Комментарии 679
В 2021 году была близкая по теме статья про театр безопасности https://habr.com/ru/articles/537980/
Все играют в охранников и изображают что что-то охраняют.
Это уже не просто игра, а шоу-бизнес с соотвествующими бюджетами. От размера этих бюжетов(а так же от особенностей их проедания) - собственно и проблемы.
Притом тупо зарегистрироваться с TOTP вместо номера телефона и SMS как второго фактором почти нигде тупо нельзя
Вот почему то поселеднее время я больше это такое вижу в местах где надо безопасность-потому-что-ну-все-знают-что-это-важно (а еще - есть либо регуляторные требования знать пользователя либо "неофициальные" пожелания), оно может быть опционально но будут убеждать.
При этом - есть и другой подход (в России ни разу не встречался): Пользователь не хочет телефон? Так мы его и запрашивать не будем (даже если захочет - не факт что дадим указать), если по нашему мнению в конкретном случае пароля - мало но других способов нет...почту то пользователь указал и подтвердил, вот и будем туда слать код который несколько минут действует, и будем намекать пользователю что стоит включить нормальный 2FA, с резервными кодами, TOTP, может быть и с резервным доступом по телефону (но не факт).
Потому что восстановить номер телефона проще (и потерять сложнее), чем восстановить сам телефон с аутентификатором, который, например переехала машина разломив флешку пополам.
Вот когда это все будет в чипе в мозгу, который сложно потерять не умерев, тогда и перейдем на тотп без смс.
Надёжностью TOTP управляет пользователь. О восстановлении надо думать заранее, да, но хотя бы можно его организовать самостоятельно.
Номер же находится в руках оператора. А SMS восстановления - в руках SMS шлюзов, которые могут просто перестать работать с вашим оператором.
Ага. И пользователи в 95% случаев некомпетентны (перефразировал цитату с лурка), им не надо что-то восстанавливать данные, им надо "верните мне доступ!!!" в ТП.
Повторюсь, случаев с неожиданным выходом из строя мобилы на порядки больше, чем утерь номера телефона.
TOTP совершенно не обязан храниться на мобиле или на одном устройстве в принципе
Ваш собеседник прав, для большинства людей фактор SMS будет лучше по причине некомпетентности в конфигурировании надёжных средств TOTP. Главный вопрос в том, почему банки и прочие сервисы не предлагают TOTP как альтернативу SMS... Но боюсь, что ответ здесь — тирания маржинального пользователя.
Номер телефона, зарегистрированный три страны и пятнадцать лет назад может быть вот вообще ни разу не проще восстановить.
Будем объективны, количество людей которые хотя бы один раз в жизни меняют страну проживания в процентном соотношении несущественно, а пересечение "меняет место жительства + пользуется нашим сервисом" совсем ничтожно. Про три страны даже речи не идет, это доли процента, и подстраиваться под них явно никто не будет.
Я в целом за системы привязки к номеру телефона, это чаще всего даёт приемлемый уровень защиты от угона, проблема ТС находится в другой плоскости, а именно абсолютная бесполезность технической поддержки. В идеальном мире ТО выслушает пользователя, запросит дополнительные данные и в ходе успешного расследования выдаёт доступ к аккаунту, но чаще вас просто пошлют на 3 буквы, и вот это уже проблема.
идеальном мире ТО выслушает пользователя, запросит дополнительные данные и в ходе успешного расследования выдаёт доступ к аккаунту
И создаст всякие угрозы Social Engineering, когда злодей забалтывает поддержку, чтобы она дала доступ к учетке кого-нибудь интересного.
Это как раз решается проще всего, через четкий регламент, когда сторона ведущая расследование, принимающая решения, и исполняющая его, это разные люди. Никто не запрещает изучать человека вплоть до запроса документов. Все же это довольно редкий случай, как следствие он не несет больших накладных расходов.
Никто не запрещает изучать человека вплоть до запроса документов.
И с чем их сравнивать? Обсуждаемый сценарий-то такой, что человек средств доказать, что "я это я" сервису, в обще, не предоставил.
Все же это довольно редкий случай, как следствие он не несет больших накладных расходов.
Я вот не уверен, что он будет редким, если подобная возможность будет существовать. Именно мошенники всю эту систему за-DoS-ят обращениями "Спасите, помогите".
Если мы говорим о серьёзных вещах вроде почты или банковского счета, у сервиса всегда достаточно данных для точной идентификации и легкого отсеивания злоумышленников уже на первых слоях проверки. Впрочем никто не запрещает добавить ещё что-то обязательное при регистрации.
Если же говорить о всякой мелочи где не фигурируют деньги, да это займет больше времени, вплоть до просьб вспомнить что последнее делалось с аккаунта и т.д. Но и злоумышленникам такие вещи куда менее интересны, и их потеря куда менее болезненна.
И всё же. Я не хочу доверять безопасность третьей стороне (опсос в целом + законы страны выдачи SIM-карты + социнженерия на уровне конкретного ларька, где можно перевыпустить карту с моим номером). Я хочу кнопку "да, я хочу использовать TOTP (passkey, одноразовые коды) и знаю, что делаю".
Но, очевидно, привязка к номеру телефона делается не только и не столько для безопасности учётки пользователя.
А если метеорит прилетит и все расфигачит так вообще фиг что восстановишь.
К чему это я... Не надо приводить редкие кейсы в качестве пруфов превосходства одной технологии над другой. Ситуация с разбитым телефоном или сдохшей в нем флешки куда чаще переездов и потери номера.
МНу про потерять сложнее вопрос открытый. Вот есть у меня основной телефон для паролей. По нему нет Транзакции пару (условно) месяцев и все - мы его теряем.
Потому что восстановить номер телефона проще (и потерять сложнее), чем восстановить сам телефон с аутентификатором, который, например переехала машина разломив флешку пополам.
Авторизатор быстро и просто восстанавливается доставанием из тумбочки/чемодана запасного телефона. Который привязан к той же учетке и поэтому приложения авторизатора синхронизируют свои базы.
Причем восстанавливается - не посещая никаких офисов, не обращаясь ни к каким операторам и не вытаскивая случайно оставшихся цылыми SIM-ок из аппарата, который переехала машина.
Да, только чтобы зайти в аккаунт на новом телефоне (а особенно в сильно разнящейся локации) что нужно сделать? Правильно как-то подтвердить, что это вы. Как? На ранее использованном устройстве - нельзя (мы его например потеряли). Получить СМС - тоже.
Да, только чтобы зайти в аккаунт на новом телефоне (а особенно в сильно разнящейся локации) что нужно сделать?
Но свежекупленой замене?
Подтвердить логин на том самом запасном телефоне(древнем, тормозном, но вполне рабочем) из тумбочки/чемодана. Он же там должен не в фабрично-чистом виде лежать, а привязанным к той учетке, что использовалась на основном телефон, что потеряли.
Я вожу с собой второй телефон. Раньше возил именно на случай "если что-то случится с основным". Теперь исключительно потому что на основном нет esim, а нужно периодически (и не предсказуемо когда) пользоваться ещё 5 номерами, которые не "влезают" в основной. Знаете сколько моих родственников, друзей и знакомых возит с собой второй телефон? Ровно 0.
Но, хорошо, у меня есть второй телефон, и я (скорее всего) войду в гугль, яндекс и какие-то ещё немногочисленные сервисы (но есть приложения, которые выкидывают из аккаунта, если вы ими постоянно не пользуетесь).
Есть сервисы (в основном финтех) которые при входе на запасном телефоне, деавторизуют вас на первом. Соответственно, "проложиться" заранее не получится: при потере телефона1, они у вас попросят как-то подтвердиться на телефоне2. При этом некоторые (особенно китайские) сервисы предлагают (при наличии у них например почты, номера документов, номера телефона, одноразовых кодов, возможности подтверждения на другом устрйостве и т.д.) возпользоваться конкретным способом подтверждения, который ОНИ хотят, чтобы вы использовали именно сейчас. И, поверьте, как назло в этот раз выбран будет именно СМС/звонок или вход на другом устройстве. Поменять выбор подтверждения вам практически никто не предлагает. =(
Поэтому это всё хорошо, но как-будто бы я согласен с автором, что старый добрый пароль keepass ( + его бэкап) и карточка кодов (или как вариант заранее нагененренные коды). Выглядят более жизненным вариантом восстановления доступа. Тем более вы можете их хранить одной копией в том же кипасе, второй дома в комоде, а третьей у родителей в 48 томе собрания сочинений В.И.Ленина.
Знаете сколько моих родственников, друзей и знакомых возит с собой второй телефон? Ровно 0.
Ну возить с собой -- это больше когда в командировку/отпуск. В общем, далеко от дома. Не брать с собой запасной аппарат в таком случае немного неосмотрительно.
Поэтому это всё хорошо, но как-будто бы я согласен с автором, что старый добрый пароль keepass ( + его бэкап) и карточка кодов (или как вариант заранее нагененренные коды).
В этой ветке (началась тут) обсуждается почему номер телефона как второй фактор победил.
Так что пароли/коды помогут, это да. Только их тоже надо не забыть с собой взять, чтобы на свежекупленном аппарате воспользоваться.
Так что пароли/коды помогут, это да. Только их тоже надо не забыть с собой взять
Но я могу не забыть это сделать. Это зависит от меня. А в текущей ситуации с "безопасностью", я объект отношений. От которого очень мало что зависит.
В этой ветке (началась тут) обсуждается почему номер телефона как второй фактор победил.
А Вы пробовали восстановить симкарту в другом регионе? Я пробовал - не получилось. Одно время даже в Московской области нельзя было восстановить московскую симку (лет 15 назад на даче симка окирпичилась - пришлось ехать до Москвы, вместо ближайшего посёлка). Не уверен про сейчас, и про всех операторов, но лет 5 назад в Ставропольском крае мне категорически отказались выпускать симку к московскому номеру (хотел её переставить из резервного смартфона в основной, т.к. в месте пребывания нормальное покрытие было только у МТС, а по размеру она не подходила - пришлось основным аппаратом сделать резервный).
Я вообще не понимаю, как жить без трех телефонов. Один фактор смс. Второй фактор емейл. Третий фактор OTP, и как только мы пытаемся затолкать два фактора на один телефон, мы теряем надёжность фактора. Это ещё финтех не берём, который в идеале должен работать на телефоне, где нет доступа к любым вышеозвученным факторам.
По хорошему, OTP должны быть на телефоне, который вообще никогда не выходит в интернет. Смски в общем-то тоже. Емейл без вариантов нужен интернет. Финтех нужен интернет. Понятно, раздать с одного на другой. И в любой поездке трястись, что если хоть один телефон украдут/поломается, то жизнь становится сильно сложнее.
Это ещё финтех не берём, который в идеале должен работать на телефоне, где нет доступа к любым вышеозвученным факторам.
Это просто от жмотства — «вон, у чувака же телефон есть, зачем ещё что‑то городить».
А солидные банки для солидных господ выдают
нечто подобное
Такие штуки только проблем создают. У солидного господина банков может быть несколько, стопку таких таскать куда менее удобно, чем один телефон. Увы, они теряются, и без содействия банка их не заменить. На них иногда разъезжается время.
Живу с одним телефоном, пароли простые, двухфакторка — только, если прям заставят. Пока мне не втемяшится сбрасывать бомбы на города — не вижу в этом никакой проблемы.
У меня и на дверях в квартиру — простейший замок, чтобы дверь ветром не открывалась. Мне удобство важнее потенциальной опасности быть обокраденным.
Ну вот я менял несколько раз телефон за последние 3 месяца. Куча TOTP-приложений. Проблем никаких! Их даже переносить не надо. Просто заходишь в нужный сервис с одноразовым кодом из ранее сгенерированного списка, подключаешь новое устройство, старое удаляешь, список одноразовых паролей генеришь заново, сохраняешь в любимом менеджере паролей. В чём проблема\сложность? Может просто надо немного погуглить\почитать и разобраться с тем как инструмент работает?
Ну вот я менял несколько раз телефон за последние 3 месяца
Падазрительна.
Ничего подозрительного. Вынужденно взял в 23 году xiaomi потому, что контора на гугле сидела, а мои любимые huawei под санкциями и гугловых сервисов нет. Костыли типа виртуальных машин и прочего не устраивают. В декабре 24 хотел сдать по гарантии и временно переехал на старый Huawei. Не получилось-срок гарантии прошел. Вернулся на xiaomi, в январе контора переехала на Яндекс и я наконец избавился от xiaomi и купил новый Huawei.
Не говорите.
Особенно меня бесит что если вдруг ты гдето всетки зарегистрировался без телефона то скорее всего при следующем входе твой аккаунт заблокируют и потребуеют ТАДАМ привязать телефон! Но позвольте. это новый аккаунт как это вам поможет? А никак! это давно средство контроля и рекламы!
И да я боюсь каждый раз потерять свои аккаунты на почтах разных служб потому что незнаешь как и что введут. Тот же мейл ру убрал когдато кодовое слово.
О! а еще вспомнил такую штуку как парольв почте для приложения где можно сгенерировать громадный нечитаемыый пароль для безопасности! но..... с..ка! если у тебя не привзяан телефон к почте ты НЕ МОЖЕШЬ ЕГО СОЗДАТЬ! Так что почта по протоколам поп3 и имаппросто в пролете. (кстати кто в теме....правда так легко подбираются почтовые пароли по этим протоколам что их все сейчас "отменили"? или это опять ПСЕВДО безопасность?
Да. пусть всеэто и все они горят в отдельном котле!
простите за некий смубур.
Отменили, потому что в вёб-интерфейсе можно показать рекламу (даже если её у вас режет юблок/adnauseam), а в выгрузке для почтовика по стандарту из восьмидесятых – ой
Более того, сгенерируешь такой огромный безопасный пароль — а система не даст его ввести, потому что «пароль не может быть длиннее 10 симолов».
В целом, вся идея пароля приложения в том, что доступ, который он предоставляет, ограничен конкретным протоколом
Что страшнее: потерять пароль с доступом на чтение писем или почтовый ящик привязанный к госуслугам, например? При этом, пароли приложений обычно еще и отзываются одним кликом
В результате, перебор паролей на почтовых протоколах стал практически никому не интересен, потому что: пароль не факт, что существует, а если существует, то брутить его долго, а если даже и сбрутил, то ничего особо там не сделаешь
я это знаю. меня возмущает принудиловка. я хочу сам решать рисковать мне или нет. Вы знаете сложно ли сбрутить простой 10 знак по имап? неужели нет тайм аутов и других средств. или хеши улетают или что??
И то что не дают создать пароль приложения БЕЗ привязки телефона. в итоге несколько устройств просто не могут принимать почту т.е. нет клиента подходящего под старую IOS без oauth2
К сожалению, почтовые протоколы имеют свои проблемы, в том числе и с безопасностью
Например, многие приложения грешат тем, что при малейших проблемах при аутентификации просят пользователя заново ввести логин и пароль. Поэтому защиты от перебора там плохо применимы
При условии, что пароль приложения увидеть можно только при создании, удовольствия в этом мало. Вот и приходится искать компромис: нужно выдать пароль, который в ближайшие пару лет не сбрутят при условии, что из защиты там в лучшем случае TLS шифрование, если клиент более менее свежий. Если старый, то все может и в открытом виде летать
Про время перебора я видел разве что вот этот перевод неплохой статьи - https://habr.com/ru/articles/812237/.
Тут нужна оговорка, что это оценка худшего сценария, когда злоумышленник сумели выгрузить себе базу с хешами и перебирает все локально, на своей ЭВМ
Ну и вторая оговорка, что это абстрактная оценка в среднем на пароль с одним rtx 4090 - на 5090 время будет ниже, а ещё можно поставить их параллельно
Про привязку телефона в этом контексте не в курсе, к сожалению - возможно и есть какой-то смысл
при этом если деньги с карты ушли, то виноват не банк или сервис, потому, что а почему сразу банк, а вы не вводили пароли на подозрительных сайтах случаем, не передавали доступ, не сообщали смс с кодом?
А когда то и дом можно было не закрывать, в основном правда потому что красть было нечего и люди непуганые были по недостатку информации.
Потеря основного аккаунта в 2005 и потеря основного аккаунта в 2025 году для многих отличается кардинально. На порядки возросло количество того что можно украсть в интернете. На много порядков возросло количество людей, на порядок понизился порог вхождения - в интернет вышли люди предельно мало понимающие в безопасности, например пенсионеры и дети. Некоторые страны поставили воровство на гос-службу (например КНДР), появились такие явления как кол-центры и т.п.
Битва безопасников и воров не прекращается, компании хотят сократить издержки и повысить безопасность одновременно, изобретая эвристики обнаружения подозрительного поведения и т.п.
Отвечая на вопрос в конце статьи я выберу свободу для всего не важного (десятки сервисов, на которых нечего у меня украсть) и выберу безопасность для критичных для меня сервисов. Но выбрать что то одно я не смогу.
Современная безопасность мнима, лжива, и сама по себе ввергает вас в разные реальные опасности. Безопаснее всего сидеть в цепях в клетке. Или вы всю жизнь живете на одном месте и пока еще не сталкивались с прелестями "безопасности". Мошенники грозят тупым и слабоумным, а безопасники вообще всем.
1. Как будете решать реальную проблему с превращением сим-карты в тыкву в роуминге?
2. Что для вас страшнее, остаться без денег из-за безопасников, или из-за мошенников?
Современная безопасность это все эти меры 2fa, контроль входа, но упс утечка, вот вам штраф 30тыщ. Все. Яндекс еда - привет
Или сами сотрудники оператора выпускают дубликат вашей сим-карты. Компания отказывается от ответственности. Все
Интересно, деффачки обоих полов в ВТБ-банке, которые навязывают программу на телефон, которая будет читать СМС-ки приходящие на ТОТ ЖЕ САМЫЙ телефон, и называющие это 2-факторкой, они реально тупые, или они сознательно занимают обманом доверия?..
называющие это 2-факторкой, они реально тупые, или они сознательно занимают обманом доверия?..
Из занудства. Оно все-таки слегка 2-х. Как бы. Немного. Если именно SMS-ки, а не пуши в это же приложение.
Оно будет фактором владения той SIM-кой, куда они приходят.
Подтверждающий пример: злодей ухитрился приложение поставить и в него залогинится на своем телефоне. Но к нему эти SMS-ки не приходят и поэтому у него будут затруднения в тех местах, куда они подставляются.
ну тогда это вообще тысяче-факторка, ведь надо овладеть КАЖДОЙ смской за каждый платёж
мне кажется очевидным, что тут оценивается "самое слабое звено", оценивается минимально достаточное количество факторов. И оно будет равно единице - контроль над телефоном, не важно физический или с помощью удалённого управления.
фактором владения той SIM-кой
...а симка стоит в телефоне, о чем я прямо написал выше и даже выделил :-(
Если именно SMS-ки, а не пуши в это же приложение
Это одно и то же, СМСки предназначенные для приложения операционка передаёт ему напрямую, для этого специальный API есть
И оно будет равно единице - контроль над телефоном, не важно физический или с помощью удалённого управления.
Вопрос, над каким телефоном. И какой степени. Можно контролировать тот телефон, на котором приложение стоит(злодей на собственный поставил) или том, куда SMS приходят.
Это одно и то же, СМСки предназначенные для приложения операционка передаёт ему напрямую, для этого специальный API есть
У меня банковские клиенты стоят на телефоне без всякой SIM-ки. И сообщения для одного из таких приложений (которые приложение подставлять порывается) приходят именно в этот телефон, а не SMS-кой в тот телефон на который, они, якобы, посылаются. Так что банки могут мухлежом в этом отношении заниматься.
Вопрос, над каким телефоном...
У меня банковские клиенты...
Лично вы можете вообще не иметь телефонов, программы запускать на Андроиде в VirtualBox'e, а вместо СМС использовать Л/К ОПСОСа
Но это не является типовым сценарием, которым пользуется большинство населения, которых окучивают в офисе ВТБ. Им навязывали "удобно и современно" на одном телефоне все сразу.
И кроме того, это я дважды, а теперь уже трижды вам повторяю, речь идёт именно о "конфигурации" когда СМС и программа находятся на одном телефоне. Вы возражаете на описание конкретной ситуации описанием каких-то других, выдуманных ситуаций. Сами по себе ваши сценарии могут быть даже идеальными, но к сожалению не имеют никакого отношения ни к реальному ВТБ, ни к реальной ситуации описанной мною.
Тогда скоро скатимся к скорому пришествию. Чип на руку, вместо имени - номер. Тогда и пароли помнить не надо, вся идентификация будет проходить уже по человеку.
Чип на руку, вместо имени - номер.
...на лоб.
Номер на лоб.
Это бессмысленно. Оно будет эквивалентом биометрии со всеми ее недостатками.
Номер на лбу -- идентификация, чип на руке -- аутентификация.
Если есть чип - то номер на лоб уже избыточен.
Ну почему же, это ведь разные задачи. Например, если для вашей безопасности на каждом столбе висит камера наблюдения, то ей интересен именно номер на лбу.
висит камера наблюдения,
Висит антенна опроса радиответчика в этом чипе. Заниматься оптическим распознаванием - дурдом.
Речь о том, что идентификация и аутентификация - разные задачи. А еще есть авторизация и Access Control. И даже если некий чип может их совмещать, одинаковыми они от этого не становятся.
Висит антенна опроса радиответчика в этом чипе. Заниматься оптическим распознаванием - дурдом.
ну таки да!!!! но бюджет то гораздо аппетитнее при оптическом распознавании. а потом туда навесить отпечаток пальца, скан сетчатки глаза, кличку первой собаки... анализ мочи для днк-теста. что выберет безопасник, а что предпочтёт пользователь? излишний вопрос.
"К сожалению, вы не смогли подтвердить свою личность\что вы не робот..." (с) домофон. (И все остальные.)
К тому и ведут всех. Цифровизация ж.
«...сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его»
Если чип работает по открытому протоколу и не имеет удалённого доступа - то в чём проблема? Тот же пароль+2FA но всегда с собой. Ещё замки бы заменить на чиповые чтобы ключи не таскать. Проблема не в технологиях как таковых, а в тех, кто их использует.
Кто вам мешает? Поставьте любой китайский замок, если считаете "что у вас нечего брать". Более того, есть не вот эти ваши новомодные замки (для арендных квартир или китая, где вас после взлома квартиры за час поймают), которые открываются кодом, отпечатком или приложением через BT, а весьма "взрослые" (решения ещё из нулевых), которые открываются или классическим ключом или замыканием электроцепи. А уж как вы заставите сработать реле, которое замкнёт эту цепь - тут полёт фантазии поистине безграничен. Хоть код, приложение, палец, лицо и 2 магнита приложенных в определенном месте к стене одновременно.
У меня есть что брать и поэтому я хочу нормального и удобного способа аутентификации. Но проблема в том, что решения, описанные Вами нишевые и китайские, взламываются легко.
Если вы, говоря про "нишевые", имеете ввиду варианты для апартов, с посуточной арендой - то очевидно ненадёжные решения. Если вы про электро-механические (давайте просто для примера возьмём CISA 16215.25.0, чтобы было понятно о чём я говорю). То их механическая взломостойкость равна взломостойкости "личинки" замка и по сути ничем не отличается от таковой у любого подобного чисто механического замка.
А взломстойкость электрической части целиком и полностью зависит от вас. Хотите повесьте зигби панель на батарейке на стенку, которая будет в зашифрованном виде передавать введённые цифры "контроллеру" ВНУТРИ квартиры. И тот на основании правильности кода будет отдавать команду исполнительному устройству (реле) на отпирание замка. Хотите смотрите в IP камеру над дверью и распознавайте лицо. Хотите цепляйтесь к квартирному wifi и из внутреннего контура открывайте из приложения. Хотите, делайте это всё вместе или по сценариям:
- если в квартире есть кто-то и я вышел не больше 10 минут назад, то только по лицу;
- если в квартире нет никого, то лицо + например bluetooth beacons;
- если на камерах хола, этажа, лестницы присутствует хоть один человек с нераспозноваемым лицом - открывать только ключом.
