем по ссылке (пропорциям частей лица ощутимо больше уделялось в соотношении друг с другом), уходило на это несколько занятий и в экзамене было.
    Насколько это сейчас в банках реализуется - хз, но по большому счету распознавание с помощью ИИ это автоматизация этого процесса и скорее всего более надежная даже в плане сравнения с профессионалом среднего уровня, а дипфейки натягивающие лицо по сути подделывают сразу практически всё, т.к. они не генерят новое лицо, а накладывают реальное.

    немного не понял про затылок, там два параметра, у одного 2 варианта, у другого три?

    Я недавно видеопроверку проходил. Затылок не показывал. Даже ЕСЛИ они следуют этой методике, то там могли проверить 3 части, и у каждого 3 варианта... три в кубе, 27 всего! И это от организаций, которые требуют пароль длинее 8 символов, пусть каждый символ - 6 байт всего (64 комбинации) (то есть 2**48, триста триллионов). И они усилили этот пароль "ключом" из 27 комбинаций? Да у меня на сарае ключ похитрее. (самый дешевый из ближайшего магазина, механически ломается за минуту, но "криптографически", там явно больше 27 комбинаций ключа)

    А еще, вряд ли он это сверял с паспортом (хоть и видео его), фотку на паспорте, мне кажется, даже глазами разглядеть тяжело, не то что через веб-камеру.

    Даже ЕСЛИ они следуют этой методике, то там могли проверить 3 части, и у каждого 3 варианта... три в кубе, 27 всего!

    Не поняли как у Вас 27 получилось. Даже по голове - это 4 оценочных критерия, каждый с 3 вариантами, это уже 3^4=81. А ведь кроме головы есть еще 12 разделов (рот, глаза и т.д.), более вариативных (везде больше чем 4 критерия и больше чем 3 варианта), но даже если брать тот же 81 вариант на 1 часть тела, то это будет 81^12= до фига короче.

    немного не понял про затылок, там два параметра, у одного 2 варианта, у другого три?

    Сложно сказать, тут википедия честно говоря очень упрощенно все дает, если тема интересна - поищите в учебнике по криминалистике раздел. Научной теме опознания как по словесным портретам так и по фото уже несколько веков минимум, там всё проработано. Другой вопрос насколько разглильдяйски используется.

    Это я затупил тут, признаюсь, только форму головы учел.

    Полагаю, никто не удивиться, если так же поступят и банковские писатели биотметрической опредлелялки :)

    А что скажете про одного очень известного человека, по этой методике он один или их несколько ?

    При этом, люди не молодеют, и человек через 3 года уже не слишком похож ни на свое фото в паспорте (последний раз меняется, напомню, в 45. А клиенту банка может быть и 70), ни на свое фото при открытии счета.

    В нашей семье была такая ситуация. Бабушке как раз больше 70, болеет, сидит дома, за неё ходил снимать пенсию с карточки родственник. Родственник внезапно умирает. Кроме него PIN-код никто не знал. Звоним в Сбербанк с целью сменить PIN, но техподдержка желает общаться только с владельцем карты, что пожалуй правильно. Но бабушка ввиду деменции объяснить уже ничего не может. Говорят везите её в банк. Ну что поделать, повезли, под руки вносим в отделение, ибо уже ходит с трудом, объясняем ситуацию. Но сотрудник нас игнорит и пытается общаться с бабушкой. А та уже ответить ничего не может и едва понимает что происходит. Мы даже не можем доказать что её родственники, ибо фамилии у нас разные. Тягостная ситуация сама по себе, так ещё и сотрудники банка напряжены, для них вся ситуация выглядит как «какие-то мошенники нашли доверчивую старушку и пытаются украсть у неё пенсию». Мы всё пытаемся объяснить ситуацию и доказать, что ничего плохого не задумали. Сотрудники смотрят фото в паспорте бабушки - там 45-летняя моложавая женщина без единой морщины. А перед ними сидит сгорбленная вся в морщинах сухонькая старушка. Два сотрудника операциониста + старший смены втроём минут 10 стояли рассматривали паспорт и её, сравнивали, но всё-таки отказали, дескать, слишком большие различия. Мы тогда ушли ни с чем, пришлось потом оформлять недееспособность и опеку.

    Какой вывод можно сделать? Наверно сотрудники Сбера всё-таки правы. Любые серьёзные действия проводят лишь при личном присутствии в банке + при наличии сомнений предпочитают перебдеть и отказать. Привет Тинькоффу. Также это лишний раз показывает, что метод визуального сравнения с паспортом ненадёжен. Хорошо что тут случилось ложно-отрицательное срабатывание, а не ложно-положительное. Я невольно задумался над тем, как было бы проще, если у банка были отпечатки пальцев бабушки.