Я вам хуже скажу, что если у вас: дверь не из консервной стали, штыри в стенах не из пеноблоков, то два электромагнитных замка по 500кг каждый почти гарантированно остановят людей, которые пришли вскрывать квартиру взломом механических замков. Потому что понятно, что дверь можно (если у вас не дверь дикого класса) всегда выпилить целиком с коробкой или выпилить из неё кусок - но тут мы уже не про надёжность замков.
два электромагнитных замка по 500кг каждый почти гарантированно остановят людей, которые пришли вскрывать квартиру взломом механических замков
...но совершенно никак не помешают людям, перебросившим автомат на площадке.
Я точно помню, что каждый из моих замков потребляет что-то около 0.5А @ 12 номинальных В. "Управляющая часть" примерно столько же. Итого 1.5А. А рядом с ними стоит ИВЭПР в двумя АКБ 1209 внутри.
Математика несложная 9+9 / 1.5 . Полученное число равно количеству часов, которе нужно подождать после выключения автомата на площадке.
А уж как вы заставите сработать реле, которое замкнёт эту цепь - тут полёт фантазии поистине безграничен.
Проблема в том, что фантазия взломщика, который будет замыкать эту цепь непредусмотренным производителем способом - столь же безгранична. На ютубовском канале LockPickingLawyer он такие регулярно демонстрирует. Иногда вообще эпично - просто ткнув шпилькой или приложив магнитик куда-нибудь к видимой наружной части замка.
У меня два электромагнитных (не путать с элетромеханическими) замка по 700кг. Проводка с моей стороны помещения. Я не буду рассказывать, как, но поверьте, поскольку это закладывалось на стадии капитального ремонта, вы до неё доберётесь только после того, как выкрошите весь бетон вокруг коробки. Ок. Вы открыли два механических замка. Уверен из просмотра примерно тех же каналов, что в моём случае у опытных людей на это уйдёт не более 15 мин. Дальше что? Отжимать 1.5 тонны двух замков с максимальным рычагом внутри??? Удачи. Кроме того, чтобы её отжимать с внешней стороны тот самый "рычаг" будет ограничен ровно 20тью см из-за расположения и направления открытия двери. Пилить полотно и коробку, чтобы добраться до питания замков - однозначно поможет. Но тогда можно просто спилить все штыри и вынуть дверь. Или выпилить в двери окошко, в которое пролезет человек. Я не заливал дверь бетоном - тот случай, когда перефразируя классику "я тот бобёр, в хатке которого нет ничего сладкого"! =))
И всё проделанное - пруф оф коцепт для демонстрации "внутреннему заказчику".
Особо 'талантливые' производители ухитряются сделать такое чудо в перьях (Youtube). Питание магнитов, конечно, внутри. Но вот управляющее контакты соответствующей релюшки.. Кхм...
Я не стал смотреть целиком, но думаю понял суть проблемы. Это из времён таких же standalone аналоговых панелей (хотя, нет - они не аналоговые, какие то цифровые мозги там были) из тех же конца девяностых, начала 00вых. Когда контроллер был в картридере или в цифровой панели, и, если карта подходила или код набирался правильно, замыканием контакта давала сигнал контроллеру двери (электромагнитного замка) на открытие. Т.е. вы вскрывали (или отрывали) панель, замыкали два провода и вуа-ла. Это судя по всему современная реинкарнация. Но тут есть важный момент: использование подобного на внешнем периметре - misconcept. Оно для внутренних дверей в здании. Только для бюджетной организации разграничения доступа и на сильно мммм.... не режимных объектах, типа служебное помещение в офисе. Ну т.е. если кто-то начнает выламывать такую панель, чтобы замкнуть контакты - что-то пошло сильно не так.
Поэтому "сегодня", как я написал выше, можете прямо снаружи на дверь приклеить панель на батарейках, единственное назначение которой записать в буфер памяти условно 6 набранных вами цифр и по нажатии например на # зашифровать это и отправить по воздуху (zigbee, wifi, да хоть свой проприетарный шифрованный протокол) в контроллер, который уже может сравнить присланное число с правильным и "замкнуть релюху" тем или иным образом.
Я не стал смотреть целиком, но думаю понял суть проблемы
Я посмотрел за Вас. Контроллер находится снаружи, и коробка с ним заперта на обычный винтик. Взломщик отвинчивает винтик, достаёт из коробки плату, замыкает два проводка (для удобства — подписанных на плате), готово.
Вот только не надейтесь, что электромагниты потребляют одинаковый ток, при прижатии без противоположного вектора силы и с ним. но DC есть DC, 9 ампер зачетно, да. 9 ампер на 12 вольт, 108 ватт. Нужно приложить усилие всего лишь эквивалентное 216 ватт/ч на не более, чем полчаса (ну тренированный человек справится), чтобы сдрейнить аккумулятор, а потом с любого рывка дверь в Сезам откроется. А питание можно отключить не на уровне автомата, а тупо на весь подъезд или дом. А если два человека на силе, и один на шухере?
Рычаг здесь абсолютно никакого значениия не имеет, если вы не хотите закон сохранения энергии заново изобрести. Ну и собственно рычаг позволяет копеечному электромагниту давать прижимную силу в 500 кг.
В общем, тут, чтобы внутренний заказчик был доволен, аккум надо хотя бы уровня приличного электровела, 48v на 20a (а лучше два таких) и магниты соответствующие, ну уле-еле, тогда уже без лебёдки не обойтись. И это уже так или иначе бесшумно не проделать.
Ответы на ваши вопросы:
Никак. Если вы путешественник (не турист) , то сим-карта приобретается на месте. Для связи искать вайфай.
Деньги должны в наличке. В долларах или евро. Нужная сумма меняется в нормальном обменнике. Всё.
А если все путешественники будут возить деньги в наличке, вернется старое доброе ремесло разбойников с большой дороги. Караваны с востока на запад, саквояжи с золотом, о прерия, прерия, великая даль, индейские перья, английская сталь...
Для решения этой проблемы вспомнят про дорожные чеки. Это когда не хочешь тянуть с собой в дороге наличку, идешь в контору Western Union, отдаешь им деньги, они тебе именной чек. Именно именной, так что красть его нет смысла - разбойник не сможет его обналичить. А по приезду в такой же конторе деньги снимаешь.
И тут опять же встает проблема надежной аутентификации, потому что вместе с дорожным чеком могут украсть и паспорт, и для похода в контору загримироваться.
И снова начнется "А мы сомневаемся, что это вы"...
Допустим - чек не именной, чек требует пароля :).
Ну или - вспомнить что есть крипта на любой вкус, ладно - допустим крипта нас не устраивает вообще в принципе например онлайном обязательным...есть электронная наличность (по схеме Чаума, нужен эмитент, есть анонимность, НЕ нужен майнинг вообще, постоянный онлайн тоже не нужен).
Western Union поэтому очень хороший вариант.
Был.
А ремесло никуда не исчезало. "Закурить не найдётся / ты с какого района?"; выдёргивание рюкзака мотоциклистом через открытое окно машины или с пешехода; вскрытие сейфов в номере гостиницы. Поэтому ездить (только) с кэшем и менять деньги в обменниках (особенно в странах ЮВА) - отличная идея. Или обратный квест: покупка SIM-карты иностранцем практически в любой стране европы. Антирекорд на 5ый день после приезда в Норвегии в конце нулевых.
Деньги должны в наличке.
Ну попробуйте в Европе расплатиться за неделю в отеле наличкой. Во всех, где вам захочется жить — вас завернут. В магазинах уже тоже больше сотни, кажется, — только картой. Но это только в ЕС, насколько я знаю.
За исключением Германии =(
Европа разная :) Заплатил наличкой за достаточно дорогой отель в Любляне — приняли деньги с радостными выражениеми лиц.
Ну, нет. Сетевому супермаркету или огромной сетевой гостинице - пофигу. Мелкий бизнес везде очень не любят платить налоги. И не важно будете ли вы в бедной Латвии или богатой Норвегии - с радостью возьмут. А если вы ещё и чека не попросите: расцелуют на прощание.
Суммы ввоза и вывоза налички ограничены законодательством разных стран. Если едете не отдохнуть на недельку, а жить надолго - с чемоданом долларов вас не выпустят.
Обрисуйте, пожалуйста, по обоим пунктам ситуацию иностранного туриста в РФ. На какой номер телефона подтверждать wifi и что нужно будет для оформления симки? Вопрос со звёздочкой.
Мне нравится, что мошенники сами часто представляются представителями служб безопасности.Это говорит о том, что система стала так сложна и запутана, что даёт отличную почву для мошенничества.
Как будете решать реальную проблему с превращением сим-карты в тыкву в роуминге?
Оставлять "самую нужную" сим-карту дома, в некоем модеме, и пересылать СМСки с него на почту, например? Костылирование, но чо уж? :(
Не такое уж костылирование. 2025 на дворе, а народ все никак не осилит простейший voip
В 2025 году AFAIK у всех популярных сервисов есть несколько способов для MFA, дополнительно/вместо SIM.
А банковские смс ходить будут?
А то к примеру мультифон/eMotion от мегафона - раньше гонял голос/смс, исключая банковские. Притом кто их фильтрует - банк или опсос я не знаю
Не зависит от оператора. Все входящие смс пересылаются на сервер, где их принимает тупой как валенок, написанный на коленке за 5 минут скрипт типа такого:
Скрытый текст
require'vendor/autoload.php';
use Pikart\Goip\ServerFactory;
use Pikart\Goip\ReactServer;
use Pikart\Goip\Message;
use Pikart\Goip\Messages\ReceiveMessage;
openlog("smss", LOG_PID | LOG_PERROR, LOG_DAEMON);
$server = ServerFactory::default(\Pikart\Goip\ReactServer::class, 'i.p.ad.dr', port);
// Listening to all incoming messages
$server->listen( ReceiveMessage::class, function ( ReceiveMessage $message ){
$id = $message->id();
$msg = $message->msg();
$srcnum = $message->srcnum();
$tgAPIToken = "telegram_token";
$tgMessage = ' Sender: ' . $srcnum . ' Message: ' . $msg;
$chat_ids = [
chat_id_1,
chat_id_2
];
foreach ($chat_ids as $chat_id){
$tgData = [
'chat_id' => $chat_id,
'text' => '--- SMS from ' . $id . ' ---' . $tgMessage
];
$tgResponse = file_get_contents("https://api.telegram.org/bot$tgAPIToken/sendMessage?" . http_build_query($tgData) );
}
});
$server->run();
closelog();
Спасибо надо сказать:
сотовым операторам кто даже если случайно сделают простую возможность обычному пользователю SIP-клиент подключить - исправятся и решат за это брать деньги (это при том что VoLTE/VoWiFi - внутри по SIP работают но нет авторизоваться пользователю мы не дадим)
авторам софта (правда вопрос - какого именно) кто до сих пор не может родить стабильные и совместимые решения чтобы SMS ходили по SIP с популярными SIP-клиентами и реализациями сервера (SMSoIP насколько помню так же работает)
тупым и дырявым реализациям серверов (ну или рукам тех кто их настраивает) из-за чего через многие IP-АТС звонят все кому не лень
особенностям скажем так реализации серверов из-за чего у клиента в качестве входящего номера - может быть совсем что попало и это никем толком не проверяется
сотрудникам служб безопасности которые очень стараются помочь перевести деньги на безопасный счет
госструктурам кто зажимает требованиями всех остальных участников. причем разные госструктуры в разных странах делают это по разному!
-:(
Вот чую - что таким темпами стандартом (возможно - не писанным) не станет в лучшем случае то что там в Element Call пилят для голосовой связи (а в худшем - Telegram)
Нет - оно решается.
сервисы IP-телефонии (новофон тот же или там гравител) - где номер для СМС И голоса и API и в телеграм копии и хоть FMC SIM - но это про бизнес и дорого (и подключение к российским должно быть из России - фильтры по IP)
сотовые операторы которые не оборзели еще в конец и могут нормально дать все - например MCN телеком (MVNO) - тут и смс хоть через HTTP-хуки хоть в Telegram хоть в ЛК и SIP хоть каким клиентом (+свой есть), но правда - нет eSIM, и разработчики (и поддержка) мобильного приложения считают что на рынке существуют телефоны-мутанты которые в свернутом состоянии с их приложением работать могут а в раскрытом - никак не могут (при этом проверка на размер экрана похоже в onсreate а не onresume висит).
Всякие локальные мониторилки по отсылке всех смс в телеграм
Как вариант телефон и оператор с поддержкой VoWiFi . Там где вы сможете добыть вайфай - считай вы в домашней сети инет проблем с роумингом.
Вот только недавно столкнулся с проблемой - не работает VoWiFi у МТС заграницей, и в Крыму. Оставлял кучу заявок, так как формально эта услуга работает везде. На запрос из Крыма ответили, что услуга не доступна, так как в Крыму нету БСок МТС. На запрос из Германии ответили, что "ваш телефон не поддерживает", что смешно, учитывая, что проверяли на порядка десяти телефонах, которые нормально поддерживают услугу, на том же Vodafone, Play, Telekom. У многих операторов такой услуги в принципе нет (Тиньков мобайл, Теле2 работает только по МСК). У казахского Теле2 услуга работает только внутри Казахстана, у украинских операторов тоже, только внутри страны.
VoWiFi зависит от настроек оператора намертво прибитых в дебрях прошивки. Обычный пользователь ничего сделать не может, кроме как купить брендированный телефон у оператора. Далее я не понял, где в принципе добывать эти настройки, даже если прошивка подконтрольна пользователю (условный рут).
И кому задавать вопросы - тоже не понятно. Производители должны, получается, для региона прошивки всех операторов добавить? А если так, то и выходит задержка в несколько лет.
ИМХО, безопасность работает на 99%.
И да, 1% номадов и т.п. должен заранее подумать о выборе надежных способов для MFA.
К сожалению банки признают исключительно смс.
Так если почти никто не даёт второй фактор нормальный привязать?
На госуслугах TOTP, на гитхабе passkey, а российские и турецкие банки продолжают раз в пару месяцев просить смску принять
Тут есть один большой нюанс. Вправе ли сам пользователь решать, нужна ли ему эта безопасность, или он — бесправная тварь, которой можно только по заранее указанным коридорам ходить с руками за спиной и взглядом в пол?
Ох не такой однозначный вопрос как кажется. Сейчас абсолютному большинству пользователей доверить этот вопрос нельзя. А ради процента знающих что делают не хотят заморачиваться и нести издержки, вот и результат.
Сейчас абсолютному большинству пользователей доверить этот вопрос нельзя.
Да и пофигу. Зачем равняться на дебилов?
Чтобы потом не судиться и не заморачиваться наверное
Просто установить парольную политику 12 символов, разные регистр, буквы, цифры, спец символы. Моя личная политика 20+ символов, 2fa, fido2. Для некоторых сервисов у меня токен с системой от изменения. Перезагрузился вошёл сделал дело, перезагрузился.
Угу. Причём зачастую такая ядрёная политика применяется в сервисах, которые нахрен никому толком не нужны, и где угон аккаунта вообще ничего не значит. Сука, сим-карта, потеря которой критично опасна, защищена максимум четырьмя цифрами. А сайт для рисования няшных котиков силами ИИ требует специмволы, буквы, цифры, анализ кала и подпись кровью.
По сим карте, защищена получше чем просто 4 цифры. Можно неверно ввести
pin код 3 раза подряд, puk код (8 цифр) 10 раз, а дальше уже симкарта недействительна
Для списания бонусов в магазине продуктов требуется биометрия и пароль в СМС!!! Серьезно?! Магазин тратит МОИ деньги на отправку мне СМС (мы же понимаем, что цена системы лояльности заложена в цены продуктов) для списания фантиков. Да гори они огнем эти бонусы - я не хочу в этом участвовать.
Да гори они огнем эти бонусы - я не хочу в этом участвовать.
в итоге вы просто переплачиваете, а так хоть шерсти клок с этой переплаты
p.s. нет смысла игнорировать бонусные программы, вы за них платите всегда
Не "шерсти клок", а сдать биометрию.
у многих магазинов бонусная программа фикция. баллов начисляется ничтожно мало (а ещë существует такая великолепная штука как сгорание баллов). в исключениях (более меннее нормальная бонусная программа, постоянный покупатель) использую карты, но в некоторых магазинах не коплю баллы и отказываюсь от заведение карты (была или есть, но перестал пользоваться) так как понял что эти 5 рублей не стоят того чтобы тратить время на диктовку номера или таскать с собой карту. правда проблема в том что приходится тратить время отказываясь от начислений баллов.
У магазина бонусные системы действительно - часто фикция и их цель привлечь покупателя придти повторно, из-за чего существует сгорание...особенно прикольные баллы у всяких парфюмерных магазинов, где есть огромный список товаров на которые их нельзя тратить...или у магазинов одежды где "бонусы не действуют на акционные товары, а сегодня у нас акция на весь ассортимент магазина...скидка 80% по этому списывать баллы и применять дисконт нельзя"...при этом совершенно случайно цена со скидкой равняется цене у конкурента без скидки...или еще более угарный прикол
"при списании баллов акция не применяется"..т.к. цена по акции 100р, а цена при оплате баллами 220р..списать можно 100 баллов.... к оплате 100р без баллов, и 120рублей с оплатой баллами (100р рублями и 120 баллами!)...капец я такое раза три видел уже
тем не менее, у некоторых магазинов они действительно рабочие, как например у X5..они их хоть и кастрировали, но скидка там реально настоящая..если ходить без карты будешь тупо переплачивать
или у ленты где можно прям тысячами рублей переплатить без этих всяких карт лояльности
у многих магазинов бонусная программа фикция
Даю как-то в аптеке (полагаю, в контексте обсуждения — магазин, аптека — не суть) скидочную карту. Продавец: "У вас мало баллов. Хотите докупить?" Я (недоумённо): "Что значит "докупить"?" Продавец: "Платите сейчас 300р и будет вам скидка <сколько-то> % в течение полугода".
Отказался. Заплатить сейчас 300р, чтобы когда-то в будущем (по аптекам редко хожу и нерегулярно) получить скидку в 5-10р? Процент по скидке там что-то около 5. На калькуляторе не считал, но навскидку подобное "докупить баллы" (как и в принципе все эти "бонусы") кажется мне достаточно тупым разводом.
По скидочной карте Ашана в Испании бензин на их заправках — на 5% дешевле. Это примерно трёшка с бака. Не бог весть что, но пуркуа бы и не па?
Суть истории не в том, что мало процентов скидки, а в том, что мне предложили заплатить деньги сейчас, чтобы когда-то потом у меня была скидка. Возможно, кто-то и покупает скидочные карты специально, но это не мой случай. В моём случае карта досталась мне при крупной покупке (от скольки-то там тысяч выдаётся\выдавалась карта), т.е. бесплатно (не совсем так, вероятно, но всё же). И 5% — это нормальная скидка. Была бы без всяких там хитросделанных подвохов.
Ну и дополнительный "прикол" в том, что через какое-то время неиспользования карты бонусы сгорают. Т.е. я должен (и обязан! с точки зрения продавца) регулярно хоть что-нибудь, да покупать. У меня же несколько противоположная точка зрения.
Отказался. Заплатить сейчас 300р, чтобы когда-то в будущем (по аптекам редко хожу и нерегулярно) получить скидку в 5-10р?
Продавец (в сторону): Не прокатило...
А сайт для рисования няшных котиков силами ИИ требует специмволы, буквы, цифры, анализ кала и подпись кровью.
Розовые розы, ага.
Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, слишком мало символов в пароле!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле! — 1розовая роза.
— Извините, необходимо использовать как минимум 10 различных символов в пароле!
— 1грёбаная розовая роза.
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза.
— Извините, не допускается использование нескольких заглавных букв, следующих подряд!
— 1ГрёбанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов! ----1ГрёбанаяРозоваяРозаБудетТорчатьУтебяИзЗадаЕслиНеДашьДоступПрямоСейчас!
— Извините, этот пароль уже занят.
Кредитная карта "защищена" шестнадцатью цифрами, выбитыми на её же лицевой стороне, и ещё тремя, напечатанными на обратной. Фото- и видеокамеры, мальчики с феноменальной памятью. Да даже феноменальная память не нужна - в некоторых местах, типа ресторанов, предполагается отдавать карту официанту (вот уж, как правило, дофига надёжный и проверенный чел), и он с ней уходит куда-то в подсобку. Чип и магнитная полоса ещё есть, воткнуть-приложить, это может сделать кто угодно. Иногда могут потребовать расписаться на чеке, образец подписи присутствует на обратной стороне карты - видимо, чтобы воровайкам было удобнее подделывать. Не знаю, пройдёт ли их подделка графологическую экспертизу, но много ли на кассах работает графологов? Последнее время на тач-скринах требуют пальцем "расписываться" - и у меня, и у всех, кого я видел, получается изобразить там невероятную кукарямбу, не напоминающую настоящую подпись даже близко - и всем пофиг. И ведь работает! За двадцать с гаком лет использования этой карты везде у меня один (один!) раз с неё пытались (пытались! безуспешно!) стырить деньги, мне позвонили из банка, сообщили, что отменили платёж и заблокировали карту, пришлось ждать неделю, пока новую пришлют - неприятно, да, но ведь, казалось бы, по всем законам не то что корпоративной безопасности, а банального бытового здравого смысла давно должен был остаться без последних трусов и ещё должен ундециллион...
в некоторых местах, типа ресторанов, предполагается отдавать карту официанту
Ни разу не был в таких местах, где вы живёте? А если я карту с собой вообще не ношу, отдавать официанту смартфон?
В Японии сталкивался, в США сталкивался, возможно, ещё где-то, не помню. От знакомых, много ездящих по разным странам, несколько раз слышал, без тени удивления в голосе.
А если я карту с собой вообще не ношу, отдавать официанту смартфон?
Без понятия.
Раньше так было (карту забирали), вообще что вы за карту переживаете... её официально в импринтере прокатать могут, а слип останется в ресторане, а там и имя и срок действия и номер карты...cvv разве что нет
И в наши дни карту забирают во многих заведениях Вашингтона, Нью-Йорка и Чикаго (если вдруг не упразднили буквально пару недель назад, на что я бы не рассчитывал). Без понятия, что с ней там делают - прокатывают, кокаин разравнивают, Сотону вызывают.
UPD.: а, ещё, вроде, когда-то встречал, что бывают ситуации, когда надо номер карты по телефону диктовать.
UPD.: а, ещё, вроде, когда-то встречал, что бывают ситуации, когда надо номер карты по телефону диктовать.
дада есть такое, в отелях, "голосовая авторизация" называется
За рубежом есть Visa и MasterCard, с нормально работающим чарджбэком (chargeback). А в России есть НСПК с их необязательным "Диспутом", где попытку вернуть деньги за некачественную или не оказанную услугу называют - "Потребительским терроризмом".
Вы знаете, вот тут со мной произошло удивительное событие: примерно 10 месяцев назад я заплатил на одной ебаной помойке одном уважемом маркетплейсе за товар, который в силу объективных причин не смог забрать из ПВЗ в установленный ими срок. При этом это был первый незабранный товар за всё время моих взаимоотношений с ними. Они с меня, естественно, слупили 100 рублей за возврат - ну да Б. бы с ними. Ну и написали, что деньги вернут "когда отправитель" подтвердит возврат. Вроде, логично.
Тут на днях мне на глаза попался ровно тот же товар, который я тогда не забрал. И я решил проверить, а вернул ли мне маркетплейс деньги??? Конечно, нет. На мой вопрос "Where's the money, Lebowski?", поддержка вежливо ответила "иди нахер!".
Я расстроился и решился обратиться в банк из которого платил. Знаете, старый такой советский банк. Я, честно, от него ничего не ожидал (хотя бы потому, что это сильно не вчера было). Говорю в чатике: вот так и так. А у вас чарджбэк случайно в НСПК не подвезли? А они говорят: расскажите, что случилось и пришлите-ка нам скриншотов. И через сутки взяли и вернули мне деньги.
Стоит оговориться: сумма была небольшая. Но с другой стороны у меня в этом банке в среднем оборотов рублей примерно в 5000 в месяц, остатков примерно на 2 месячных оборота и нет кредитных продуктов - короче, я не тот самый любимый VIP клиент.
Так что пробуйте - и если вы возвратами не занимаетесь раз в неделю, то, может, и сработает.
У меня был с точностью до наоборот случай - в гостинице расплачивался за поздний выезд, связь в кабинете администратора была откровенно "не очень" и для оплаты по QR (распечатанном на "чеке") пришлось выходить в фойе... пока я ходил туда-сюда, терминал выдал "таймаут оплаты" (с соответствующим "чеком"), но в банковском приложении на смартфоне платёж прошёл... пришлось доставать пластиковую карту (другого банка) и оплачивать повторно уже "контактным" способом... в этот же день обратился в первый банк (не столь старый и советский, как в Вашем случае), приложил фотографию слипа с отбивкой о таймауте, через пару дней был послан в неизвестном направлении с формулировкой "со стороны продавца транзакция подтверждена фискальным чеком" (что бы это ни значило), попытался обратиться во второй банк (ещё более молодой, нежели первый), но за неимением слипа об отказе был послан в схожем направлении, как и из первого... обратился на контактный номер гостиницы... и при закрытии квартала, их бухгалтерия подтвердила двойную оплату услуги, и так-таки вернула мне деньги... на карту второго банка.
В США в большинстве ресторанов так - забирают карту и приносят чек на подпись. Пин-код только в банкоматах используется, у большинства кредиток его нет.
Хуже того.
У вас есть предчек, скажем, на $50, вы вписываете ручкой сумму чаевых и итоговую, отдаёте карту, потом её возвращают. Списание может быть в этот же момент, через полчаса, через три дня.
Единственное, что защищает от ошибок и злоупотреблений – то, что после пары неправильно списанных чаевых мерчанта (ресторан) отключат от эквайринга.
В Москве было. Карту не отдал - пошёл вместе с официантом в подсобку.
Извиняюсь, вас в подсобку, случайно, два амбала не провожали, когда вы карту отдавать отказались?
Ну, это ж в какие-то доисторические времена, лет 25 назад. Когда еще бумажки по карте катали. Или уже в современности?
Ну, чаще не в подсобку, а за барную стойку... но да, до сих пор местами встречается (буквально с месяц назад в одном из ресторанов на Эльбрусе ходили аж на ресепшн гостиницы, благо, в том же здании).
Приезжайте в солнечный Узбекистан. Вас попросят назвать пин код, чтобы продавец ввел его за вас ;)
Для постоянных покупателей, разблокируется услуга ввод пин-кода по памяти ;)
Вы видели как на черном рынке продают ворованные кредитные карты с огромными лимитами? причем десятками и сотнями...бери печатай на белом пластике и обналичивай
Архитектурно, когда эта безопасность создавалась, это риск банка, а не пользователя, по этому очень долгое время банки вообще не чесались по поводу фрода, поскольку он полностью покрывался прибылями и скорее всего страховыми компаниями...но вот только это история в США
а в РФ банки пытаются переложить всё на клиента и "идите в МВД".. во многом и по этому РФ была пилотной с EMV картами и вообще 3ds почти у всех
но в целом интересно что прям откровенного фрода с номерами карт именно в РФ почти не осталось, скорее из-за того что у нас нет оффлайна и повальный 3ds
Я не видел, не бывал на чёрном рынке и не понял около половины слов из вашего комментария. Возможно, будь оно иначе, меня бы и не удивляла вся эта безопасная безопасность.
Суть такова.
Некогда на чёрном рынке продавали дампы кредитных карт. Либо комплект "трек магнитной полосы+ПИН", либо "номер карты+данные о владельце". Сами данные обычно добывали при помощи установленных на банкоматах скиммеров или пропатченных POS-терминалов (до сих пор, если знать, где копать, можно без особого труда найти прошивку скиммера под такие некогда распространённые аппараты как VeriFone VX520, VX670 и OMNI 3750). В первом случае эти данные при помощи энкодера (аппарата для записи магнитных карт) прошивались на белый пластик (то есть белые карты-болванки для записи) и обналичивались в обычных банкоматах. Во втором - по номеру карты и CVV-2/CVC-2 заказывали на подставное лицо какой-то высоколиквидный товар, после чего его перепродавали.
Первая схема ушла у нас в историю после повального распространения чиповых карт, вторая - после того, как везде ввели 3DS, отчего теперь место, где можно онлайн купить что-то без подтверждения через 2FA, теперь ещё поискать надо. Потом, правда, появились новые схемы типа развода пользователя на этот секретный номер или вовсе кражи телефона вместе с картой и сброса пароля от онлайн-банка. Но это уже другая история.
На самом деле с номером карты еще веселее - первая цифра это сеть (мастеркард, виза и т.д.), следующие 5 идентификатор банка, последние 4 контрольная сумма. Остается 5-6 цифр в середине подобрать.
в 90е годы существовали генераторы номеров кредитных карт, можно было себе намайнить номерочек и оплатить чтото в интернете (ну или где там платить можно было еще таким образом), потом уже туда подкрутили CVV чтобы с ними бороться
Там, правда, об обмане клиентов банка изначально речи и не шло. Просто в те времена обмен данными с банком совершался один-два раза в сутки. Поэтому некоторые придумали генерировать фейковый номер, который валидируется по коду Луна, но при этом никакой действующей карте не принадлежит. Но сайт-то об этом не знает, он выдаёт пользователю прон оплаченный контент (что-то серьёзное так обычно в те годы получить нельзя было), а номер сохранял для дальнейшей отправки в банк. Позже приходил ответ от банка, что такой карты не существует и деньги списать неоткуда, но юзер уже получил свой заказ и ушёл в тину. Потом уже перешли на офлайн и схема перестала существовать.
Контрольная сумма - только последняя цифра.
Не везде конечно все розово, но чарджбэк неавторизованной транзакции сделать можно довольно легко. Банк вернёт вам деньги, а потом поставит мерчанта на болезненный штраф, и уже мерчанту придется доказывать, что он не верблюд. Если у мерчанта много чарджбэков, ему сначала повышают комиссию за обслуживание, а потом отключают.
в некоторых местах, типа ресторанов, предполагается отдавать карту официанту (вот уж, как правило, дофига надёжный и проверенный чел), и он с ней уходит куда-то в подсобку
Почему бы не попросить принести терминал? Или сходить с ним в подсобку самому? Или альтернативный способ оплаты?
Потому что гораздо проще отдать карту и потенциально раз в триста лет озаботиться чарджбэком, чем ходить в подсобку каждого ресторана, куда забежал пожрать.
А переносные терминалы, похоже, для ресторана неподъемная роскошь. В наших краях, вон, даже кондуктора в общественном транспорте с таким ходят.
Я не даю непрошеные советы и не решаю непоставленные передо мной задачи без прямой просьбы. Если официанту почему-то удобнее взять у меня карту, а не принести терминал — так тому и быть.
А официант у меня не спрашивает, почему я ем второе ложкой и пью водку из пивной кружки.
Это называется «социальный договор невмешательства в личное пространство».
Как я ем и как я пью - это моё личное дело. Как продавец относится к выполнению договора - это наше общее дело, то есть меня это ебать должно.
Если уносят карту куда-то в неизвестность, чтобы с ней провести транзакцию, почему бы не унести кошелёк с наличностью для проведения транзакции?..
Я наличными уже больше десяти лет не расплачивался, но раньше всё было именно так:
— мне приносят счет на 30
— я даю 100
— мне приносят обратно 70
Это и есть в чистом виде ваш «кошелек с наличкой», только тут для чарджбэка придется подраться с вышибалой, а в случае с картой — нажать кнопочку на телефончике.
если разговор про США, то терминал может быть стационарным, выпущенным при царе горохе, это вам не РФ где клиентов и банки заставляют их покупать-обновлять...заставляли..когда МПС у нас еще были
в штатах надо еще убедить владельца торговой точки раскошелится на недешевый терминал
в штатах надо еще убедить владельца торговой точки раскошелится на недешевый терминал
Liability Shift в США платежные сети уже сделали. И карты с чипами чуть ли не ногами заставили начать внедрять. Если такой владелец обслужит клиента с чипованной картой - то он сознательно нарывается на фрод.
Тем более, как я понимаю, что в отличии от нас, там этими терминалами может быть чуть ли не смартфон. Ибо всякой фискальной памяти государство не хочет.
там этими терминалами может быть чуть ли не смартфон. Ибо всякой фискальной памяти государство не хочет.
так и у нас терминалы не имеют фискальной памяти
я помню была попытка вот такие штуки внедрять, в РФ
но в итоге это както не совсем пошло (я так понимаю из-за разнокалиберности чипов шифрования у телефонов и сертификации у МПС, не государства, МПС для РФ очень жестко устанавливали требования всегда), и стали делать микротерминалы которые подключаются к телефону..с ними курьеры ездят и сейчас
вот чёто типа такого
Этих считывателей тоже было несколько поколений. Самые первые были просто магнитными головками, подключёнными напрямую к микрофонному входу. Потом там добавилось какое-то шифрование с передачей данных через FSK. Ещё позже появились те, которые всё так же втыкались в аудиоразъём, но принимали даже чиповые карты.
Я пару раз расплачивался просто прикладывая смартфон/карту к спинке другого смартфона, какие-то банки-эквайры такое умеют
Ну это где как. В наших краях, в маршрутках, как правило, "передавайте деньги карты водителю".
Потому что гораздо проще отдать карту
Возможно, вы и правы. Мне эта проблема не знакома. Везде, где я обедаю, есть либо код в чеке, либо в приложении, либо на кассе. Или официант приходит с терминалом, но это уже прошлый век, как мне кажется
Давно уже не встречала такого, у всех переносные терминалы. Скорее начнется " а нельзя ли наличкой или СБП по номеру телефона"
Не знаю этого всего (почему бы не попросить, принесут ли терминал, пустят ли в подсобку, и т. п.), но речь-то вообще не об этом. А о том, что никто, кроме редких специальных параноиков, этим не заморачивается, все отдают карту и никаких проблем это почему-то не вызывает.
Думаю это проблема наших краев. Как то с работы должен был получить 600$, получил 200, звоню в банк, срачала сказали что кто то их у меня спер, у вас была оплата там то...Но я там никогда не был, да и вообще я получил 200, их что по пути по проводам забрали? Ща уточним, жду...У вас сняли кредит...но у меня нет кредитов? Ой просим прощения , ошибка в системе...в итоге вернули, но я все еще в шоке)
я не в РФ живу, но одна из стран СНГ...не знаю как у вас, но тут если деньги списали то это твоя проблема, иди пиши заяву и разбирайся сам. Вот и отдавай теперь карту официанту и метайся потом по отделениям)
Это как раз не упарывание в ненужную безопасность. Ну проведет чувак картой, докинет себе 20 баксов? Хозяин сделает возврат и все деньги ему вернутся. Получателю влепят штраф. В нормальных юрисдикциях банки всегда по первому чиху отменяют транзакции. Клиентам удобно платить, и если что случится - они не потеряют ни цента. Да, надо следить за счетом и реагировать на неожиданные транзакции, но это решается уведомлениями.
один раз списали за "повторную покупку". карта дебетовая. денег там было на разовую покупку. Но счёт ушёл в минус!
Терминал магазина, через который провернули этот финт, обслуживался "Хоум Кредит Банком" - им пламенный привет. Продавец не мог этого сделать теоретически - средств не хватало на карте, да и чек терминал выдал один - за первую покупку, а вот насч менеджмента банка - большой и интересный вопрос. конечно можно списать на программный сбой.)))
В нашем же банке офигели от такого поворота событий, но деньги вернули, вопрос закрыли, но с тех пор отношение к картам так себе. как в принципе и к банкам в целом.
Когда мне знакомые советовали впервые завести кредитную карту, говорили: «Так удобно, так удобно! Купишь что‑то прямо щас, а деньги снимут когда‑нибудь потом! — В смысле, это я даже не буду знать, сколько денег у меня осталось, просто заглянуть на банковский счёт будет недостаточно?? — Тебе же чеки выдадут, ты их сохраняй, и всё будешь знать, так удобно, так удобно! — Что ж удобного, в чеки упарываться?? — А как же, а то вдруг с тебя вместо одного раза два раза деньги возьмут... — С меня ещё и два раза за одну покупку деньги взять могут??!! — ... а у тебя‑то чеки, ты позвонишь в банк, скажешь, что два раза не платил, что вот есть чеки, так удобно, так удобно!» Я представил, как звоню в японский (так уж сложилось на тот момент) банк с финансовыми претензиями и от полноты впечатлений чуть не сорвался во тьму, чтобы долго и с криками бежать в случайном направлении, как перепуганная овца...
карта дебетовая. денег там было на разовую покупку. Но счёт ушёл в минус!
в РФ? в РФ практически никогда вы не встретите настоящую дебетовую карту
наши дебетовые карты это кредитки с нулевым овердрафтом
настоящая дебетовая карта очень неудобна для использования...если погружаться в детали, если процессинг досконально соблюдает "дебетовость" карты, то вы не сможете закинуть например на нее денег и сразу расплатится в магазине, также на АЗС могут проблемы возникнуть и в отелях, из-за особенностей холда денег на ней.
и чтобы людям было проще, у нас дебетовки - это нулевые кредитки, из-за чего их можно угнать в тех.овердрафт
большой и интересный вопрос. конечно можно списать на программный сбой.)))
Очень вероятно, я встречал такое, обычно в течении суток лишнее списание возвращается, когда закрывается операционный день, эти излишки выплывут и операции автоматом отменятся
встретите настоящую дебетовую карту
Это какое-то синтетическое деление, растущее ногами из каких-нибудь организационных legacy.
Контрольный пример - после перевода по СПБ 'настоящие' деньги на счет сразу приходят, как SMS-ка говорит, это это банки и вся финансовая система старательно притворяется, что они там появились?
Если сразу - то что мешает 'настоящей' дебетовке их сразу потратить/зарезервировать итд (понятно, что речь про онлайн)
Если притворяется - то что мешает притворяться и дальше, разрешая 'настоящей' дебетовке <смотри выше>
Это какое-то синтетическое деление, растущее ногами из каких-нибудь организационных legacy.
Это не синтетическое, а самое настоящее технологическое, от этого зависит способ проведения платежей
Контрольный пример - после перевода по СПБ 'настоящие' деньги на счет сразу приходят, как SMS-ка говорит, это это банки и вся финансовая система старательно притворяется, что они там появились?
СБП вообще новая сущность, где исключены многие посредники, тут сложно вообще сравнивать
Если сразу - то что мешает 'настоящей' дебетовке их сразу потратить/зарезервировать итд (понятно, что речь про онлайн)
то что денег по факту на счете нет, а определение "настоящей" дебетовки подразумевает наличие именно настоящих средств на счете, а не виртуальных, они собственно и создавались специально в противовес кредиток и там не может быть тех.овердрафта по определению, это буквально должен быть настоящий расчетный счет.
вы же не можете с настоящего Р/с платить в долг? вот дебетовка устроена также, там полностью запрещен овердрафт
Если притворяется - то что мешает притворяться и дальше, разрешая 'настоящей' дебетовке <смотри выше>
потому что в РФ нет настоящих дебетовок, в середине-конце 90х наши процессинги спецом прикрутили костыли чтобы массово выдаваемые тогда карты Maestro и Electron в виде зарплатных, стали более удобными для пользователей
===
все фокусы с притворением влекут за собой опасность тех.овердрафта и под собой содержат некоторое скрытое кредитование...т.е. вам перечислили 10000рублей, вы сразу же ими чтото оплатили, с точки зрения банков, вы 3-5 дней пользуетесь "чужими 10000" пока ваши настоящие не дойдут...это несколько скрыто от конечного пользователя, но именно оттуда растут всякие беспроцентные грейс-периоды
то что денег по факту на счете нет
(Вспоминая 'любимою мозоль'.) Денег на счете банка вообще нет. Там есть обязательства банка перед мной. И вот он только что признал, что эти обязательства увеличились. Т.е. я никаких дополнительных кредитных обязательств ни перед кем не имею - это сам банк признал (или сообщение о приходе денег - таки притворство). И поэтому 'чужими' деньгами не пользуюсь - оно уже все мое (мне больше должен не непонятно кто чужой, а именно мой банк).
Дебетовка может эти обязательства перевести в пользу продавца (потому что у него не счету тоже не 'настоящие' деньги в сейфе, а те же обязательства) , если не вставлять лишних проверок куда не надо.
А всякие 'настоящие деньги', которые должны дойти - это исключительно внутреннее дело банков. Вот они в процессе, может, и пользуются 'чужими'.
ну так банковская карта это не расчетный счет. это платежная система
это сам банк признал (или сообщение о приходе денег - таки притворство)
Это притворство..точнее не притворство, это не "настоящие деньги" (у некоторых банков у таких транзакций часики дополнительно отображаются в истории операций), есть случаи когда вы вполне официально можете попасть в овердрафт
вспомните как работают валютные платежи
вы оплатили 10$ в США, с вас списались деньги по сегодняшнему курсу...а через неделю, когда настоящие деньги списались со счета - они доспишутся по курсу на день списания по факту, т.е. больше или меньше в зависимости от того увеличился или уменьшился курс относительно того дня как вы там чтото оплачивали... особо жестко пригорало у тех кто платил рублями за границей...и вы можете улететь в самый настоящий овердрафт со штрафами по дебетовке даже этого не заметив
И поэтому 'чужими' деньгами не пользуюсь - оно уже все мое
Это не так, "ваше" - только то что находится на расчетном счете банка, а реальный остаток на нем и то что вы видите в СМС или мобильном банке - это не настоящий остаток на этом счёте..это некоторое обязательство предсказанное системой на какойто момент времени..и оно не является строго фиксированным и отношения к вашим настоящим деньгам не имеет никакого, кроме того что немного на них похоже
вообще эта цифра в клиентбанке сугубо виртуальная, показывать настоящую цифру клиенту - это его очень сильно путать, когдато давно банкоматы умели показывать остаток на счете/кредитном счете, но это убрали...я последние такие банкоматы видел в конце нулевых. сейчас показывают ту цифру которая удобна клиентам и не вызывает вопросов
а фокусы с внутренним перекредитованием действительно скрыты от клиентов ...и повторюсь, грейс-период это всё про это, пока средства висят в холде - на них не начисляют проценты...это как раз важно для таких виртуальных дебетовок (в конце нулевых начале 10х, сбер любил штрафы за такое вкатить по 15-20 рублей..откатывая их по звонку)
вспомните как работают валютные платежи
вы оплатили 10$ в США, с вас списались деньги по сегодняшнему курсу...а через неделю, когда настоящие деньги списались со счета - они доспишутся по курсу на день списания по факту, т.е. больше или меньше в зависимости от того увеличился или уменьшился курс относительно того дня как вы там чтото оплачивали
Не могу. Мне всегда казалось очевидным, что если расплачиваешься долларами, то надо платить с долларового счета. Во избежание головной боли по поводу того, как это работает.
Если работает так, как описано - то это и есть какое-то дурное легаси, притянутое за уши с тех времен, когда до банка чек должны были чуть ли не физически довести чтобы банк сделал "ну да, клиент действительно платил, сейчас сконвертируем и 10$ отправим".
А в современности, когда все участвующие сразу пишут и признают(признают же? - условный чек до всех в электронном виде дошел. Дошел же? - его же все показывают в интерфейсах), что "да, да, ты вот только что $10 потратил, мы их со счета сняли" а потом говорят "ой, мы наврали, на самом деле деньги поменяли владельца не тогда а только сейчас" - это вывих логики какой-то. Если все эти электронные сообщения за изменение обязательств не считается, то зачем писать, что суммы обязательств изменились?
Это не так, "ваше" - только то что находится на расчетном счете банка
В этот момент я перестаю понимать работу(или объяснение работы) банковской системы. Точнее, чисто арифметически понимаю, а логику происходящего - уже нет. Банк не Гринготтс из Гарри Поттера, где есть сейф с настоящими физическими деньгами, куда я могу спуститься и увидеть 'ну да, монетки еще не завезли и на самом деле я могу распоряжаться вот тем, что вижу'.
В современном банке единственное, что мне показывают и с чем я оперирую - это "банк признает, что на счету xyz находся abcd" рублей, что означает, что банк должен мне эту сумму я часть этих обязательств в пользу других лиц.
А после получения 'деньги пришли, сумма на счете abcd' - банк это признает, не?
вообще эта цифра в клиентбанке сугубо виртуальная, показывать настоящую цифру клиенту - это его очень сильно путать
Не просто так. "Банк должен вам 100галеонов, но это не точно, потому что у нас еще бумага есть о том что нам чек из магглового магазина на 2 маггловых фунт должны привести. Поэтому мы пока просто отложили нужную сумму галеонов в угол сейфа. Да, она может измениться, когда мы до выполнения транзакции доберемся" - ну так себе концепция, когда сейфа с галеонами реально нет, а тот самый чек сам же банк уже видел и одобрил расходы.
Не могу. Мне всегда казалось очевидным, что если расплачиваешься долларами, то надо платить с долларового счета.
а если вы поехали в Польшу, будете заводить счет в злотых?
Если работает так, как описано - то это и есть какое-то дурное легаси, притянутое за уши с тех времен, когда до банка чек должны были чуть ли не физически довести чтобы банк сделал "ну да, клиент действительно платил, сейчас сконвертируем и 10$ отправим".
Так работает МПС, до сих пор, в 2025 году
когдато чутьли не факсом отправляли, сейчас это файликами шлют несколько раз в сутки...через FTP например, а оно там процессится...бывает еще через несколько посредников
А в современности, когда все участвующие сразу пишут и признают
Где признают? вы в курсе что банки до сих пор работают по старинке, а в мире есть места где платежки бумажные носят руками? там же тоже МПС должны работать.
наши РФ-ные реалии и всякие new gen финансовые компании типа революта и прочих эпплпей, создают впечатление что кругом всё онлайн и суперсовременно
на самом деле современный только фронт, на беке до сих пор те-же самые платежки и прочие мемориальные ордера как сотни лет назад
А после получения 'деньги пришли, сумма на счете abcd' - банк это признает, не?
если мы говорим про расчётный счет - ДА, если про операции через пластиковые (или виртуальные пластиковые карты) - НЕТ
вы можете запросить у банка выписку например и там будет реальная выписка со счета и она может не совпадать с тем что вы видите в истории операции и остатке в окошечке "денежки на вашей карте"
ну так себе концепция, когда сейфа с галеонами реально нет.
этой концепции не первый десяток лет, и это наследние древних времен и отражение реального банковской коммуникации
за эти годы много что ускорилось, но сама суть не изменилась
а если вы поехали в Польшу, будете заводить счет в злотых?
Ситуация сильно гипотетическая, но скорее всего - да.
Где признают?
Они пишут, в кабинете своих банк-клиентов эти суммы и меняют показываемую сумму на счете. Т.е. признают, что после покупки их обязательства изменились.
То что оно все не будет работать в оффлайне - это очевидно.
Но в оффлайне и не будут показывать уменьшения денег на счете, пока до банка данные о покупке не дошли. Что никаких вопросов не создает.
Ситуация сильно гипотетическая, но скорее всего - да.