    А вы бы хотели оставить свои отпечатки банку, чтобы в 70 лет снять деньги без проблем? Или предпочтёте просто регулярно обновлять фото в паспорте?

    Вот мы когда про безопасность говорим, часто вообще упускаем этот момент, полагаем, что человек достаточно самостоятельный. Юридически, наверное, опека нужна, но более просто было бы, если бы в банке можно было оформить доверенное лицо. Чтобы человек, пока еще в более-менее светлом уме мог бы добавить туда супруга, детей, да хоть соседку.

    Там есть проблема. Находясь "еще в более-менее светлом уме" (но сваливаясь в деменцию) человек уже никому не доверяет. Ведь с его точки зрения его непрерывно обманывают! Воруют деньги, еду, перекладывают предметы, прячут очки. И родственники под это попадают первыми - они же рядом.

    Никакой нотариус в таком состоянии человека доверенность не оформит. Честно скажет, что не уверен, что человек понимает смысл действий.

    Раньше, кста, можно было так сделать. Я на тётку оформлял типа "доверенность" в отделении банка. А она потом спокойно снимала деньги с моего счёта не беспокоя меня.

    Ну по хорошему - там не ложноотрицательное случилось. Даже если бы признали что она это она, следующим пунктом стояло бы что вот эти действия хочет выполнить именно она, а не странные сопровождающие. И вас бы снова должны были завернуть.

    Практика смены паспорта в 45 лет и до конца жизни - порочная, в Беларуси давно отказались и паспорта выдают на 10 лет максимум. Ну а если бабушка впала в деменцию, то назначается опекунство.

    Как люди запоминают и сверяют лица..
    Ездили большой компанией на Бали. Официантка принеся заказ металась глазами между мной и блондинкой пытаясь понять кому. Как она бедная смущалась, когда весь народ за столом просек ситуацию и заржал.

    Заржал не вежливо, но уж очень смешно когда идентификацию только по оттенку волос.

    металась глазами между мной и блондинкой

    уж очень смешно когда идентификацию только по оттенку волос.

    А ведь надо было по размеру груди!

    Лысому мужчине нужно отращивать усы, чтобы официанты говорили между собой - "принеси кофе тому усатому" (а не "тому лысому").

    Какой то адский ад просто, очень хреново у вас там в 2024, натуральная антиутопия как в кино, у меня в 2009 с кирпичем, наличкой и криптой намного лучше.

    Мы подождём, сами к нам приедете.

    "С криптой" в 2009-м? Это когда пица за 10К биткойнов? Оригинально!

    Это когда чтобы её не купить не надо было сливать документы и биометрию.

    Вот я тоже слегка откатился назад. Например добился полного запрета на ДБО в банке, где храню ту часть средств, которую доверяю банкам, а не святому матрасу. С отсутствием биометрии и прочего - очень надежно получается - раз в месяц сходил в отделение, докинул на счёт наличных и спокойно дальше отдыхаю, когда вдруг надо денег - зашел в отделение, заказал наличные, потом пришел и снял, по телефонам, смсам и всяким приложениям фиг, а не снять что-то. И удачи поклонникам потинька, давно оттуда надо было когти рвать. Да и с криптой можно по прежнему пить оооочень дорогой кофе в одной знаменитой башне.

    К сожалению это нереально для большинства банков.

    Хотя вроде бы, можно теперь часть счетов от онлайна в Сбере отключить. Но я не пробовал...

    В почти любом интернет-банке можно настроить двухфакторную идентификацию, секретный код на списание и перевод средств. Периодически секретный код можно менять, как и кодовое слово., всякие face id нужно отключать и не использовать. Это максимально усложнит мошенникам взлом и кражу денег с ваших карт и скорее всего мошенники предпочту менее защищённые аккаунты. Многие просто этого не знают или пофигисты.

    Туфта это все, точно также обходится через смену сим карты например и легенду про потерянный телефон.

    Секретный код с телефоном не связан. Даже если поменять номер телефона секретный код знаете только вы.

    Не знаю что такое секретный код. Всю жизнь для этого использовался пароль. А кодовое слово подходит только для блокировки карты и более не для чего.

    В альфа банке можно зайти в приложение на телефоне по секретному коду или по опечатку пальца. Есть настройка ввода этого кода и на списание средств. Я менял номер телефона, секретный код остался прежним. К номеру телефона он не привязан и поэтому его можно использовать как дополнительную защиту от кражи со своего счета, если забыл, то только через визит в отделение банка можно восстановить.