Почемуж гипотетическая, я вот в Варшаву в 2016 году ездил, где мне надо было счет в злотых открывать? Пусть ЕС не особо доступен, но возьмем Тайланд, где открыть счет в батах чтобы платить там картой? допустим в перспективе 5 лет к нам вернуться МПС и это станет доступным, иметь карту МПС в РФ с местным счетом..выпустить себе карту в батах или в мексиканских песо, както затруднительно и было раньше и будет потом
Они пишут, в кабинете своих банк-клиентов эти суммы и меняют показываемую сумму на счете. Т.е. признают, что после покупки их обязательства изменились.
покажите где в договоре на банковское обслуживание написано что цифра в клиентбанке - это признанное обязательство? :)
единственное место гдето они ТОЧНО чтото признают, это официальная выписка со счета карты
покажите где в договоре на банковское обслуживание написано что цифра в клиентбанке - это признанное обязательство? :)
Это, конечно, аргумент. Но тогда возвращаемся к вопросу - если банки старательно поддерживают иллюзию, более удобную для пользователя, не отображая его реальных обязательств (и при использовании кредитной с нулевым овердрафтом это получается) - то почему им не получится поддерживать ту же иллюзию, при использовании настоящей дебетовой карты?
то почему им не получится поддерживать ту же иллюзию, при использовании настоящей дебетовой карты?
потому что настоящая дебетовая карта == расчетный счет, а расчетный счет не позволяет делать такие фокусы как концепт..а именно по этому дебетовая карта - именно дебетовая, что там нет всяких фокусов с клирингом и т.п.
в некоторых странах такие карты даже имеют отдельный бренд, MasterCard Debit например, и вообще они особой популярностью не пользуются
там нет всяких фокусов с клирингом и т.п.
ACH (Automated Clearing House)? Не слышали!
ACH (Automated Clearing House)? Не слышали!
Я так понял, что аргумент в том, что для операций с 'настоящей' дебетовкой оно не используется. А что мешает начать пользоваться, как для кредиток - а кто его знает.
да блин, вы понимаете что дебетовка это аналог расчетного счета? если туда прикрутить клиринг она превратится в кредитку с нулевым лимитом
да блин, вы понимаете что дебетовка это аналог расчетного счета? если туда прикрутить клиринг она превратится в кредитку с нулевым лимитом
Втарая часть непонятна. Почему превратится?
С расчетного счета A в банке Банк1 перевели в банк Банк2 $100. В смысле - запустили перевод, деньги 'еще не дошли.'
В тот же день с расчетного счете B в банке Банк2 перевели куда-то в Банк1 те же $100 и точно так же деньги еще 'не дошли'
Клиринг сработал, банки убедились, что друг другу ничего не должны, пометили у себя 'деньги дошли'.
Иии... почему что-то в кредитку превращается?
потому что эта операция фактически кредитная
пока деньги не дошли по факту - их нет у банка
а что будет если вам прислали 100$ - клиринг убедился, вы оплатили в магазине 100$
тут внезапно банк отправитель отказывает в операции перевода (приставы например заблокировали, фактическая отправка денег 3-5-30(для карт) дней может идти), вы попадаете в ситуацию что у вас -100$ на расчетном счете, что не может быть в принципе, в отличии от кредиток
пока деньги не дошли по факту - их нет у банка
"Нет у банка" - понятие очень мутное в отсудствии физического воплощения. У банка отправителя появляются обязательства перед банком получателя "Я тебе потом $100 пошлю". Т.е. это внутренне дело банков - потом деньги друг с друга стрясти. А продавец и покупатель тут при чем?
еще раз
у расчетного счета, очень четкое понятие "есть деньги" и "нет денег", что вам еще надо?
у банковской кредитной карты, это действительно мутное понятие, потому что деньги гдето в процессинге вращаются, а пользователю мы в долг разрешаем их тратить
настоящая дебетовая карта это буквально пластиковое воплощение расчетного счета со всеми его ограничениями
так понятнее?
Юрлицо например не может оплатить счет так чтобы "банк всё понял и разберется", все будут ждать пока деньги дойдут и никто особо не заикается о том чтобы сделать "пусть они сами там както"
дебетовка с овердрафтом, это уже кредитка
у расчетного счета, очень четкое понятие "есть деньги" и "нет денег", что вам еще надо?
Так у покупателя на рассчетом счету есть деньги. Иначе бы транзакцию покупки не одобрили. После одобрения покупки они пропадают и попадают... куда-то.. В кучу "передать банку получателя" Нет?
Вот когда они появятся на счете продавца и появятся ли вобще (вдруг поезд, который их везет, ограбили) -- это другой вопрос.
Так у покупателя на рассчетом счету есть деньги. Иначе бы транзакцию покупки не одобрили.
Это не очевидно. именно по этому за бугром дебетовками нельзя платить за бензин "до полного бака" например, а в магазинах могут не проходить операции, потомучто у кредитки - это на 100% очевидно, там или наличие денег или наличие подтверждения их поступления... у дебетовки только один признак - деньги на р.с. есть или денег нет, без вариантов кто кому что пообещал.. обещания - это уже кредитование
это другой вопрос.
Это самый основной вопрос, кто кому должен и кто заплатит
ведь кредитки и появились как ответ на этот вопрос, когда банк дает вам деньги в долг на момент когда настоящие деньги поступят
Так. начнем заново.
Сценарий:
У меня на счету карты я вижу $0, откуда-то перевожу туда $10 у тут же трачу на покупку. Все работает.
Что происходит в случае 'кридитки с нулевым лимитом' и украшательствами от банков, как я это воспринял.
1) где-то запускается перевод $10, банки обмениваются всякими электронными сообщениями о намерениях. "Я тебе $10 пошлю".
2) Мой банк показывает, что у меня на счету $10, но это вранье. На самом деле показывается сумма на счету плюс сумма которая еще только должна прийди (где это сумма хранится и как это место называется? Счет.. чего?)
3) Я делаю покупку, но банк не может снять со счета $10 (потому что на самом деле их нет), но куда-то, на счет, который я не вижу (или вижу, только если очень постараюсь), пишет, что я должен $10. Мой банк обменивается сообщениями о намерениях с банком продавца.
4) Банк продавца, в зависимости от того, как это у него сделано, показывает продавцу либо "$10 будут", либо так же врет, что деньги уже есть.
5) Несмотря на пункт (3), мой показывает он мне, что $10 потратились со счета карты. Где (см п.2) якобы $10 было.
6) Деньги ко мне,наконец, доходят и банк гасит мой долг на том скрытом счету, что в (3) использовал.
7) Деньги доходят и до продавца.
6 и 7 могут произойти в обратном порядке.
Теперь, что именно мешает банку проделать все то же самое, если карта 'настоящая дебетовая'? Ну т.е. завести невидимый счет для долга и далее по списку. Сейчас же он это делает, хотя я на долги, вроде как, не соглашался - я просто (рассчетный) счет в банке сделал и мне карточку в руки дали. А про возможность долга - на мозги капают 'предлагаем кредитку'.
Ну т.е. завести невидимый счет для долга и далее по списку.
тогда это сразу будет кредитка с нулевым лимитом
мы на самом деле уже очень далеко ушли от первоначальной вводной, углубившись в детали
ваше предложение верное и буквально реализовано в РФ именно так как вы хотите, только во всем мире дебетовые карты как мы привыкли их видеть в РФ - называются кредитками..которыми они собственно и являются. разве что лимит нулевой у них.
главная особенность настоящей дебетовки в том, что там никогда ни в коем случае не может быть отрицательного остатка, в этом и есть её особенность и "фича"..из-за чего ей трудно платить на заправках, в отелях и т.п. там где сумма оплаты не фиксирована в моменте времени
в том виде как вы описали "что мешает" - мешает то что подобная схема допускает овердрафт даже с нулевым лимитом
главная особенность настоящей дебетовки в том, что там никогда ни в коем случае не может быть отрицательного остатка
А у 'кредитки с нулевым лимитом' следовательно, может. Вот что произойдет если в предложенном сценарии ' платить за бензин "до полного бака"' денег таки не хватит? Уйдет в минус, проигнорировав лимит равный 0?
мы на самом деле уже очень далеко ушли от первоначальной вводной, углубившись в детали
Ну так мой первоначальный тезис был в том, что деление странно-синтетическое. Вместо общего "Вот карта, вот возможные тарифы. На этом в минус никогда не уйдет. На этом - почти никогда. На этом - уход в минус является штатным режимом" продолжают использовать древнюю терминологию.
Уйдет в минус, проигнорировав лимит равный 0?
не у всех банков, но в целом - да, так и будет у ТБанка например это вообще заявлено как фича, когдато бесплатная (в рамках статуса карты MC Platinum), но сейчас они за неё денег стали брать (это фактически штраф за перелимит)...
у карт Amex это вообще основной флоу работы, там нет контроля реального остатка (по дефолту, в РФ вероятно тоже могли подкостылить..но амекс у нас это редкий зверь который выпускал только БРС)
например вы заехали на заправку (это реальный кейс, в РФ)
1) залили полный бак
2) зашли на кассу и купили шоколадку за 100р
3) сели и уехали радуясь как всех обманули
.....
4) вам в догонку доспишут с карты ваш бензин, даже в минус
именно по этой причине настоящая дебетовка не прокатит на заправке или в отеле (где вы можете выжрать всё из минибара и свалить)..потому что не получится досписать с вас денег если их не будет у вас на счете
главная особенность настоящей дебетовки в том, что там никогда ни в коем случае не может быть отрицательного остатка, в этом и есть её особенность и "фича"..из-за чего ей трудно платить на заправках, в отелях и т.п. там где сумма оплаты не фиксирована в моменте времени
Однако, (отсюда, вроде бы официальное учреждение):
In general, for debit card transactions at ATMs or at merchants, consumers must opt-in, or agree up front, that the bank can charge you an overdraft fee for any debit card transaction that overdraws the account.
Т.е. таки даже с дебеткой бывает, причем на такое и обидятся. И чем тогда это от кредитки с нулевым лимитом отличается? Что так что так банк свои деньги в долг дает.
Юрлицо например не может оплатить счет так чтобы "банк всё понял и разберется", все будут ждать пока деньги дойдут
Опять непонятно - лично сталкивался с ситуацией, когда стоя над душой бухгалтера-кассира проводил оплату срочного счёта, брал платёжку с отметкой, чтобы отправить поставщику, и пока шёл до своего кабинета, получал звонок от поставщика: "всё, оплату видим, отправляем курьера!" - это же два юрлица, операции с расчётными счетами... но время реакции - единицы минут. Или тут другое колдунство?
Извините, но как минимум в двух банках (где я обслуживаюсь) каждая карта привязана к конкретному рассчётному счёту (и их можно перепривязывать по своему усмотрению), и есть даже отдельная сущность, именуемая "рассчётный счёт кредитной карты" (и да, они отличаются "типом" в номере), более того, карту можно перепривязать к р/с в иной валюте. Почему-то этот функционал доступен не во всех банках, но встречается.
Извините, но как минимум в двух банках (где я обслуживаюсь) каждая карта привязана к конкретному рассчётному счёту (и их можно перепривязывать по своему усмотрению)
привязана, но действует как кредитка.
ну блин, всё еще не понятно чем отличается кредитная карта от расчетного счёта?
Возможно, идея продвигаемая Вами справедлива для Visa/MC/DC/AmEx/???, но в реалиях НСПК, всё может быть несколько иначе, как и в иных платёжных сетях. Лично глубоко в процессинг не копал, но несколько раз сталкивался, что платежи уходят не "рейсами", а "онлайн" - зависит от банка (и межбанковских соглашений). Международный банкинг работает на весьма архаичных протоколах - один SWIFT чего стоит, из-за чего и заключаются межбанковские партнёрские международные соглашения.
Опять же, моё мнение стоит рассматривать как весьма поверхностное - вся имеющаяся информация получена во время неформального общения, от бывшего коллеги, сейчас работающего в банке и занимающегося как раз межбанковской интеграцией, в том числе и международной.
но в реалиях НСПК, всё может быть несколько иначе, как и в иных платёжных сетях
тут скорее вопрос в особенностях банковского законодательства
зависит от банка (и межбанковских соглашений)
по умолчанию надо считать что рейсами, то что там есть прямые договора, это нельзя считать что "по умолчанию везде так"
конечно это наследие древнего легаси и старых законов банковской сферы, в РФ всё чуть быстрее развивается, но насколько я знаю еще полной цифровой революции там не произошло, хотя сильно сдвинулось
конечно это наследие древнего легаси и старых законов банковской сферы
Очень старых. Я сильно подозреваю (прочитать книжки века 18-го и раньше про банковское дело все лень) что та же двойная запись - это реализация механизма транзакции вручную. И когда-то давно эти половинки делались совсем не одновременно (как сейчас объясняют), а ответная часть записи появлялась только после того, как приходило сообщение о том, что деньги дошли.
Очень старых.
а ответная часть записи появлялась только после того, как приходило сообщение о том, что деньги дошли.
вы не поверите, сейчас до сих пор в одном месте у одного процессинга используется система, где НЕТ транзакций
буквально
вы переводите деньги со счета А на счет Б
две операции в БД
update amount_acc1=amount_acc1-100500
update amount_acc2=amount_acc2+100500
они идут прямо в коде подряд, без транзакций
а если чтото происходит и какаято из операций теряется, то, цитирую:
"при закрытии опердня, у нас будет расхождение баланса и девочки руками докинут потерянную операцию"
также, платежные файлики (в платежных системах) передаются обычно через FTP (или по факсу, хаха...в РФ такого нет вроде уже славабогу) и процесс устроен так что их можно потерять поскольку у 90% систем нет retry по их формированию и отправке...там оно формируются по новой только когда не сходятся балансы в рамках 30 дней пока холд стоит и иногда даже вручную
я эти файлики даже сам лично терял... запускаешь процесс обмена...а он пишет ошибку и дропает файлы
потому что там буквально скрипт sh
cp *.* remote_bank
del *.*
причем никто не проверяет что cp проходит корректно
и такого там вообще на каждом шагу
Кредитная карта в США защищена тем, что ты в выписке ткаешь в строчку, говоришь: «я за это не платил», и практически без вопросов банку ты за это оказываешься не должен.
Карту заблокируют и перевыпустят, да. Неприятно, если это происходит заграницей.
Кредитная карта "защищена" шестнадцатью цифрами, выбитыми на её же лицевой стороне, и ещё тремя, напечатанными на обратной.
Всё не так плохо, как вы думаете.
Всё гораздо, гораздо хуже!
давным-давно, когда
по планете бродили мамонты, компьютеры были большими, а интернет — маленькой сеткой для военных, для совершения покупки было достаточно всего лишь тех самых 16 цифр на карте (15 — идентификатор карты, а 16-я — цифра контрольной суммы, рассчитываемой по немножко неочевидному алгориму).когда этого перестало хватать — к ним добавили дату окончания срока действия — вроде бы 4 цифы, но достаточно предсказуемые: год (который равен текущему + 0...4) и месяц (1...12). Правильно угадать стало сложнее, но ненамного.
когда этого перестало хватать — к ним добавили CVV (хохма была в том, что две предыдущие вещи были на лицевой стороне карты, а CVV — на обороте, поэтому ксерокопия/фотография карточки, сделанная мошенниками, уже не содержала всей необходимой информации — нужен был и оборот).
когда и этого перестало хватать — к данным, требуемым для совершения покупки, добавили домашний адрес
пОциклиента — это не то чтобы совсем обломало малину мошенникам, но теперь атаки могли быть только таргетированными, а не массовыми.попытались запустить крипто-чипы (смарт-карты) — но не взлетело, слишком сложной в эпоху до USB оказалось выдать каждому юзеру по смарткард-ридеру, и при этом ещё чтобы у всех всё работало без проблем. Но они не забыли...
к данным, требуемым для совершения покупки, добавили домашний адрес
адрес или имя? (которое кстати сейчас стало необязательным)
требование адреса выглядит какимто адским в плане валидируемости и проблем..
Строго говоря, я сделал вывод, что адрес там проверяется не с точностью до буковки, а:
1) Должен совпадать номер дома,
2) Должен совпадать почтовый индекс (а город вообще игнорируется, т.к. он однозначно определяется по индексу),
3) Должна совпадать улица (но опять же не с точностью до буковки, а с точностью до словаря известных опечаток).
после одного раза потери карты и того что по ней была проведена покупка на алике, стëр cvc код со всех карт.
у сим карты всего 3 попытки (если я верно помню) для пин1 и еще сколько-то для пин2. далее только перевыпуск.
PIN-код по умолчанию содержит 4 цифры, но максимум - это всё-таки 8 цифр. :
И этот пароль никто не сможет запомнить, поэтому его будут записывать на бумажке и клеить на монитор или хранить в текстовом файле на рабочем столе. Все это давно проходили уже.
Вот с этой "парольной политикой" идите просто куда подальше!
Ну есть у меня наработанные алгоритмы генерации паролей - на кой ляд её ломать вашими фантазиями (что 12 символов достаточно)???
Зачем вы спецом загоняете пользователя в жёсткие рамки? Придумал один - "недостаточно сильный", другой - "добавьте латиницы и диакритических знаков" и т.д.
В итоге - пароль моментально забывается, и при следующем сеансе авторизации попросту запускается процедура восстановления пароля (всё по новой, только ещё "этот пароль использовался ранее, придумайте другой").
Вот по вашему мнению, что несёт больше рисков - "недостаточно сильный пароль" или подмена авторизации процедурой восстановления?
Проблема в том, что пароль 123456 поставят пользователи, а репутационные (а возможно даже и юридические) последствия нести банку.
Чушь! Пользователи и 40-символьный пароль легко могут раскрыть "сотруднику безопасности банка" (массовая практика) и что-то никто никаких "репутационных и юридических последствий" за это не несёт))
Ну теорию почитайте - подавляющее большинство взломов происходит не словарным брутфорсом, а методами социальной инженерии. Тем более, что с брутфорсом надо бороться как раз не усложнением генерации, а обрезанием количества попыток неверного ввода.
Я понимаю, просто в такие дебри решил не вдаваться )
Так-то и ограничение попыток, на моем личном опыте, не всегда помогает - при достаточном уровне мотивации начинают словарный брутфорс с ботнета, иногда и с миллионов разных IP. Более-менее помогает двухфакторная аутентификация по e-mail. Но порой прорываются и через нее.
Новые времена - новые проблемы.
начинают брутфорсить по словарям с разных IP
Т.е. будем фиксировать IP, а не кол-во попыток входа в один и тот же аккаунт? Странно, почему же не помогает))
Про 2FA - только что описал историю из личного опыта.
Т.е. будем фиксировать IP, а не кол-во попыток входа в один и тот же аккаунт? Странно, почему же не помогает))
Т.е. блокировать ни в чем не виновный аккаунт после N неудачных вводов пароля брутфорсерами? Разве это не открывает возможность для атак типа заблокировать чужой аккаунт зная только его логин?
А разве так сейчас не везде? Ввёл три раза неправильно - ну если не блочим на какой-то временной интервал (хотя об этом часто предупреждают заранее), то запускаем какую-то процедуру "вам выслано письмо с кодом подтверждения".
Я вот постоянно на такое натыкаюсь "у вас осталось 2 попытки"... Не думаю что смена IP (особенно с учётом динамических IP) или браузера тут должна помочь.
У нас авторизация в банках, на гос. сайтах и прочих важных ресурсах возможна по личному коду. Это можно сделать несколькими способами:
ID карта в картридер и ввести пин1 или пин2 (зависит от того, что вы хотите сделать).
Личный код + ввести пин1 или пин2, который вы вводите в специальном приложении, куда приходит запрос.
Личный код + пин1 или пин2 в смс, который придёт и может быть отправлен только с определённой сим карты (номер телефона тут не поможет, это функция самой симки).
Но в последнее время очень много мошенников и народ сам это всё делает. Поэтому безопасность вещь сомнительная. А когда ты ввёл пароль пин1 на вход в банк и пин2 на подтверждение перевода или получение кредита - очень сложно доказать, что это были мошенники, а не ты сам...
В контексте банков для пункта 1 возможен вариант, когда вместо ID карты используется банковская.
Но в последнее время очень много мошенников и народ сам это всё делает. А когда ты ввёл пароль пин1 на вход в банк и пин2 на подтверждение перевода или получение кредита - очень сложно доказать, что это были мошенники, а не ты сам...
Потому что это и был ты сам. Теоретически, надо доказывать, что мошенники, собственно, мошенничали и уболтали тебя(или за кого ты вступаешься) до утери понимания происходящего.
Ситуация, по идее, не должна отличаться от той, когда ты сам лично бумажную наличность непонятно кому отдал/купил задорого что-то ненужное, однако же всякие защиты от такой атаки почему-то дополнительно вводят.
Зачем равняться на дебилов?
Дебилы сильнее всех воняют — и потому многие предпочитают им потакать, нежели ежедневно с ними бодаться.
Что значит "нельзя доверять этот вопрос"? Они не дети, не преступники, чтобы быть пораженными в правах, они совершеннолетние взрослые люди. Если они что-то не знают или не умеют — им и нести за себя ответственность. А подход "им это нельзя доверять" отнимает и у них, и у остальных и ответственность, и права.
Так что по мне — очень однозначный вопрос.
Абсолютно нормально считать, что человек без специального образования не может достаточно хорошо разбираться в узкой теме и полностью самостоятельно принимать решения. Вот вам другая область – медицина. Все эти "согласия на вмешательство" вещь зыбкая, в случае проблем пациент (или его представители) просто могут сказать в суде "у меня нет специального образования, я не мог понимать, на что даю согласие". Это, если что, не только в России так, в США тоже. И суд встанет на сторону пациента.
Что-то похожее и здесь. Человек имеет право не разбираться в "этом всем".
Помню как то приехал друг из асашай, когда снял бабки с банкомата не вводя никаких пин кодов я удивился, мол а если я украду у тебя карту? Так там камера что снимает? А ведь действительно? Что не так с нашими банками? Может я чего то и не понимаю но все еще приходиться вводить безполезный пин код при снятии наличных.
Это не узкая тема, это его право на принятие решений относительно его собственной безопасности. То же самое, как не давать рисковать вообще. Так что нет, не нормально.
Медицина? И что с ней? Человек так же имеет право отказаться и рисковать или выбрать смерть.
И не надо в этом разбираться, достаточно просто делать выбор и нести ответственность за него.
Покуда врача могут засудить за "свободный выбор", выбора у пациента не будет. Покуда банки и все, кто обрабатывает ПД, могут быть наказаны за недостаточность мер по обеспечению безопасности, выбора не будет. Смысл верить на слово человеку, что он "берет всю ответственность на себя", если он по закону не может этого сделать? В случае проблем он прикинется чучелком и скажет "я не понимал, на что даю согласие". Всё.
Вот пример. Оцените аргументацию пациентки, и ведь суд в итоге встал на ее сторону.
Законы пишут не безопасники, решения в суде принимают не безопасники, так что вины безопасников в происходящем очень мало.
Ну так можно не верить на слово, а на подпись давать. Но предпочитают в принципе сразу относиться, как к недееспособным.
Что государства так, это отдельный тоже вопрос. Тоже те еще... решатели.
Так в том-то и дело, что подпись ничтожна в силу отсутствия специального образования, и это решили не безопасники/врачи/другие специалисты, а сами люди и государство, их представляющее. В моем предыдущем сообщении ссылка, читали? Там именно о том и речь, что согласие есть, подпись есть, но люди настаивают, что им всё-таки недостаточно хорошо объяснили, а поэтому согласие, которое они дали, не может считаться информированным. Если люди скидывают с себя ответственность, ее берет кто-то другой. Всё.
Я сильно сомневаюсь, что люди что-то решали. Вот государства да.
А вот и надо бы, чтобы не могли скинуть. Глядишь, и безопасность внезапно не так нужна станет.
Допустим, я соглашусь, что не вся ответственность здесь на безопасниках, но. Они, по своему положению экспертов, как мне кажется, как раз могли бы в некоторой степени влиять на то самое законотворчество, в отличие от обычных людей.
Это как с VPN пока не стрельнет никто не будет разбираться, отдать ответственность пользователю и все научатся.
Предлагаете давать мошенникам беспрепятственно наживаться за счет глупых пользователей и обзаводиться огромными ресурсами которые потом будут использованы против всех остальных?
Предлагаю людям отвечать за свои действия и думать, прежде чем делать.
А если правоохранители не могут воспрепятствовать мошенникам без того, чтобы сажать на поводок остальных, может это в правоохранителях дело?
Так уж принято, что государство, как вы выразились, «подтирает сопельки». Например, даже самого отъявленного антипри и/или его детей будут в случае столбняка (а равно и другой болезни, профилактируемой вакцинами) спасать за счет средств ОМС. К тому же, у нас демократия, то есть власть большинства. Большинству не знакомы такие проблемы, как "надо срочно перевести между счетами, а я не в России".
К тому же, на полученные с помощью мошенничества средства часто не просто вкусно едят и красиво одеваются, а финансируют другую противоправную деятельность, которая может больно ударить и по тем, кто умеет хранить пароли.
Демократия у нас липовая, да и когда бы нет — она не власть большинства... Скорее власть тех, кто это большинство сумел подписать себе голоса отдать. А это не то же самое.
Вот и зря подтирает. Ни к чему хорошему это не ведет.
А что до финансирования... Так на то и правоохранители, по идее, чтобы до них добираться. Легким путем решили идти просто, что тоже к хорошему не ведет.
У правоохранителей нет ресурсов даже на то, чтобы ловить сегодняшних тощих мошенников, предлагаете половину госбюджета на эту движуху выделить? На самом деле это классическая история из азов теории игр, в принципе аналогичная ситуации с устойчивостью к антибиотикам. Чем больше давать паразитам разожраться, тем дороже будет потом их останавливать.
Предлагаете давать мошенникам беспрепятственно наживаться
Банкам замораживать переведённые [потенциальному мошеннику] от неизвестно кого средства на счетах на N дней «до выяснения»? Да не, ерунда какая!
Это как с лекарствами по рецепту. Нельзя давать права людям - залечат себя. Безопасность - очень сложная тема. Надо быть специалистом, чтобы без мнимой осведомленности принимать решения
Не "нельзя давать", а нельзя отнимать. Залечатся — пускай, имеют полное право. Это из жизнь и их здоровье.
Неважно, сложная тема или нет. Люди имеют право на принятие собственных решений, знают ли они что-то про теме или нет.
Не "нельзя давать", а нельзя отнимать. Залечатся — пускай, имеют полное право. Это из жизнь и их здоровье.
Смотри устойчивость бактерий к антибиотикам. Их выдают по рецептам в том числе и для того, чтобы народ их бессистемно не применял, вырабатывая эту самую устойчивость. А не только по причине 'отравятся же'.
Я в курсе про устойчивость. Но выше речь шла не об этом, а о "залечатся" и о рецептурных препаратах.
Меж тем, именно антибиотики не все и не везде продаются по рецепту, а до недавнего времени и все без рецепта были.
Гормональные препараты почему рецептурные?
Вшивый амлодипин почему формально по рецепту(в КЗ по крайней мере)? Что бы пенсионер больше двигался?
Если даже опустить вопрос о том, что при бесконтрольном отпуске лекарственных средств можно подмешать что-нибудь другому человеку, нельзя считать, что государство спокойно должно допускать "самозалечивание". Выращивание гражданина достаточно дорого стоит, чтобы позволить ему просто так себя залечить. Вон в США достаточно мощный орган есть, FDA. Одна из позитивных историй о регуляции оборота.
Идея права вещь странная. Допустим, лет сто пятьдесят назад было нормально рассуждать, что рабочие они же свободные люди, имеют право работать по 16 часов в день без выходных. Они ж сами на завод идут. Ну, правда, иначе могут совсем умереть с голода, но свободные же, сами выбирают. И на опасные производства тоже имеют право идти работать? Сами же выбирают? Но нет, в итоге добились запрета на производство спичек на основе белого фосфора.
Кто желает подмешать, делает это и так, никакие ограничения не помеха. Так же, как замки — от честных людей.
А государство не должно лезть в частные дела людей. Оно должно устанавливать правила взаимодействия между ними, и на этом все.
Право имеют. Чьи права в этом вопросе ограничены, это не рабочих, которые все еще такое право имеют, между прочим, а работодателей по эксплуатации рабочих. Так что не надо переворачивать этот вопрос вверх ногами.
Запрет производства на равен запрету на нем работать.
Не согласна, ограничения могут быть серьезной помехой. Что-то я не слышала о том, чтобы сейчас были популярны "милые розыгрыши" в духе "подмешай ЛСД в кофе коллеги и посмотри, как он будет убегать от демонов".
Просто сейчас последствия неизбежны. Да и отношение к подобным розыгрышам поменялось. А вот кто медикаменты мешать из злых побуждений любят, так так и делают.
Оборот наркотиков ограничен, но производство идет, регулярно все новых накрывают.
Оборот оружия ограничен, но это никогда не мешало именно преступникам.
И так далее.
Оборот оружия ограничен, но это никогда не мешало именно преступникам.
Это популярная, но абсолютно неверная, глупая и вредная мантра.
Да, Аль Капоне ствол найдет. Но конкретно Аль Капоне я не опасаюсь. Я опасаюсь наркомана, который не может наскрести на дозу. И если отменить ограничения на оборот оружия — завтра его понакупят экзальтированные девицы и додики всех мастей, — а значит послезавтра оно будет у этого наркомана.
И если нож в трясущейся руке — это скорее смешно, чем страшно, то прыгающий палец на спусковом крючке — вот этого хотелось бы по возможности избежать.
Это не мантра, это факт. И опасаться надо не Аль Капоне, биг босса, а как раз мелочи. И им, как и наркоманам, заметьте, как раз и не мешает.
А вот про "если отменить..." — это уже мантра, хоплофобская, классическая. Глупая, неверная и вредная, по вашему же выражению.
Нож, говорите, смешно? Ну, вы, видимо, не сталкивались с таким ножом и не знаете особенно много о таких ножах и руках. Поверьте, вам стоит бояться именно такого ножа в такой руке, а не пистолета, даже по статистике.
вы, видимо, не сталкивались с таким ножом и не знаете особенно много о таких ножах и руках
Я вырос в конце 80-х между Лиговкой и Марата, в двух кварталах от Московского вокзала г. Ленинграда. Этому опыту верится больше, чем ноунейму из интернета.
Я ни за какие коврижки не соглашусь жить в месте, где легализовано оружие, даже без ношения.
Ваше право. Жить, где захотите. Которое тоже никто не вправе отнять.
Так же, как ваше право игнорировать все, кроме того, что подкрепляет ваши взгляды.
Я вам за "нож в ручонке" могу так сказать. Умереть от кровопотери, потерять зрение при травме глаз и так далее у вас вероятность куда выше при столкновении с таким наркоманом, чем нарваться на пулю. Они вообще пользуются подручными предметами часто, и шариковая ручка в глазу или в ноздре ничуть не приятнее, чем порезанная, скажем, рука. А если попадет ножом тем или лезвием по артерии (и это вполне вероятно как раз из-за того, что будет махать почти вслепую), умрете вы едва ли не быстрее, чем при выстреле, только в отличие от него нож бесшумен и не привлечет внимания. Вот вам и "смешно", продолжайте смеяться.
Сравните сценарий. Некий сверх одаренный юноша прочитал про то, что можно пост--р подмешать в еду девушке, чтобы поменьше переживать о возможности появления потомков. Пошел в аптеку, без рецепта купил и подмешал. Второй вариант: история та же, но нужен рецепт от гинеколога. Попасть к гинекологу на прием, будучи мужчиной? Заслать туда знакомую даму? Но ведь ей дадут рецепт на один раз, предварительно прочитав лекцию о способах контрацепции, и многократно эксплуатировать эту "уязвимость" не получится. Квест становится затруднительным, увеличивается вероятность того, что юноша всё-таки решит использовать более безопасные для здоровья способы контрацепции.
Так что прекрасно работают ограничения. Основная масса злоупотреблений происходит не от закоренелых преступников, а от серой, колеблющейся массы, которую вполне достаточно немного подтолкнуть в нужном направлении.
На совсем так. Основная масса преступлений совершается без умысла — было бы спорно и потребовало бы разбирательства, но было бы применимо здесь. Ведь чтобы подсыпать — как раз умысел и нужен. И когда сидите вместе пьете не до того, чтобы "пойти в аптеку и купить", такие вещи с собой обычно уже имеют. И те, кто с собой такие вещи носит в поисках "кому бы подсыпать", аптекой, поверьте, не ограничены никак. Больше того, зачастую не хотят там светиться вообще и без всяких ограничений.
Что касается именно упомянутого вами препарата, то он, сколько помню, не относится к разряду растворимых? Да и в целом: насколько этот сценарий взят из реальности, а не просто придуман? Часто ли таким образом пытаются использовать контрацепцию именно? Пытаются ли вообще?
Ну и нет, конечно же, никакой "серой колеблющейся массы", и конечно же недостаточно просто "подтолкнуть" людей. Большинство и без наличия полицейских и камер рядом переходят дорогу по правилам, не лазят по чужим карманам и так далее. Это всегда был и есть удел меньшинства.
Реальный, к сожалению. Я понимаю, что пример специфический, но мне просто доводилось участвовать в обсуждениях на тему "хорошо ли, что ограничили оборот данного препарата", поэтому по ассоциации пришел в голову именно такой пример.
Придти одному в аптеку и купить безрецептурный препарат за наличку это одно. Доставать обходными путями – другое. Хвостов больше, а шлангом прикинуться сложнее. Происходит охлаждение, и большинство отказывается от нехорошей затеи.
Да не так уж и больше. Не такое уж хитрое дело.
Отказываются большинство еще на этапе перед планированием на деле, тем более, от столь... глупых по правде-то планов. И случаев таких, хоть и реальных, но вряд ли много было и до рецептурности препарата. Что до хвостов, то это как раз приходит в голову только тем, кто подливает/подсыпает совсем другое, то есть, знает, что это криминал. А для такого глупым это "а че такого".
И теперь юноша должен идти к бабке-травнице (ну судя по интеллекту - самое то) и подмешивать жижу совершенно непонятного происхождения...
Ну и опять возникает фундаментальный вопрос - а судьи кто? Потому что эти запреты, судя по их целесообразности, придумывает как раз та самая "серая, колеблющаяся масса" ;)
Ну не сможете вы поставить защиту от дурака на каждый чих! На то он и дурак, чтобы найти самый непредсказуемый способ обхода здравого смысла))
В каком смысле – должен идти к бабке? У него есть другие способы добиться желаемого, легальные. Вот ими и воспользуется, если уж способ, влияющий на чужое тело, сделан недостаточно привлекательным с помощью регуляции оборота препарата.
На каждый чих защиту поставить нельзя, но это не значит, что и не надо пытаться.
Вот ими и воспользуется, если уж способ, влияющий на чужое тело, сделан недостаточно привлекательным с помощью регуляции оборота препарата.
Вот ваша ошибка - вы считаете (как и государство), что единственное, что останавливает гражданина от каких-то аморальных действий - это бюрократический запрет, а вовсе не понимание аморальности данных деяний.
На каждый чих защиту поставить нельзя, но это не значит, что и не надо пытаться.
Ага, главное только не переусердствовать ;) Например, запихнуть условный ацетон в прекурсоры или целиком забанить домен *.ua...
Кстати, как думаете - не пора ли в магазинах снимать с полок уксусную кислоту?
Выращивание гражданина достаточно дорого стоит, чтобы позволить ему просто так себя залечить.
А в случае вспышки "африканской чумы людей" превентивно забить поголовье?
Может я и предвзято отношусь, но мне постоянно видится отношение к людям, как к cattle, у сторонников безопасности и "твёрдой руки".
Недавно на хабре была интересная статья про самоодомашивание человека. Если мы сами себе "домашние", то сами себя ограничиваем соответствующим образом.
Вы, я и все остальные постоянно полагаемся на государство. Рассчитываем на то, что еда в магазинах безопасная, что детские игрушки безопасные, что электроприборы не будут норовить ударить нас током при правильной эксплуатации, что дипломированный врач не предложит нам лечиться заячьим пометом и тд и тп.
Выше было возражение от RavenStark, что государство не должно лезть в частные дела людей. Так ведь взаимодействие с банком это не отношения между двумя физлицами, это отношения между физлицом и юрлицом. Так что тоже вполне себе подлежат регуляции.
"Доктор сказал в морг, значит в морг!"
Учавствовать в выборах им можно, а доверить нельзя?
Им уже доверили выбор:
возможность не пользоваться сервисами, чья система безопасности кажется им избыточной
с помощью тех самых выборов и прочих возможностей юридической системы внести закон, заставляющий авторов сервисов делать те или иные элементы безопасности опциональными
Если пользователи этого не делают - значит не считают проблему столь уж серьёзной ;-) Ну правда, точно так же как пользователь хочет иметь право везде использовать пароль "12345678", так и работники сервисов имеют право не позволять ставить такие пароли, чтоб потом не объяснять журналистам или в суде, что они ответственности за слив данных пользователя не несут.
А ещё бесит, когда тебе нужна информация с какого-нибудь сайта, но тебя там заставляют зарегистрироваться и требуют ввода сложного пароля.
Вот тут реально пофиг, что пароль будет 111
возможность не пользоваться сервисами, чья система безопасности кажется им избыточной
тут есть хорошая доля обмана. Если бы эти сервисы на главной странице перед регистрацией показывали все негативные случаи от своих безопасников, то лишились бы половины своих клиентов. А сейчас клиент наталкивается на проблемы уже будучи заложником ситуации - когда много процессов завязано на этот сервис и переходить к конкурентам уже порядочная головная боль.
По сути мы имеем намеренное введение в заблуждение клиента относительно услуги.
Учавствовать
Как говорила моя училка по русскому, «ну вот, опять чавкнул!». Проверочное слово — «участие».
А проверочное слово для "чувствовать" - "чувство"? Так и запишем в соответствии с фонетической транскрипцией - "чуство" ;)
Несколько порочную практику вы предлагаете с этими "проверочными словами". Надо просто запомнить))
Это не «я предлагаю», так
испокон веков учили
Естественно, в проверочные слова выбираются такие, к каким никаких вопросов нет. У Вас есть какие‑то вопросы к слову «участие»?
Это именно вы предлагаете)) Ваша выдержка тут мимо - мы проверяем не безударную гласную и не парный согласный ;)
У нас тут вообще некая мнимая согласная. В фонетической транскрипции никакого [в]/[ф] не наблюдается. Это просто обратная аналогия с чуствовать/чувствовать. Многие машинально путаются в них.
Естественно, в проверочные слова выбираются такие, к каким никаких вопросов нет.
Только вот в этом-то и есть небольшая проблема - как понять, что ты нашёл правильное проверочное слово?))
«Чтобы правильно задать вопрос, нужно знать большую часть ответа» (c) Р. Шекли
И кстати, проверочное слово к "чувствовать" вы не подберёте, потому что "словарное слово".
Вот и говорю - порочную практику предлагаете! Потому что правописание участвовать/чувствовать идёт парой. В первом случае вы найдёте проверочное слово, во втором нет. Как следствие - напишете чуствовать.
А есть ведь ещё чередование согласных - вот потеха-то будет с бездумным поиском проверочных слов...
Потому что правописание участвовать/чувствовать идёт парой.
Нам классе во втором учительница рассказала мнемонику: в «участвовать» уже есть дополнительная буква («у» в начале) — поэтому «в» отдали в «чувствовать». Как калёным железом впечатала: я теперь скорее «карова» напишу, чем там ошибку сделаю.
Не притворяйтесь глупее, чем Вы есть, пожалуйста — у Вас плохо получается.
Проверочное слово — это слово, в котором нужный нам звук — тот самый, который вызывает у нас сомнения — звучит чётко и ясно.
В слове «участие» все звуки звучат чётко и ясно. Есть ещё вопросы?
Давайте для начала учтем, что требования к паролю стали такими не просто так...
Напоминаю, что раньше когда не требовали буквы в разных регистрах, спец. символов и т.д. согласно данным из утечек паролей, самыми популярными были qwerty, 1234567 и т.д. и доля таких паролей была порядка 30% и выше...
Давайте для начала учтем, что требования к паролю стали такими не просто так...
Да в значительной мере 'просто'. Можно же было требовать не вот это все, а длину пароля.
Если расследовать - то, поди, окажется, что когда-то давным-давно для ввода пароля просто использовали буфер фиксированного размера (никаких строк произвольно длины) и поэтому с длиной не выходило.
и доля таких паролей была порядка 30% и выше...
И что дальше? Ставим скрипт на брутфорс и пробуем перебирать? А система авторизации попросту игнорирует бесконечный стук перебора? Ведь мы уже "обезопасили юзера" требованиями к паролю? Или пробуем угадать "с трёх попыток"?
раньше когда не требовали буквы в разных регистрах, спец. символов и т.д. согласно данным из утечек паролей, самыми популярными были qwerty, 1234567 и т.д. и доля таких паролей была порядка 30% и выше...
...а как начали — самым популярным паролем стал "Password1"!
Так провести экзамен.
Мне видится это так: менеджеры\аналитики запугали бизнес репутационными издержками в ситуации, когда владельцев сервиса обвиняют в том, что "позволили поставить легко взламываемый пароль" и юзеров взломали из-за этого (а не из-за того, что пароль был password или 12345678).
В идеальном мире в таких случаях нужно смотреть: проблема в защите сервиса от брутфорса или юзер реально поставил свое имя-фамилию в качестве пароля и в последнем случае бизнес не должен бояться сказать, что пользователь ССЗБ и это целиком и полностью его вина.
А практика "password policy" должна отсутствовать как класс. Любая такая политика уменьшает пул возможных комбинаций подбора пароля.
Вправе ли заёмщик сам решать, хочет он брать ипотеку в долларах под 2% или в рублях под 18%?
И должны ли его потом остальные налогоплательщики спасать, реструктурируя его ипотеку по льготному курсу?
А они и не решали, им отказывали в рублёвой но разрешали в долларовой.
Вправе.
Не обязаны.
Вы умолчали о третьей стороне: государстве. Которое напрямую влияет на обрушение рубля и то, останется ли ипотека в долларах под 2% выгоднее или нет. Действия именно государства привели к обрушению курса (и при этом расходились с обещаниями государства о стабильности и ожиданием граждан именно этого) и кажется вполне логичным, что государству за это неплохо бы и отвечать.
И да, государство получает деньги от налогоплательщиков, но исключать его как актора из рассмотрения - это сильно терять смысл.
А у какого процента граждан, как вы думаете, понятие «стабильность» ассоциируется хоть каким-то боком с понятием «курс рубля к иностранной валюте»?
Думаю, что у большинства это работает, хоть это и не выражено в понятиях "курса". Но через наблюдаемые цены в магазинах и зарплату.
Учитывая, что сейчас мир сильно глобализован, в магазинах огромное количество иностранных продуктов (или произведенных с помощью иностранных технологий). Поэтому курс прямо влияет на возможность что-то купить. И понятие стабильности, думаю, можно выразить во фразе "в следующий месяц/год смогу купить примерно столько же", где компонент "купить примерно столько же" я преобразую в "соотношение дохода и курса будет примерно таким же".
Вправе ли сам пользователь решать, нужна ли ему эта безопасность
судя по тому, как люди используют ремни безопасности в машине - особых надежд питать не стоит
В теории можно пойти в банк и написать отказ от всех претензий, если что-то случится с деньгами. Скорее всего после такой отказной денег вы больше не увидите практически сразу.
Битва безопасников и воров не прекращается
Это слишком часто одни и теже люди, которые и симку перевыпустят и кредит по ксерокопии документов выпишут немного похожему на вас парню.
На самом деле свобода = безопасность. Потому что та хрень, которую впаривают под соусом "безопасности" к реальной безопасности относится примерно никак.
Потому что основная угроза - не от мифических хакеров, которые типа неведомым телепатическим способны способом узнать 20-символьный рандомный пароль, но почему-то не могут угадать 4 цифири из смски, а от этих так называемых "безопасников", которые ради своей ИБД готовы ввести любой маразм в продакшен. Например заменить нормальный логин на номер телефона, а пароль - на 4 цифири, но при этом реализовать хотя бы TOTP - вне их сил.
Свобода и безопасность - это когда твои ключи храняться только у тебя, и не зависят от веления левой пятки каких-то мутных типов в разных гнилых конторах. Когда внезапно не станут требовать 2-3-4..nFA, которую ты никогда не настраивал и не включал (тындекс горите в аду).
> хранятся в специализированных БД, приложениях вроде KeePass, и так далее
Вы знаете, ворам это тоже очень удобно, они знают где храняться пароли и какие файлы нужно красть, за чем следить. Не нужно обшаривать весь компьютер изучая где человек что хранит - можно украсть пароли из хранилища браузера например и делать это скриптами.
Это какой-то неграмотный бред, простите. Вы где credentials предлагаете хранить-то? В голове, на листочке?
Вы знаете, ворам это тоже очень удобно, они знают где храняться пароли и какие файлы нужно красть, за чем следить
У вас посторонние люди имеют доступ к устройству? Во первых, любая БД подобных приложений защищена мастер-паролем, а во вторых, кто вас заставляет сохранять оригинальное расширение файла? Можно переименовать в какой-нибудь *.mp4 или оставить без расширения.
В хранилище паролей KeePass которое в контейнере Veracrypt...,
...которое на холодном шифрованном носителе и тут отскакивает один контакт от него, оп-па!
Имхо, не стоит забывать, что вероятность отказа всего этого нагромождения начинает складываться.
...который на диске, зашифрованным VeraCrypt
...который внутри VM под Linux, на диске, зашифрованным DM-Crypt...
we need to go deeper!
любая БД подобных приложений защищена мастер-паролем
А если вас база данных не будет пускать?)
Извините за сарказм, не удержался
У вас посторонние люди имеют доступ к устройству?
А у вас?
Могу отправить вам БД keepass, буду рад если кто его взломает и я от нее откажусь...ну или пароли в firefox.
Я раз в год свою базу записываю на флешку, флешку завязываю в презерватив, и прячу в руинах за городом.
Надо еще в фольгу завернуть :)
Современные флешки наверно быстрее деградируют без питания, чем их предки из 2000-х.
Наверное потому что слишком много китайского ширпотреба. Я задолбался искать оригиральный nvme
Samsung 840 SSD (TLC) прекрасно в онлайне деградировал по скорости чтения до 20-40 МБ/с линейно в некоторых блоках.
Смотрел сегодня, что за китайский зверь Lexar LQ790 (контроллер MaxioTech, флэш YMTC): никаких пост-мортем вопросов и отзывов вообще нет. Интересно, они настолько непопулярны или так редко ломаются?..
Флешка, купленная в июле 2009 года, которая в компьютер вставлялась только один раз — в середине 2024-го, — читалась нормально.
так эта БД разве не расшифровывается в памяти? И вирус заточенный под это и сидящий в памяти не сможет украсть данные? да и пароль покидая программу проходит через буфер обмена и браузер. Это тоже доверенные приложения не подверженные атаке?
Современные операционные системы не позволяют читать память другого процесса. Если только вирус не пробрался в ядро, но в этом случае уже ничто не спасет.
огромная часть населения все еще любит кряки, отключая антивирус при их установке и выполняя от админа, а также большинство вирусов эксплуатирует разные уязвимости для повышения привилегий.
Правильнее "не должны позволять", но вот иногда простые и не очень уязвимости оказывается позволяют вредоносу добраться до защищенной от него памяти...
Так и есть,но программа автоматически очищает буфер, даже если вы скопировали и вставили пароль...тут вопрос не в том что его невозможно взломать а про сложность сие процесса. Я не безопасник, но остается доверять разрабам, и с большей вероятностью они учитывают все выше перечисленное.
Если есть альтернатива получше то делитесь будем благодарны.
Видимо, утекшие данные 90% россиян тоже хранились в KeePass. Ворам явно было очень удобно. /sarcasm
А потом начинается - меня не защитили, мой аккаунт угнали, бедной несчастной бабушку выдали кредит, который она перевела мошенникам вместе с гробовыми - "куда банк смотрел" и прочее.
Не ИЛИ. И. И вопрос баланса. В целом я согласен с автором, сегодня баланс излишне перегнут в сторону безопасности.
Самый главный барьер в системе безопасности - мозг. Можно запилить 100500+ факторов аутентификации, но всегда найдётся масса людей, которые абсолютно любые эти самые барьеры будет сливать всяким совершенно незнакомым личностям как воду в песок.
-Вам должна прийти СМС-ка с кодом подтверждения.
-Да, пришла, [но тут написано: "никому не сообщайте код"].
-[я сотрудник службы безопасности, мне можно].
-1234.
В вашем примере в 99% случаев вопрошающий - действительно сотрудник организации которая и отправила код, а не мошенник. Как люди должны определять спрашивает у них код мошенник или нет?
А как им тогда помогут бесконечные пароли и авторизации?
Все просто, если там написано "НИКОМУ не сообщайте", значит человек его спрашивать не будет. (Хотя наличие "кривых" сообщений никто не отменял, я бы просто сказал "здесь написано не сообщать, идите лесом. Можно конечно попробовать, но тогда ССЗБ).
А я бы сказал, что если пришедший в СМС код просят пересказать голосом, то в 99% случаев это мошенники.
Официальный саппорт Amazon такое делают довольно часто. Только там код не из смс, из емайл, и там в письме прямо написано "сообщите этот код сотруднику техподдержки" (им надо убедиться, что когда они вам звонят по какой-то проблеме или по вашей заявке, на звонок отвечаете именно вы, а не кто-то выдающий себя за вас).
Курьер, привозящий посылку, просит сказать код из СМС, иначе включается Почтальон Печкин, но никак не мошенник.
Как люди должны определять спрашивает у них код мошенник или нет?
Если предъявил гербовые документы о том, что он действительно на этой должности и не менее гербовые документы о том, что человек на этой должности имеет право этот код знать -- значит, не мошенник.
Да, я в курсе, что по телефону предъявить документы затруднительно. В этом и смысл.
Самый главный барьер в системе безопасности - мозг. Можно запилить 100500+ факторов аутентификации, но всегда найдётся масса людей, которые абсолютно любые эти самые барьеры будет сливать всяким совершенно незнакомым личностям как воду в песок.
Какой хороший пример вы привели.
Я вот вспоминаю случай, когда в офисе банка сотрудник этого банка при выдаче карты потребовал код из СМС.
То, что в СМС было написано "Не сообщайте код никому", сотрудника не смутило. Причём настолько не смутило, что он даже отказался выдавать карту, когда клиент ему код сообщать отказался.
Жалоба банку ничего не дала: "Мы проверили - вы всё вретё, на самом деле ничего этого не было".
(И СМС для получения карты было, конечно же, вообще не нужно - сотрудник банка просто хотел под шумок подключить у себя на планшете личный кабинет банка для этого клиента и наподключать ему всякие страховки и информирования.)
сдается мне вы про ВТБ говорите, это у них было в свое время СМС где написано "назовите этот номер сотруднику" и она приходит когда вы перед операционистом сидите.
Нет, не ВТБ.
Это был Совкомбанк. И в СМС было чётко написано - не говорите этот код никому.
На что операционистка начала доказывать, что этот текст ничего не значит, и надо обязательно сообщить ей этот код, иначе карту выдать не получится.
А ещё интереснее то, что эти условия она начала ставить уже после того, как дала клиенту на подпись бумажку, где вместе с заявлением на выдачу карты была сразу расписка, что карта получена.
И в итоге получилось так, что карту она выдавать отказалась, но при этом у неё на руках была подпись клиента, что карту он получил. Т.е. она могла забрать карту себе и делать с ней, что захочет. А виноват по итогу был бы сам клиент.
всегда найдётся масса людей, которые абсолютно любые эти самые барьеры будет сливать всяким совершенно незнакомым личностям как воду в песок.
Да вообще. Ещё из запомнившегося - обычно при выдаче карты либо просто говорят, что ПИН нельзя сообщать никому, включая сотрудников банка, либо выдают его в спецконверте с характерной надписью. Что, впрочем, не мешает операторам каждый день слышать от некоторых клиентов этот ПИН в ответ на фразу "скажите кодовое слово".
Мир не черно-белый. Где-то выберу свободу, где-то - безопасность.
Номер телефона в наше время фактически стал удостоверением личности, так что с этим приходится жить. Esim, по-моему, можно "забэкапить", вроде там код активации не одноразовый?
Может вам просто нужно купить вип обслуживание в банке, коль уж снимаете в другой стране по три штуки баксов (а остальные 99% клиентов банков так не делают) и не забрасывать в гугле аккаунты, а своевременно переносить данные? Ну то есть самому заботится о своей безопасности.
По сути ну слишком быстро огромную массу народа окунули в разные онлайн важности, да и за границу пустили. Так что это болезни роста. И именно свободный рынок рождает такие сервисы без живой техподдержки. Для человеческих сервисов нужно регулирование. В том числе регулирование скорости внедрения всякостей с о слишком быстрым отказом от работающих "устаревших" механизмов.
Ну и аккуратнее с гордыней, а то холопы и прочие старики почуют ветер свободы и лицо поправят так, что тегом "сарказм" не отмахнетесь.
Может вам просто нужно купить вип обслуживание в банке
Какая наивность. Премиальное обслуживание в банках начинается от сумм на порядки больших. Совершенно непонятно при этом как оно решает проблему. Если у вас есть опыт, поделитесь.
то есть самому заботится о своей безопасности
И как вы сами позаботитесь о проблемах работы вашего мобильного оператора в роуминге?
и не забрасывать в гугле аккаунты
В каком смысле забрасывать? У человека на руках все данные, а войти нельзя. Что еще по вашему мнению нужно сделать? Ошейник надеть?
слишком быстро огромную массу народа <...> за границу пустили
Без комментариев.
аккуратнее <...> лицо поправят так
Карму вам уже поправил, проверяйте)
Плюсую. Почему кто-то должен зависеть от гугл аккаунтов? Однажды у меня заблокировали гугл и я потерял доступ к куче сервисов. Теперь я поумнел и не регистрируюсь через гугл, гитхаб, VK, Яндекс и другие "удобные" штуки.
А вообще, скоро потерять/разбить телефон в отпуске будет страшнее чем потерять паспорт.
Прошедшей осенью как раз пришлось позаниматься любительским дайвингом за утопленным с пирса на второй день отпуска телефоном. Хорошо, что оказался трезв и бодр, да и маски рядом продавались, не с первых попыток, но после перерыва со второго захода нашёл).
Телефон после вылова работал?
Ох, коллега по несчастью, я тоже топил, правда по пьяни и не в море, а в пруду, при этом он 3-е суток лежал на илистом дне (на мой скромный взгляд самое надежное место хранения, круче чем в банке :D ) и да, я его уже похоронил, друг при котором все это произошло не сдался и таки нашел его при помощи пинпоинтра привязанным к телескопической палке, и нашему удивлению не было предела, когда телефон ожил узнав меня в лицо, правда зарядки в нем оставалось 6%, но он был полностью исправен, даже Face ID не пострадал, телефон если что iPhone 13Pro. И да, пока лежал на дне меня терзала мысль, что на новый телефон все нужно восстанавливать, но все обошлось, хоть и пришлось все накатывать из Buck Up на новый, в этом плане Apple молодцы... :)
В каком смысле забрасывать? В том, что гугл (уже несколько лет как?) ввел правило, что если в аккаунт не входили больше года (двух? Читайте офиц.инструкции и правила), он оставляет за собой право удалить аккаунт.
Объясняю прямым текстом с пояснениями. 1. Вам нужна от банка живая техподдержка. Как свободный человек договоритесь с банком об этом за мзду малую или свободно найдите банк в котором есть такая услуга. Я не знаю получится найти или осознать собственную "бедность". Но и то и то свобода. 2. Забота о безопасности данных. Я имел в виду не хранить нужное в аккаунтах. Или хотя бы не хранить там, где у вас нет постоянного логина с пары устройств. Вы и с банком и с гуглом от попсовых дешевых (бесплатных) сервисов требуете особого отношения. 3.За границу совсем недавно по историческим меркам ездили только с наличкой и без телефона. Сейчас повалила масса с роумингом и картами. Сервис, включая государственный, не успевает. Ну массового туриста на 10 дней еще как-то обслуживает, а вольного гуляку уже с трудом. Я недавно слушал байки как в Афганистан люди ездили. Незабываемые впечатления. 4. Карму жалеть - на хабр не ходить. Но текст вы написали оскорбительный. Я понимаю что это может быть художественным приемом, но .... не дотягивает.
Вы тему то интересную затронули. Но подали с излишней горячностью и детскими воззрениями на свободу и общество. Люди разные, их много, массовые сервисы не в вакууме существуют. Еще недавно банковское обслуживание было лакшери услугой для избранных, потом массовым товаром, а сейчас это убыточная скорее всего инфраструктура. Потому как у всех зарплата там. И терминал в каждом сельпо, только вот интернет не всегда. Поэтому офисы позакрывали почти все, в приложениях банковских реклама, спам, игры какие-то - никакой солидности. И для банка и для гугла/яндекса/итд мы лишь питательная среда с которой хоть персданных собрать, хоть рекламу продать, если удастся платный сервис всучить (кредит/терабайты).
Увидьте в этом причины и взаимосвязи почти природные. Сложно требовать идеального сада без садовника, сортовых растений, удобрений и газонокосилки.
3000$ это что какие-то дикие деньги?
Это сумма в диапазон 0.5 - 2 зарплаты местных обитателей, примерно
Классическая дилемма хакера и солонки в действии.
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
Cделать пакетики c небольшим количеством соли, которые будет выдавать "доверенный" автомат. Не более одного пакетика в минуту (отметаем DoS). Подменить пакетики, не расхерачив автомат невозможно (исключаем spoofing). Подменить автомат на автомат с отравой - дорого и слишком заметно (автомат лучше прикрепить к стене на замок). Если неймется - повесить огромный плакат со словами "Cоль/перец получать только в этом автомате! При наличии других автоматов и способов получения соли/перца в этом помещении - срочно сообщить об инциденте администрации"
И все это без гребаных паспортов и кодов. Вы конечно можете дальше рассуждать об атаке на supply chain соли которая попадает в автомат, но я привел пример, только чтобы показать, что можно обойтись без идентификации и получения каких либо кодов в данном случае.
Чего только не придумают... А нельзя ли сразу нормально солить и перчить блюда? :)
И мы имеем дорогой автомат вместо копеечной баночки с дырочкой в крышечке.
А потом приходит хакер с баллончиком монтажной пены и запенивает выходное отверстие автомата. Или, если выходное отверстие закрыто крышкой - приклеивает ее суперклеем.
Кстати, никогда не понимал, почему нельзя просто выдавать посетителям личную солонку, вместе с заказом. Ну или одноразовые пакетики с солью, как в фаст-фудах.
Если в столовой случаются попытки массового отравления через солонки - то хакер, в общем-то, прав.
Проголосовал за свободу, но учитывая их клиентов которые не могут тупо завести аккаунт (да у нас тут все еще сущевствуют "программисты" которые за бабки регистрируют аккаунты в icloud, "записывают" программы) то думаю все таки защита от дурака им нужна чтобы потом не судиться.
Теперь не безопасность служит нам, а мы ей.
Полагаю, что Вы изначально ошибались, думая,что безопасность служим нам.
Безопасность банков изначально служит банкам. Защита безопасности банка - это их задача. Защита клиентов возникает из необходимости защиты банка от наказания за незаконное списание денег клиента.
Кроме того, любой системе безопасности надо оправдывать свой хлеб. Поэтому они постоянно совершенствуют систему безопасности и придумывают новые способы проверки. Этому способствует тот факт, что чем дольше не совершается транзакция по выводу денег клиента, тем выгоднее банку - деньги клиента работают на банк.
Всё так! Защититься от хакеров и мошенников можно. Ставить надёжный пароль, настраивать фаервол, не брать трубку с незнакомых номеров, соблюдать разумные меры.
Безопасники - это угроза абсолютно непредсказуемая и неконтроллируемая. Они заблокируют ваш аккаунт и ваши деньги в самый ответственный момент. Вынуждают зависеть от хрупкого и ненадёжного говна типа смс-ок.
Идиотам, которое тут защищают безопасников - заблокировать карту в максимально жизненно-решающий момент, пусть носятся с жопой в мыле. Если не поймут - повторять пока не поймут.
Логин и пароль надежно сохранены. Однако Google не торопится впускать нас в собственную почту.
Безопасники, может, и виноваты. Однако именно у гугла очень давно полно всяких дополнительных штук, которые они (довольно настойчиво) предлагают заполнить, чтобы подтверждать, что я это я. Даже помимо телефонов.
А тут (выделение в цитате мое):
прикрепленного номера телефона нет и не было. Подтвердите что это вы. Выберите способ подтверждения, Увы, доступных способов подтверждения нету
Если тебя старательно предупреждают "заполни, а то может быть плохо", а ты не заполняешь - то Гуглу вполне разумно считать, что учетка бросовая и человек считает, что от потери доступа к ней особо не пострадает.
Вы потакаете темным паттернам. Не надо этих удобных домыслов и ужимок. Пусть говорят честно: «Ставим вам ультиматум: или дайте номер телефона и отныне это будет обязательным вторым фактором, не теряйте; либо мы заблокируем вам учетную запись по одной из следующих причин:
мы хотим рассылать приглашения вашим знакомым из телефонной книги, т. к. нашей компании нужно расти или мы погрязнем в кредитах
мы предоставляем условно бесплатные сервисы, и хотим предотвратить возможность обхода ограничений с помощью привязки аккаунтов к личности
мы хотим оплачивать условно бесплатные сервисы продажей ваших данных рекламным компаниям, либо использовать их самостоятельно для лучшего таргетированния...»
Но нет, приходится быть максимально осторожным, подозревая что любая введённая информация может использоваться [против тебя] как обязательный фактор входа. Список купленных в интернет-магазине игр? Сумма последнего чека? Мне регистратор доменных имён высылал код подтверждения для перехода к другому регистратору на предыдущую (да, которую я давно сменил на сайте регистратора на новую) электронную почту, которая уже удалена почтовым сервисом из соображений безопасности, так как я полгода ей не пользовался. Не хотели терять клиента?
«Ставим вам ультиматум: или дайте номер телефона и отныне это будет обязательным вторым фактором, не теряйте; либо мы заблокируем вам учетную запись
Это неверно. Гуглу нужен не столько телефон, сколько факторы для восстановления. Телефон (номер) просто удобен обычному пользователю.
Вот тут описывал. Учетка, если что, до сих пор живая. Оно номер клянчит но не настаивает. И да, тех пор к списку возможных факторов Passkey-и добавились.
Мне Твиттер дал зарегистрироваться через электронную почту, а через день заблокировал акк с сообщением «Ваш аккаунт заблокирован из соображений безопасности. Введите номер телефона». Сейчас, с приходом Илона Маска ситуация поменялась, но раньше хоть формально и была регистрация по электронной почте, но фактически всех принуждали ввести номер телефона.
Чем Гугл отличается от этой схемы? Только длительностью? Только тем, что блокировка аккаунта наступила не по таймеру, а по смене локации?
Если бы это лишь был дополнительный способ для восстановления доступа, то без его наличия достаточно было бы ввести пароль. Но нет, это обязательный фактор.
Только тем, что блокировка аккаунта наступила не по таймеру, а по смене локации?
А вот тут нужны примеры, что такое происходит. Что-то у меня есть сомнения. Потому что если выкидывание андроид телефона из учетки гугла происходило бы хоть сколько-то регулярно - то шуму было бы много. Впрочем могу ошибаться.
Но тезис сохраняется - Гугл выпрашивает номер телефона совсем не так настойчиво, как это обычно представляется.
Без разницы, насколько настойчиво он просит номер телефона, если человек оказался в ситуации, что в аккаунт невозможно войти т.к. номер телефона не привязан.
Скорее даже наоборот, плохо, что Гугл прямо не сообщил, что без привязанного номера телефона человек когда-то не сможет войти в аккаунт.
По моей ссылке пример создания аккаунта, в который уже несколько лет можно войти и номер телефона он не заставляет вводить. Хотя и просит, да. Что все эти два года успешно игнорируется.
Ваш тезис в том - что это мне повезло и если я сделаю что-то (что?), то мне не получится войти в учетку используя все мои резервные коды, Passkey-и и подтверждения на привязанных телефонах(аппаратах, не номерах - номеров у них нет)?
Чем этот тезис подтверждается?
У меня тезиса два.
Мой первый тезис в том, что как только в распоряжение компании попадает какая-то информация, о местоположении, о номере телефона, о электронной почте и т.д, то компания начинает использовать их как фактор для входа, в случайной комбинации: иногда достаточно любого из, иногда сразу несколько, иногда нужно предоставить всё разом. Компания не предупреждает в каких случаях будет затребовано то или иное, и это очень опасно риском потерять возможность войти в аккаунт. Да, с Гуглом у меня проблемы пока (!) не возникло, но топикстартер говорит о такой возможности, и с другими компаниями у меня таких проблем воз и тележка.
Второй тезис в том, что если юзер не хочет вводить дополнительную информацию, то его ущемляют, начиная от навязчивых сообщений и блокировки некоторого функционала (привет ВКонтакте), да блокировки аккаунта. В какой-то момент "юзер начинает вести себя подозрительно", и оказывается, что войти в аккаунт он больше не может, ведь вернуть статус неподозрительного он не может, т.к. не подключил "дополнительных" способов входа.
Кажется, почта Яху радовала меня сообщением, что я подозрительный и должен ввести номер телефона, и адрес почты, и пароль и тут их фантазия закончилась, что ещё с меня спросить, и мне просто не дали войти в аккаунт.
попадает какая-то информация, о местоположении, о номере телефона, о электронной почте и т.д, то компания начинает использовать их как фактор для входа, в случайной комбинации: иногда достаточно любого из, иногда сразу несколько, иногда нужно предоставить всё разом.
Да. И это, скорее, хорошо. И всегда так работало. Потому что когда один из артефактов входа потеряешь - восстанавливаешь через другие.
Плохо, когда комбинацию факторов для восстановления выбирают слабую.
Про ущемление остальным сервисами - это да, но я говорил конкретно про Гугл и про телефонный номер. Что оно ему не так уж и надо, вопреки распространенному мнению.
Не играйте словами. Я ничего не терял, всегда меня лишали способов входа те организации, в сайты или приложения которых я пытаюсь войти.
По настоящему плохо, когда одновременно абсолютно все возможные факторы кажутся некой организации слабыми. Ты можешь предоставить любую информацию, но будешь проходить бесконечное количество капчей, и они просто никогда не кончатся.
Я ничего не терял, всегда меня лишали способов входа те организации, в сайты или приложения которых я пытаюсь войти.
Когда один из артефактов именно по желанию организации перестал быть годным это, увы, тоже 'потерял'. Пользуемся оставшимися. Хамство со стороны организации, но что поделать.
По настоящему плохо, когда одновременно абсолютно все возможные факторы кажутся некой организации слабыми.
Вот тут соглашусь. Нельзя так делать. Но следует отличать от случая, когда фактор и был всего лишь один, хотя мог сделать несколько.
Но следует отличать от случая, когда фактор и был всего лишь один, хотя мог сделать несколько.
Чем больше точек входа, тем выше риски. Не так давно я видел предложение добавить контрольный вопрос для восстановления пароля, с выбором из фиксированных пунктов, типа клички любимой собаки или девичьей фамилии матери. Вам может показаться, что другие способы, например код из СМС более надёжен, но два года назад я получал симкарту по ксерокопии чужого паспорта.
предложение добавить контрольный вопрос для восстановления пароля, с выбором из фиксированных пунктов, типа клички любимой собаки или девичьей фамилии матери.
Куда вводится длинный случайный набор символов, который записывается и кладется в надежное место. Оно - просто дурное название для 'код восстановления'.
Вам может показаться, что другие способы, например код из СМС более надёжен, но два года назад я получал симкарту по ксерокопии чужого паспорта.
Поэтому набор возможных артефактов доступа и должен быть большим. Настраиваешь те, которые ты лично надежными считаешь. Главное - чтобы их было достаточно много. Гугл тут пример как все это делать более-менее правильно.
Вы ведь, наверное, понимаете, что почта в гугле и аккаунт андроида -- несравнимые вещи?
Вместе с акком в телефоне Гугл получает ВООБЩЕ всё: номер, SIM, IMEI, всё-всё-всё.
Ну и вишенка на тортике: TOTP в гугле нельзя получить без номера телефона.
Такие дела.
Ну и вишенка на тортике: TOTP в гугле нельзя получить без номера телефона
Можно. Тут же рядом ссылку давал.
Вместе с акком в телефоне Гугл получает ВООБЩЕ всё: номер, SIM, IMEI, всё-всё-всё.
Ну, SIM-ки, скажем, в телефоне может и не быть. И по ссылке выше - не было. Так что никакой телефон к нему не ушел. А так - понятно, что в данном случае сам телефонный аппарат служит аппаратным токеном входа. И что в этом плохого?
Можно. Тут же рядом ссылку давал.
Если понадобится ещё почта, купить новый смарт? В браузере попробуйте гугловский акк создать, для чистоты эксперимента.
Если понадобится ещё почта, купить новый смарт?
Google Play на смарте -> иконка учетки -> Add another account -> Create account
Только вот что проверил и создал. Без email, без телефонов
Потом(уже с компа) добавил всякие Passkeys, аутентификаторы, сгенерировал резервные коды.
Потом после этого включил 2FA. Предложили добавить телефон, но была кнопка Skip.
То что после добавления дополнительных факторов - существенно. Если попытаться сразу, кнопки Skip нет.
В браузере попробуйте гугловский акк создать, для чистоты эксперимента.
Вот в браузере - не дают, да. Борются с одноразовыми учетками.
Любопытно, кстати, что, видимо в связи с недавней новостью -- при попытке регистрации с десктопа заставляют брать смартфон, сканировать QR и продолжать регистрацию уже там.
Только вот что проверил и создал. Без email, без телефонов
Только что проверил(правда в виртуальном андроиде. Ну нет у меня под рукой лишнего смартфона для проверки) Уперся в "введите телефонный номер", без возможности Skip. Причем, даже указание номера не помогло. "Ошибка проверки", смс не приходит(если что, я не в РФ), а на хваленом, "благополучном" забугре. Симка стоит в кнопочнике и точно рабочая. Звонил и слал смс на нее/с нее.
правда в виртуальном андроиде.
У меня есть подозрение, что это существенно. Вряд ли оно совсем не в курсе, что он виртуальный. Если борешься с одноразовыми учетками, привязываясь к железу - то такие виртуальные железки, очевидно, надо резать.
Ну нет у меня под рукой лишнего смартфона для проверки
И, если посмотреть, в моем предыдущем сообщении я использовал "Add another account". Т.е. лишний смартфон не нужен - можно обойтись существующим.
Можно, конечно, параноить и говорить, что в этом случае им телефон не нужен, потому что он на первом аккаунте стоит. Но, даже если и так, во вновь созданной учетке номер никак не светится и этот номер для ее восстановления (или угона) использовать вряд ли можно.
И, если посмотреть, в моем предыдущем сообщении я использовал "Add another account".
Это я видел и добавлял аккаунт к существующему. Только делал я это в виртуальном андроиде, а не физическом. У меня есть один тестовый, с гугл аккаунтом, для всяческих экспериментов, типа вашего вышеприведенного. Там номер телефона с запасного кнопочника прописан. Так там при добавлении акка, он все равно потребовал номер телефона, без альтернатив и без возможности продолжить. И черт бы с ним, мне не жалко, но гугл почему-то, не может проверить номер и кидается ошибкой. А свой реальный акк на смарте, я берегу как зеницу ока.
Пардон, но нахрена может понадобиться гуглоплей и аккаунт в нём?
Вот не вижу ни малейшей причины устанавливать это поделие на смартфон/таблетку.
Все прилoжухи прекрасно ставятся из простецких .apk, которые и так надо патчить и удалять гугловские зависимости, просто тоннами. От этих гуглосервисов вижу исключительно один вред, в виде пожирания батарейки, ничего более.
Пардон, но нахрена может понадобиться гуглоплей и аккаунт в нём?
Потому что речь идет не о установке приложений и хозяйствовании Гугла на телефоне, а о том, как почту от них получить, не делясь номером телефона.
Почтовых сервисов навалом. От тутаноты и до протона - они все не требуют номеров телефонов. Достаточно логина и пароля.
Впрочем, вполне нормально себя чувствуют и почтовые аккаунты гугла и яндекса, существующие по 20 с лишним лет - им не нужны номера телефонов.
Впрочем, вполне нормально себя чувствуют и почтовые аккаунты гугла и яндекса, существующие по 20 с лишним лет - им не нужны номера телефонов.
Народ, как бы, не верит. Говорит, что начинают вымогать этот номер (особенно если 2FA пытаться включить).
Вот и приходится убеждать, демонстрируя рецепты, что нужно сделать, чтобы не вымогали.
Народ, как бы, не верит. Говорит, что начинают вымогать этот номер
Рецепт от вымогательства простой - последовательно заводить аккаунты с номером телефона, одним и тем же. После превышения количества привязанных на один номер (20-30 штук) они опять становятся свободными, без привязки. Просто в "порядке живой очереди" или fifo
Рецепт простой и работающий - сотни гугло/яндексовых аккаунтов лично у меня.
Ну или просто не поддаваться на вымогательство - мобильный номер не является обязательным для граждан.) Отбивайтесь через техподдержку.
Для ресурсов типа туты и протона - не требуется. Эти конторы до скотства с вымогательством ещё не дошли
Если понадобится ещё почта, купить новый смарт? В браузере попробуйте гугловский акк создать, для чистоты эксперимента.
Как альтернатива, можно создать в Андроид эмуляторе или виртуальной Андроид машине.
Как альтернатива, можно создать в Андроид эмуляторе или виртуальной Андроид машине.
Я подозреваю, что-нибудь сломается. Там Гугл наверняка нормального аппаратного хранения ключей разных хочет. В эмуляторах и виртуальных машинах с этим как?
Подозреваете зря. Автореги аккаунтов гугла, продающиеся на даркмаркете, делаются именно на специализированных эмуляторах мобил. Стоят чуть дороже конечно, чем раньше, но вполне доступно.
Как всегда, театр безопасности принёс геморрой добропорядочным пользователям. Злонамеренных он притормозил на пару минут, заодно позволив поднять маржу. ¯\(ツ)/¯
Итак, в сухом остатке:
Регистрация мыла, которое требуется вот вообще везде, от самых помоечных ресурсов до госуслуг, остающееся до сих пор основным каналом связи для чего угодно(и это действительно удобный канал связи; смс, мессенджеры и т.д. рядом даже не валялись), из действия в 5-6 кликов в начале нулевых, превратилось в спецоперацию с эмуляцией(не удивлюсь, если и запрещённой в EULA Гугла) аппаратных токенов идентификации.
На ровном месте. Просто потому что стадо ходит без бирок, а это непорядок.
, из действия в 5-6 кликов в начале нулевых, превратилось в спецоперацию с эмуляцией(не удивлюсь, если и запрещённой в EULA Гугла) аппаратных токенов идентификации.
Для тех, кому нужно много бесплатных адресов. Если не бесплатно - покупаем почтовый сервис. Если не много - просто берем телефонный аппарат, регистрируемся и пользуемся.
Удивительно что вообще так долго держались. На кой им эти миллиарды бросовых учеток?
Просто потому что стадо ходит без бирок, а это непорядок.
Не совсем. Просто потому что неограниченный бесплатный ресурс абузят. Привязка к номеру - способ сделать ресурс менее бесплатным и менее бесконечным, прицепившись к другому, более ограниченному.
У Apple, кстати, с этим как? Они почту не дают вместе со своим id-ом? Там можно наделать целую пачку учеток, не имея устройства производства этой компании?
Слушайте, а как предполагается существовать, допустим, при переезде в другую страну, когда я при всём желании не могу а) сохранить прежний номер телефона; б) знать, в настоящий момент, каков будет мой новый, будущий номер телефона? (Сценарии, когда номера телефона у человека может вообще не быть, не временно, а совсем, опустим за их экзотичностью, ибо куда деваться, хотя я сам так жил несколько раз по несколько лет, и за все эти годы он ни единого же раза, сцуко, не понадобился, но это, конечно, всё было давно и неправда.)
Слушайте, а как предполагается существовать, допустим, при переезде в другую страну
В контексте Гугла - наставить в нем дополнительных средств восстановления доступа к учетке, а номер убрать.
Их там.
Passkey-и и их хардварный вариант
Уведомление/запрос на подтверждение входа на привязанные к учетке аппараты
2FA аутентификтор
Резервный email
Резервные коды
После получения нового номера поставить его, если хочется.
Биометрия могла бы решить 99% описанных проблем
Берите выше, ректальный зонд с GPS-маячком дарует всем безопасность
К чему это?
Чем отпечаток пальца не удовлетворяет в плане безопасности для идентификации в вашем случае? Как вам, так и провайдеру услуг.
Чем отпечаток пальца не удовлетворяет в плане безопасности для идентификации в вашем случае?
Есть проблема, как проверяющая сторона будет определять, что это именно с человека этот отпечаток снимается а не с какой-то хитрой электронно-аналоговой подделки. И как потом перестать эту подделку принимать, если выяснится, что это именно подделка.
Вы не понимаете, как проверка отпечатка пальца на смартфоне происходит
Кейсы в статье она покрывает более полно и надежно, чем пароль, или парольная фраза, или дополнительный email.
Причем, для обеих сторон.
Вы не понимаете, как проверка отпечатка пальца на смартфоне происходит
Понимаю. Но чтобы оно работало - нужен еще ключик в самом смартфоне, который, собственно и проверяет сервис. А предложение с биометрией подразумевает использование отпечатка самого по себе, без дополнительных секретов (которые клиент утерял).
Те. сценарий - берем чистый, из магазина, смарт и как-то, при помощи отпечатка заходим в сервис. Чего сервису передается и как он проверит что передаются данные именно с живого человека и вообще со смарта а не непонятно с чего?
Предложение с биометрией подразумевает именно то, как оно сейчас работает на смартфонах и не только (usb адаптеры) на многих онлайн сервисах, а также доступно любым веб разработчикам для несложной реализации через WebAuthn API
Предложение тут вряд ли об этом. Во всяком случае в этой формулировке. Народ у нас это не так воспринимает, а как то, что Госуслуги и компания вытягивают.
А WebAuthn - вообще к биометрии ортогонально. Сервис про нее ничего не знает. Поэтому предлагать WebAuthn - это не предлагать использовать биометрию, а предлагать использовать устройство.
Что я полностью поддерживаю. В одних случаях - смарт. В других случаях - аппаратный токен. С различными способами открывания ключика -- в зависимости от степени нужной паранойи.
Предложение ТАМ - это комментарий к статье, описывающей проблемы про пользовании онлайн сервисами. В данном контексте под биометрией понимается отпечаток пальца, или сетчатка глаза или еще какие методы идентификации смартфоном или другим личным гаджетом
О чем ещё ТАМ может быть?
Для идентификации может и удовлетворяет. Но в статье речь про аутентификацию.
Объясните разницу простыми словами для конечного пользователя
Идентификация — это старый знакомый узнал тебя при встрече.
Аутентификация — показал паспорт знакомому, тем самым подтвердив, что он не ошибся, и ты это ты.
Авторизация — знакомый дал денег в долг.
И?
Объясните на проблемах, описанных в статье, почему логин по отпечатку на смартфоне не решит их. И не даст достаточный уровень безопасности по сравнению с паролем и для пользователя, и для банка.
Объясните на проблемах, описанных в статье, почему логин по отпечатку на смартфоне не решит их.
Потому что человек из статьи будет жаловаться, что этому способу телефон нужен и он не может просто взять телефон/компьютер из магазина и залогинится, ничего больше не имея.
Проблема в том, что если вы потеряли смартфон, то залогиниться вам уже некуда, а для злоумышленника, который найдёт смартфон, он весь усеян образцами ваших отпечатков.
С другой стороны, логин в уже установленном приложении, это не просто биометрия. Это, как минимум, два фактора: ваш отпечаток пальца и ранее полученный токен.
А вот не надо придумывать проблемы, которые не поднимались. Потеря гаджета - совсем другой случай, и на него есть свои запасные варианты восстановления доступа.
В статье обсуждается основной метод входа, без каких-либо эксцессов. Просто смена IP и еще что-то зажгли какие-то красные флаги для СБ банка.
Почему логин по отпечатку на смартфоне не решит их.
Потому что усы отпечатки
Отпечаток пальца вам не принадлежит, отказаться от его предоставления нельзя, он может быть использован для разблокировки против вашей воли. Аналогично с лицом.
Чем отпечаток пальца не удовлетворяет в плане безопасности для идентификации в вашем случае?
Ну, например, тем, что вы их повсюду за собой оставляете?
Или можно их снять с (не)удачной фотографии?
Откуда вы знаете? Мне обещали полную тайну и эксклюзивность.
Вы уверены?
маячку нужен канал связи. Видимо сотовый. Значит simка, ее нужно оплачивать (а еще - она может подписаться на анекдоты и гороскопы, ворота ж подписываются), оператор может поменять тариф, даже если оператор продал "вечный" тариф(что редко бывает). Ах да - нужно покрытие еще (притом нормальные антенны - разместить негде)
маячку нужно питание, нужно либо объяснить пользователю что он должен это обеспечивать либо ставить какой то биореактор маленький
нужно предусмотреть взаимодействие с безопасниками в разных местах которым этот маячок НЕ понравится, засекут и захотят посмотреть, потом даже справку дадут. Кстати не факт что потом маячок будет пригоден к повторной установке
GPS и так не везде и не любым железом ловится а тут еще в 99% случаев будет перекрываться тушкой. Ах да, зонд с GPS подвержен внезапным перелетам на больших скоростях, в некоторых случаях - вообще телепортации.
за чей счет банкет?
Биометрия могла бы решить 99% описанных проблем
Вида "сунем субъекта в томограф и еще пробу ДНК возьмём для надежности. И только после этого поверим утверждениям о том, что он гражданин номер xyz" - возможно.
А та которая на телефонах - так тут у человека ключика доступа к учетке гугла в телефоне как раз не было.
Биометрия хорошо подходит для идентификации и плохо для аутентификации. Потому что биометрию легко скопировать и крайне трудно поменять.
понадобилось мне войти в старую почту gmail... Логин и пароль надежно сохранены. Однако Google не торопится впускать нас в собственную почту.
Возможно это потому, что по статистике 9 из 10 случаев попытки входа в давно неиспользуемую почту, это попытка взлома, а не возвращение блудного пользователя.
Если бы политика безопасности была бы мягче, то вместо предложения подтвердить свое право на ящик, вы бы увидели сообщение о некорректном пароле. И мы прочитали бы статью "Как Гугл про... мой аккаунт, из-за слабой безопасности."
— Увы, мы не можем отправить СМС на этот номер. Хотите завести другой аккаунт?
Итак, все данные есть, однако подтвердить что это вы по техническим проблемам самого сервиса невозможно.
Может это сбой был, временный. Была недавно такая история у Гугла.
Связанные аккаунты, старая переписка, и файлы в облаке утрачены навсегда.
Это потому что было нарушено золотое правило бэкапов.
Безопаснее с дополнительными факторами не стало.
У вас ведь нет статистики по взломам аккаунтов. Вы забываете о том что роботы-взломщики атакуют непрерывно, и совершенствуются постоянно. Идет война которую вы не видите.
Я призываю здравомыслящих людей разбить оковы рабства. Давайте будем создавать приложения ради свободы, а не безопасности.
Можете создать свой почтовый сервис, свободный и демократический. Но я вас уверяю, через некоторое время вы сами начнете проводить политику "избыточной" безопасности, когда пользователи начнут заливать вас жалобами о взломанных аккаунтах.
Вправе ли сам пользователь решать, нужна ли ему эта безопасность
Наверно вправе. Если он согласится на полную ответственность за последствия взлома его аккаунта, в случае если с его взломанного аккаунта будет произведено действие нанесшее ущерб другим пользователям.
Хотите отвечать за то, что с вашего взломанного аккаунта хакеры-вымогатели будут рассылать свои угрозы другим пользователям?
Поддержка банка говорит что в целях безопасности без подтверждений по СМС никак нельзя. Небезопасно.
Если вас взломают, вы подадите на банк в суд. Для банка это намного хуже, чем ваше гневное обращение в техподдержку. Так что банк всего-лишь выбирает меньшее из двух зол.
И вот сим-карта превращается в тыкву в роуминге
Вы конечно такого никак не ожидали. Реальность полна сюрпризов.
Может это сбой был, временный. Была недавно такая история у Гугла.
Перед написанием статьи проверил еще дважды. Эта проблема с цирком безопасности у гугла давно и стабильно воспроизводится.
Идет война которую вы не видите
Кругом враги и шпионы? Надо быть начеку, доверять партии, затянуть пояса и не роптать? Где-то это уже слышал...
Кругом враги и шпионы?
1) Единственный артефакт доступа (в данном случае логин и пароль) может перестать действовать или быть утерян и поэтому нужно создавать запасные.
2) В любую учетку надо регулярно логинится, т.к. они имеют привычку протухать при забрасывании.
поэтому нужно создавать запасные.
Отож!
— Один крестраж вы утяжелили и бросили в действующий вулкан, чтобы он опустился в мантию Земли, — мрачно сказал Гарри. — Один крестраж спрятан где‑то в земной коре, на глубине нескольких километров. Один крестраж вы бросили в Марианскую впадину. Один летает где‑то в стратосфере, невидимый. Вы и сами не знаете, где именно, потому что стёрли подробности из своей памяти. И последний крестраж — это золотая табличка на «Пионере-11», ради которой вы проникли в NASA.
И все же вы ответили только на ту часть, которая вам была удобна.
Или вы со всей серьезностью будете утверждать что смирились бы с тем, что ваши деньги на банковском счету, или почту с файлами в облаке угнали просто подобрав пароль?
Нужно быть невероятным везунчиком, чтобы подобрать 128-битный пароль. Если такой найдётся, то я поверю в судьбу, удачу и богоизбранность - пусть забирает. Но меня будет очень сложно заставить в это поверить, и я начну проверять более вероятные пути, вроде перевыпуска симкарты и восстановления пароля, обращения в поддержку банка и восстановление пароля, слив базы данных банка, котрая хранит пароли в plain text, или другие слабые места всей этой наверченной "безопасности".
Не вы одни с Гуглом. Он мне тоже не дал/не дает войти во второстепенный (благо -- пустой) аккаунт. Просит номер телефона, которого там, вроде, быть не было.
У меня была почта в одном когда-то популярном домене. Она использовалась главным образом для указания при регистрации на всяких форумах и прочих "без вашей почты никуда". А чтобы по всей этой ерунде не ходить настроена автопересылка на другой ящик. Через n лет письма перестают приходить, захожу в первый раз - там письмо "вы слишком долго не заходили на сайт". Ну вот зашла, обновила пароль-вопрос-ответ и дальше как было продолжаю пользоваться. А во второй раз еще через несколько лет меня развернули: "мы не верим что вы это вы".
возвращение блудного пользователя
Отличное название для нового художественного произведения. Надо будет кому нибудь намекнуть ...
Не верно идентифицирован источник проблемы. Проблема не в безопасности как таковой или способах её реализации, а в отсутствии механизма обратной связи. Если бы у вас была возможность подать в суд на банк и получить компенсацию за испорченный отпуск из-за блокировки банковский карты или приложения, то проблем бы не было.
Например, вы поехали другую страну, а банк заблокировал доступ к вашем же деньгам и не хочет его восстановить из-за собственных технических проблем. В этом случае берем займ/кредит/перевод в другом месте. Догуливаем отпуск, а по приезду подаем на банк в суд для компенсации вынужденных расходов, понесенных из-за его же технических проблем.
Попробуйте решить задачу с другого конца: выполнена попытка входа в банковский аккаунт (полный контроль над финансами на счетах) из неожиданной локации (устройство, местоположение). Ваши действия?
Только что бы было честнее, представьте что аккаунт ваш, на счетах есть деньги и это делаете не вы.
Ваши действия?
Пообщаться с чипом банковской карты (которая 'ключ' к счету). Который, в свою очередь спросит PIN, прежде чем что-то делать.
Если все получилось - то это означает, что это либо действительно клиент, либо клиент злодею карточку отдал и злодей PIN узнал. В каком случае 'неожиданная локация' - уже меньшая проблема.
Ну ранее это легко решалось общением с оператором банка, с использованием ключевых секретных фраз. Сейчас как я понимаю "оператор" это непосильно дорогой для банка ресурс. А про использование одноразовых паролей (начиная от получаемых при необходимости заблаговременно в офисе банка или вообще через отдельный девайс) похоже современные участники процесса вообще забыли - уж больно короток был их век, поэтому в легенды и учебники они не попали.
Тут выше уже писали, что безопасники действуют прежде всего в интересах банков, а не клиентов. Но можно и шире посмотреть на это: привязка телефона, полные персональные данные - всё это работает на пользу компаниям любого уровня. Минимизация количества бросовых учеток, портрет ЦА и, как следствие, более эффективные рекламные кампании. С какой стати бизнес должен действовать не в своих интересах?
При этом, как пользователь, я был бы рад иметь возможность настраивать свой уровень безопасности от "заходи кто хочет" до параноидального. Технически это не так сложно, юридически тоже можно обложиться согласиями пользователя. Для серьезных сервисов типа банков можно понижение безопасности через визит в офис реализовать.
Но это всё доп.затраты... Не пущать дешевле.
Безопасники действуют, в первую очередь, в своих интересах, иначе бы не пытались "обезопасить" процессы в банках, постоянно ломая производственный процесс, из-за чего идёт постоянная текучка персонала.
Иначе не было бы каких-либо ежемесячных новых ЛНА от безов, в котором даже diff не посмотришь, т.е. донесли проблему лишь формально, кинув обновлённый документ на несколько десятков страниц на подпись, попробуй разберись, что там нового.
И при этом постоянно лицемерят о необходимости обезопасить всё и вся: сами на свет как-то появились.
заходим браузером на сайт публикующий стихи - "проблемы с сертификатом, устаревшее что--то там, сейчас у вас украдут все пароли и банковские карты". Нет там паролей и карт. Слава Богу есть кнопка "все равно зайти".
заходим хромым браузером в локалке без интернета на ip-телефон или другое устройство для настройки - "устаревший протокол шифрования, сейчас у вас украдут все пароли и банковские карты". кнопки "все равно зайти" НЕТ. только старым firefox с отключенным обновлением.
Особо вымораживает попытка проверять серты на локалхосте или несуществующем tld (то, что я сам нарисовал в hosts).
Из недавнего :).
Контора, внутренние ресурсы на несуществующих tld (свой domain.ru - у конторы есть), к ним также должна среда разработки в процессе сборки обращаться. Но все под SSL (корневые сертификаты левые, меняются по достаточно непредсказуемому графику, КОРНЕВЫЕ(!), нормально настроить Intermediate CA похоже не смогли, в результате все приучены как заходить если браузер показывает некорректный сертификат). Ах да - пароль для доступа - тоже нужен (то что в случае среды разработки пароль и логин в конфиге лежит в открытом виде потому что иначе никак - ну а что такого?). Ах да, доступ ко всем - только через VPN с именными токенами.
И это я еще сильно упрощаю ситуацию (VPN например официальных только 3 штуки (неофициальные но иногда используемые-тоже есть) на двух разных VPN-клиентах).
Самая злая тема сейчас у гитхаба... Заставляют всех использовать 2FA в виде мобильного приложения. Вроде даже дают коды восстановления. Но - всё это красиво для сферического коня, не для реального кожаного мешка. Я поменял телефон, потому что старый издох от гравитации. Приложение 2FA не запоминает ключи в аккаунте - дай новый qr-код, который можно получить, зайдя в аккаунт гитхаба, куда не попасть без 2FA. Восстановление? А где коды, Лебовски? Вот-вот, это было давно и неправда. Всё, аккаунт наглухо заблокирован. Раньше лок можно было снять через поддержку, сейчас шлют в известном направлении...
Сейчас там можно для 2FA использовать свой собственный TOTP, который тоже хранится локально в БД.
Храню все 2Fa в Aegis, он автоматически все бэкапит, + храню коды восстановления в keepass, а копию БД дополнительно во внешнем ЖД. Сижу гадаю что может еще произойти, решил на всякий перенести их еще и на компы.
У Github есть аварийные коды. Если вы до этого происшествия их сгенерировали и потом не потеряли, то зайти сможете.
Когда-то давно сохранил в нескольких местах, и всё.
Приложение 2FA не запоминает ключи в аккаунте - дай новый qr-код, который можно получить, зайдя в аккаунт гитхаба, куда не попасть без 2FA
рекурсия ц.ко
GitHub поддерживает Passkey, настройте его и у вас будет несколько устройств, с которых вы всегда сможете получить доступ к аккаунту. И никаких паролей и кодов.
Простите, а что это за приложение 2FA такое?
Он уже давно хранит все в учетки и синхронизирует между устройствами. Прямо в описании
Cloud syncing: Your Authenticator codes can now be synced to your Google Account and across your devices, so you can always access them even if you lose your phone.
добавили алгоритмы определения входа из необычных мест, устройств и так далее... А что, сидите дома, холопы, это безопаснее!
По идее, для таких случаев должна быть опция "предупредить, что следующий вход будет из необычных мест/устройств", которую устанавливаешь перед поездкой или миграцией на другое устройство.
Было, и даже работало. Но, однажды пришлось очень неожиданно отъехать по среди ночи в Европу.... И именно тогда узнал что Райфайзен в Европе и Райфайзен в России это разные банки. И то что можно было сделать клиенту в российском офисе банка, нельзя сделать в европейском офисе казалось бы того же банка.
P.S. Даже для VIP-клиента.
И то что можно было сделать клиенту в российском офисе банка, нельзя сделать в европейском офисе казалось бы того же банка.
Более того, скорее всего так работают вообще все банки в мире, потому что в каждом месте собственное финансовое законодательство, в европе оно несколько стандартизировано, но если выйти за контур европы то ситуация может быть точно такойже
"Безопасность ради галочки, освоение бюджета, видимость бурной работы и синдром вахтера" - это всё, что нужно знать о безопасниках в больших корпорациях.
Всё дело в оценке результатов работы.
У безопасников не оценивают сколько проблем они предотвратили, это сложно оценить. Удобство для пользователей сервисов их вообще не касается.
А вот количество запретов и штрафов за невыполнение инструкций оценить легко, просто посчитать и выдать премию за общее количество в прошедший месяц.
Поэтому безопасникам выгодно бездумно запрещать и выпускать невыполнимые инструкции. Пуская и в ущерб общей работе.
Если привязать зарплату безопасников к количеству жалоб от пользователей, скажем, их работа мгновенно изменится.
ложная дихотомия в опросе
При всём при этом банки пропихивают свои мобильные приложения которые дают полный доступ ко счетам клиента если телефон похищен и добыт способ разблокировки. То есть безопасность липовая.
Я никогда не ставлю приложений банков на тот же телефон что их авторизует. В идеале для СМСок использовать отдельный телефон с долгой батареей типа кнопочной нокии. Которая будет лежать где-то в сейфе. А для путешествий самое разумное забронировать и оплатить всё что можно до поездки, а в поездку взять несколько пачек кеша рассованного по разным местам.
Поддерживаю. Но, однажды не удалось "забронировать" отсутствие необходимости экстренной операции. А страховая отказалась ее оплачивать. Пришлось тягать собственные средства. А уж потом, в России вытрясти их из страховой. Благо тогда таких заморочек с двухфакторкой ещё не было.
При всём при этом банки пропихивают свои мобильные приложения которые дают полный доступ ко счетам клиента если телефон похищен и добыт способ разблокировки. То есть безопасность липовая.
У меня банк кроме разблокировки телефона кодом/биометрией, при любых платежах, переводах и операциях сложнее чем "посмотреть баланс" требует вводить еще специальный пин, который может и должен отличаться от кода разблокировки и пина карты. Как раз чтобы в случае кражи телефона и прикладывания пальца/лица (например, человек без сознания) нельзя было воспользоваться деньгами.
Видел такое решение. PIN безакцептно задавался при первом входе в приложение на новом устройстве (старое устройство деавторизировалось) и, вероятнее всего, менялся в приложении (но это не точно). Авторизация на новом устройств проводилась по получению СМС. Т.е. PIN на операции это защита только для случая, когда и если кто-то получил ваш разблокированный телефон в руки. Если у вас угнали симку - не сработает. Если у вас на телефоне ремот аксес любого рода - не сработает.
Эталонный клиент современных мер безопасности, это слабоумный, пускающий слюни, с трясущимися руками старик, забывающий все на свете, не помнящий как его зовут, и никогда не выходящий на прогулку дальше пяти метров от дома.
Бинго! Добро пожаловать в эпоху третьего демографического перехода, когда подавляющее большинство массовых клиентов любой службы -- старики либо неинтегрированные мигранты. Ах, ну и да, полное и окончательное забвение либерализма, то есть у Вас нет возможности свободно выбирать что бы то ни было, включая базовые или инфраструктурные продукты.
Как что-то плохое
Здесь как будто спор между удобством без подтверждения и неудобством с 2фа централизованных сервисов, которые хранят туеву хучу данных у себя.
И то и другое плохо.
Люди, пишущие, что мошенники грозят "только тупым и слабоумным", просто еще не встретились со своей реальностью.
Люди, считающие, что подтверждение по СМС (через ТФОП, Карл, какая безопасность?) что-то защищает, тоже.
Ну и утечки - это факт, и взломы огромных сервисов - это факт.
Короче, я лично просто считаю, что безопасность в интернете никогда не подразумевала хранение удаленно данных, которые нельзя себе позволить протерять в любой форме и в любую глубину.
Если через интернет нужно с чем-то связываться вроде банка - то ОТП от аутентификатора.
Но в первую очередь для любых требующих безопасности действий - криптографическая подпись.
В любом случае авторизация по номеру телефона - это как авторизация по IP-адресу. Единственная причина ее существования - так удобно мудакам, чтобы показывать рекламу. Мудаки пусть сами на себя работают.
Основной тезис статьи – за рубежом российская сим-карта в роуминге не работает и банковским счётом воспользоваться нельзя. Верно ли?
Мне одному кажется, что предоставленный выбор как в шутке "Системные администраторы делятся на два типа: те, кто ещё не делает бэкапы, и те, кто уже делает бэкапы"?
"Уже много лет живу далеко за пределами нашей всеми любимой родины."
Так спич то про безопасность западную или родную?
А она везде примерно одинаковая. Разница лишь в степени шизофрении.
С другой стороны, вроде бы, местами, становится полегче.
Когда я переехал в Швейцарию лет 8 назад, то завёл счёт в местном Сбербанке (UBS). Чтобы заходить в их приложение, мне нужно было поставить отдельное приложение-аутентификатор (UBS Access), заказать у них смарт-карту, которая генерирует одноразовые коды (как кредитка, прям на ней экран и кнопки, где там батарею разместили...) плюс логин и пароль ещё конечно же. И со всем этим цирком попытаться жить.
Затем они выпустили NFC-карту - стало легче (всем кроме яблочников, там NFC анально огорожен), приложил к телефону её - готово.
Затем, ещё через несколько лет (алилуя!) ввели авторизацию по биометрии и карточки эти я убрал подальше (они всё ещё нужны чтобы активировать новое устройство).
Но, всё ещё, для работы с банком нужно два приложения (основное + авторизатор). Подождём ещё пару лет :)
Топ моего "любимого" из ИБ
Клиентские сервисы
1) "Ваш пароль слишком простой" - ваш сервис мне нужен на один раз, омг. Если у меня уедут акк, я этого даже не замечу.
2) Вход только по номеру телефона. Если сервис мне не слишком нужен, он идёт лесом.
3) Вход по номеру телефона при КАЖДОМ посещении. Никаких долгих сессий, а то кто то сможет украсть ваши 200 бонусов в магазе одежды!
Корпоративные сервисы
1) Смена паролей раз в 3 дня. На всех 20 рабочих сервисах. Что провоцирует менять 1 цифру в конце по искременту.
2) 100500 программ для работы с корпоративным впн. Запрет личного могучего десктопа с СЖУ и видеокартой, только корп ноут, только хардкор! А то наш говнокод утечет и всем будет смешно. А ой, у нас опять утекли в 25 раз пользовательские БД с телефонами и адресами, бывает. Не ори и запускай форти.
3) Вход по номеру телефона при КАЖДОМ посещении. Никаких долгих сессий, а то кто то сможет украсть ваши 200 бонусов в магазе одежды!
Ещё больше удивляет ситуация когда был нормальный вход по логину и паролю, а потом раз и обновление - теперь "для вашего удобства" пароль больше не нужен, зато постоянно нужно иметь под рукой телефон для ввода кода из СМС. Который ещё и временами перестаёт приходить.
Который ещё и временами перестаёт приходить.
Самый цимес, это когда смс приходит с такой задержкой, что ты уже успел запросить повторную отправку, вываливаются обе смс-ки - и гадай теперь, какая из них актуальна))
хаха, теле2 так сделал. Только там где я связи нет и я банально не могу зайти и посмотреть счёт. А ещё в дополнение заблокировали киви-банк (я им не пользуюсь, но через него переводы идут) и райф теперь не может прямо кидать деньги на телефон. В итоге пришлось протестировать когда-то (т.к. ситуация предполагалась) и я перевожу деньги прямо на основной счёт теле2 с указанием что это пополнение номера. Деньги обычно поступали в течение 1-3 рабочих дней, что я подозреваю, что какая-то девочка из бухгалтерии или где-то ещё регулярно ежемесячно обрабатывает мои платежи для 3 номеров.
хаха, теле2 так сделал.
Они одно время с этим экспериментировали, но сейчас возможность входить по паролю есть (с подтверждением через email).
В итоге пришлось протестировать когда-то (т.к. ситуация предполагалась) и я перевожу деньги прямо на основной счёт теле2 с указанием что это пополнение номера.
Межбанковский перевод по реквизитам на юрлицо?
Как вы узнали реквизиты для перевода?
Они одно время с этим экспериментировали, но сейчас возможность входить по паролю есть (с подтверждением через email).
Этот пароль протухает через время, а новый снова через смс and here we're again.
Межбанковский перевод по реквизитам на юрлицо?
Да.
Как вы узнали реквизиты для перевода?
Это было пару лет назад, я уже не помню, скорее всего через сайт - где-то есть информация о юр.лице.
Этот пароль протухает через время, а новый снова через смс and here we're again.
Нет, можно постоянный сделать. По крайней мере, у родственников пароль уже давно не меняется.
Это было пару лет назад, я уже не помню, скорее всего через сайт - где-то есть информация о юр.лице.
Т.е. просто на общие реквизиты ООО "Т2 Мобайл"? И деньги в итоге нормально зачислились?
Когда-то давно Билайн прямо на платёжках писал банковские реквизиты для пополнения счёта. А вот для Tele2 я официальные реквизиты найти не смог.
Нет, можно постоянный сделать. По крайней мере, у родственников пароль уже давно не меняется.
Если они это вернули в последний год, то хорошо, раньше даже постоянный протухал. Но мне уже поздно ковыряться, я не смогу поставить подобный пароль.
Т.е. просто на общие реквизиты ООО "Т2 Мобайл"? И деньги в итоге нормально зачислились?
Да. Когда я это проверял в течение полугода - год назад это работало. Последний год я подтвердить не могу, по причине выше.
еще веселее, привет x5 ретейлу - я уже вторую неделю не могу залогиниться в приложуньку перекрестка, потому что она открывает не тот вебвью у меня на телефоне и не может соответственно показать форму авторизации. "всё для вашего удобства", бл! и они еще где-то тут на хабре рассказывали, что интервальное разлогинивание - добро и так и надо.
В последнее время не покидает ощущение что нас как безмовное стадо ведут прямиком в цифровой концлагерь, но так как времена нынче гуманные то номер будут уже не набивать на руке а скажем живлять маленькую хрень, и вуаля, никаких проблем с идентификации, в любую секунду в любом месте о тебе будут знать все. Лет так двадцать назад я тихонько похихикивал над религиозными страшилками о всеобщем контроле. Как то в сейчас уже и смеяться не хочется....
А в чем именно заключается контроль? Им всего лишь нужно на вас заработать (что впринципе норм учитывая их затраты на датацентры, работников, оборудование, электричевство и прочее. Все хотят гуглить, а бесплатный сыр ток в мышеловке. но никто(условно) не хочет донатить те же опенсорс аналоги вроде duckduckgo к примеру). Никто пока не запрещает отказаться от всех этих удобств жизни и пользоваться наличкой, не регистрироваться через гугл и прочие сервисы, пользоваться приватными опенсорсными аналогами почт и мессенджеров...они представляют вам сервис, вы при регистрации добровольно соглашаетесь с правилами и пользуетесь их услугами. Не хотите контроля? Есть аналоги за которые надо платить. Многих бесит просьбы доната в kde, но почему то в то же время продолжают пользоваться на халяву ну или за счет остальных донатеров.
P.S. Верни нас в 20 лет назад, мы бы согласились на большее чем "тотальный контроль", и наверняка просились бы назад из этого ужаса
Уже у всех смартфоны, зачем что-то вживлять?
Технологию чипирования обкатывают на собаках. Как только поймут, что удобно, вставят зонд в зад, непременно.
Эта технология уже давно обкатана, в Европе уже все поголовье домашних и не только животных с обязательными RFID метками, сейчас насколько я понял идёт внедрение чипов с GPS функцией, и кстати людишек уже потихоньку окучивают, но пока без огонька, лежачих больных, с деменцией, психическими отклонениями. Военных планируют поголовно, мол если что вдруг то опознаем сразу. Всё ведь для нашего блага, ведь так же?
Хм-м, получить укол в холку при первой постановке на учёт в военкомате...
Сколько же на этом можно попилить
Чип с GPS функцией будет размером не с рисинку, как пассивные RFID, а бандурой 2х2 см еще и с аккумулятором, который надо заряжать. Пока из разряда фантастики.
Закон об обязательном чипировании домашних животных приняли только в недавно, срок на это выделили большой. Европа не одна страна, знаете ли.
А бред про людей - первый раз слышу.
Я в целом не против существования двухфакторной авторизации. Она хороша и полезна, но только когда включается по твоему собственному желанию. А вот всяких этих непрозрачных схем с анализом рисков, как у гугла и банков, существовать вообще не должно. Я в общем и целом считаю, что нужно дать пользователю брать на себя свои риски. Во всех остальных областях жизни это можно, нужно и от всех ожидается, а вот айтишечка у нас такая особая, в ней нельзя, в ней почему-то надо всех держать за идиотов.
Ну и ещё что меня неистово бесит — что много где у сессий есть срок жизни. Ты переходишь куда-то по ссылке, но вместо того, за чем пришёл, видишь форму входа. По моему мнению время в управлении сессиями вообще участвовать не должно. Если я залогинился, я заолгинился. Всё. Я теперь залогинен на этом устройстве до тех пор, пока сам руками не разлогинюсь. Неужели это так сложно? И из этой же области биометрическая разблокировка. Это мой компьютер, я им владею, у меня на нём рут, он не должен мне, сцуко, внезапно говорить, что "для активации touch id необходимо ввести пароль". Я сам решаю, что мне необходимо.
За потоком ненависти, передёргивания фактов (?) и просто набросов в этом посте можно разглядеть и разумное зерно. Безопасность в большинстве случаев не должна вредить пользовательскому опыту, потому что она является "частью продукта". Как только пользователю становится неудобно использовать сервис по причинам так или иначе связанным с обеспечением безопасности, то это сразу начинает негативно влиять как на впечатление от самого сервиса (и компания теряет пользователя, а вместе с ним и деньги), так и на соответствующую функцию безопасности (пользователь начинает использовать эту функцию не так, как планировались при проектировании, потому что ему так удобно -- и это нормально). При этом важно помнить про анализ рисков и сервисы с многомиллионными аудиториями.
Поэтому в предложенном опросе, очевидно, не хватает третьего пункта "Безопасная свобода".
Автор совсем запутался. Пишет, что меры безопасности не про безопасность, а потом, что безопасность и не нужна, а нужна какая-то свобода. Нужно искать причину.
Большинству привлекательнее видимость безопасности, а не реальная безопасность - иррациональные ощущения, а не расчет рисков. Идеалисты называют это постмодерном, когда личное мнение важнее, чем исследование и анализ, материалисты - буржуазной демократией, когда всё определяет индивидуальная платежеспособность – кому как нравится. Но пока безопасность – это товар на продажу, видимость безопасности с маркетинговым буллшитом будет продаваться гораздо лучше, чем сама безопасность с исследованиями и анализом, а безопасники будут оцениваться по красивым графикам, а не по рискам. Приспосабливайтесь, господа, или изменяйте среду, товарищи.
Недавно увидел кнопку с такой надписью на сайте ИТМО, немного подвис. Чем-то напомнило посыл статьи))
Вообще-то эти меры безопасности:
Требуют регуляторы и законодательство
Расчитаны на массовое потребление
Вполне логично вытекают из инцидентов, которые уже были.
Если у автора подгорело - ну чтож, это жизнь.
P.S. снимать наликом 10К USD|Euro это прям сильно попасть под прицел антиотмывочных процедур в почти любой стране. И в большинстве банков/стран придеться доказать вначале, что эти 10К получены честным путем.
Hard cases make bad law
Если помните, был такой Рокет банк.
По его евровой карте снимал и оплачивал за день свыше 10к евро. Никаких вопросов не возникло.
Сейчас у меня европейский банк, в конце прошлого года покупали машину за наличку. Снимали больше 10к евро - вопросов не возникло.
Так что не нужно про любую страну...
Это все верно, но безопасники делают это не по своей прихоти, над ними кто то стоит и, придумывает всю эту дичь и заставляет внедрять.
Находясь в путешествии в дальних заморских странах, понадобилось три тысячи долларов снять для оплаты жилья. Из приложения банка делаю перевод на свое собственное имя... и вуаля, вы заблокированы! Войти в приложение нельзя для вашей собственной безопасности!
а вы не пробовали до поездки сообщить в банк, что будете в таких-то странах? Уже не вспомню, откуда такая рекомендация
Это рекомендация всех банков, потому что есть штатный протокол безопасности у МПС, если сегодня вы купили чтото в Мексике, а через 3 часа в Китае, по физической карте, то карту могут заблокировать... в РФ пошли дальше, начили лочить вообще все карты если вы платите ими не в РФ...по этому, точно помню у тинькова было, надо в ЛК указывать страны куда вы собираетесь чтобы не было неожиданностей
У меня был прикол с бывшим Тинкофф Банком.
У меня там была рублевая и евровая карта. Евровую я оставлял жене в Европе, а сам рублёвой платил в РФ. Но евровая была в Gpay. И как-то не смущало банк то, что я мог оплатить почти одновременно в РФ и Европе. Даже если в РФ оплата была евровой картой через Gpay.
И страны в ЛК я не указывал.
Недавно один банк заблокировал мне перевод (слава богу, не жизненно важный, но репутационный) с обоснованием, что "вы по этому номеру обычно не переводите". Скоро , видимо, будем разрешение на перевод спрашивать у банка )) Зато безопасно.
del
Храбр не жалобная книга, но жалобная публикация появилась. Кажется качество контента постепенно перетекает в филиал Пикабу. А если по теме - Ваша безопасность, это в первую очередь Ваша ответственность, включающая не только знание кредов, но и знание требований/ограничений сервисов и продуктов, которыми пользуетесь. Чем больше в сети менее технически подготовленных пользователей - тем сложнее и муторнее правила безопасности для более подкованных, потому что любые правила будут ориентироваться в первую очередь на самое слабое звено. Если бы до сих пор все было только на кредах, вместо этой публикации появилась бы другая, на тему "У моей тётушки украли пароль от банка, почему безопасники не придумали более надёжный способ входа в аккаунт",
Чем плох очень сложный пароль? Да ничем. Он вполне нормально справляется со своей задачей. Но нам всё равно впихивают всё то, что далеко не всегда удобно или безопасно. Молчу уже про обратную связь... какая обратная связь? Её нет. Только тупица бот, который ничем не способен помочь.
Ничем, но не все этим заморачиваются ставят пароль qwerty, а при взломе жалуются, подают в суд ну и прочее. В итоге компания задалбывается от всего этого и заставляет безопасников внедрять дополнительные меры безопасности или как сказал выше "защиту от дурака". Да от этого страдают и другие пользователи, но соглашаются. А безопасники везде разные с разным опытом работы. Наверное все так и происходит...
И при этом мошенники все равно получают деньги, им даже наличкой отдают... Так скоро банк в целях вашей безопасности и денег отдавать вообще не будет, только после подтверждения чего-нибудь и как-нибудь с доказательством того что это то можно.
У гмейла есть момент смешной - укажите любой доступный сейчас телефон, получите СМС и входите. Ок обязательно именно тот, что использовался при регистрации. Звучит как бред, но вы попробуйте.
Выживают параноики :-)
С использованием SMS для восстановления пароля или для входа в систему есть забавный момент: нас убеждают, что пароль должен быть сложный (и это правильно), часто требуется, чтобы он был длинный, содержал разные символы, но, при этом, для сброса пароля достаточно числа, во многих случаях - четырёхзначного. Получается как если бы доступ в помещение был закрыт бронированной дверью с мощным и надёжным замком, а сборку была бы дверца, закрытая на задвижку, на случай, если потеряется ключ от основной двери. Ладно, я конечно, утрирую, но, при этом, вероятность отгадать с первой попытки четырёхзначный цифровой код - это всего лишь 0.01%, что явно недостаточно для защиты ценных данных. И это не учитывая того, что коды по SMS могут быть перехвачены или проданы неблагонадёжным сотрудником оператора (возможно даже я даже с таким сталкивался: однажды меня спас облачный пароль от того, чтобы потерять аккаунт в Телеграм, потому что код из сообщения взломщик каким-то образом ввёл).
Вход по СМС делается с единственной целью: получить ваш номер и рассылать рекламу. К безопасности он не имеет отношения. Но "продать" вам возможность "войти и получать нафиг не нужную рекламу" сложно, а "удобство и безопасность" - легко. Да и в целом "а куда вы денетесь" тоже работает т.к., к сожалению, конкуренция сейчас практически не работает.
Получается как если бы доступ в помещение был закрыт бронированной дверью
Ну да, как-то так
Моему старому сотовому номеру оператор быстро нашёл нового абонента. И как в этой ситуации работает хвалёная двухфакторная аутентификация? По уму или номер должен оставаться пожизненно с одним абонентом, или его использование в качестве токена безопасности должно быть законодательно запрещено.
Почему то никто из всех принемающих решения это не учитывает, что телефон не принаджелит человеку. Это договор и его можно расторгнуть и остаться без телефонного номера, более того этот номер продадут другому человеку..
И тут вдруг надо войти в сервис которым непользовался месяц (полгода, год, два, три...).
Или купивший номер захочет зарегистрироваться и ему ой, вы уже зарегистрированы, вот вам смс с входом
Телефон был выбран для 2FA "рынком" т.к. он "у всех" есть и по номеру можно слать вам рекламу в любое время и точнее через рекламные идентификаторы
Как уже выше сказали, вопросе ложная дихотомия.
А так, гугл уже много лет как кроме авторизации по смс предлагает авторизацию через TOTP, если это настроить, и никаких смсок тогда вообще получать не надо.
Как-то странно слышать от человека, который утверждает что у него есть голова на плечах и его не нужно водить за ручку со всей этой "безопасностью", что у него в настройках установлен только один второй фактор и этот фактор - SMS. Что-то не вяжется.
это не так, не на всех аккаунта гугла есть это настройка, только на акках где есть комменрчиская деятельность, типа ваш акка привязан а вашему каналу на ютубе. На новых пустых акках OTP нет в настройках безопасности.
Вы что-то путаете, видимо. У меня нет канала на Ютубе и никакой коммерческой деятельности я не веду, а настройка TOTP есть.
Допускаю что за последие пару лет чтото изменилось, но уверен что раньше точно не на всех аккаунтах было доступно, сам сталкивался. На акке с каналом ютуба у меня гугл попросил обязательно подключить, а я и на других тоже хочу, пошел в настройки, а там нет этой опции. Было добавить телефон, резервный почтовый адрес, даже кодовое слово старое, а вот двухэтапной аутентификации пункта не было. И после регал акки, на новых акках небыло в безопасности этого пункта только телефон и резервная почта
На новых пустых акках OTP нет в настройках безопасности.
Как то не верится. Если оно так - шум бы уже на весь Reddit стоял.
Кроме того, в процессе гуглежа нашлось, что они от SMS-ок вообще отказаться хотят.
Может, оно и есть? В смысле OTP которые SMS в настройках нет. То, которые из приложения они "Authenticator' называют.
Вот только что бы включить TOTP, сначала нужно ввести номер телефона и получить СМСку.
И что? Это все делается заранее, когда есть доступ к телефону и симке.
Напомню, речь идет про ситуацию "уехал в другую страну и остался без связи", на которую жаловался автор статьи. TOTP эту проблему прекрасно решает - достаточно его включить, и потом от смсок уже не зависишь.
"уехал в другую страну и остался без связи"
я так с МТС в Польшу уехал, ровно на границе пропала связь полностью... типа "ну а у вас не хватило 2000р (уже там лежащих) для активации роуминга, мы вам связь и отключили под корень"... СМС чтобы в клиентбанк войти и денег закинуть??? неее..нет роуминга, нет СМСок.!
p.s. поддержка их после этого только и смогла выдавить "да, действительно, так может получится, извините"
Логин и пароль это лучшее что было.
Протестую! Люди сидели иногда взломанные годами и ничего не подозревали. Второй фактор обязательно должен быть, и это должно быть то, что контролирует сам пользователь. Google authenticator меня вполне устраивает. На мобильных устройствах отпечаток вполне достойная замена фактора.
Но и email/телефон обязательно надо использовать, но не как фактор аутентификации, а для уведомлений о входе новых устройств. В сочетании с задаваемым при регистрации контрольным вопросом, их в ряде случаев можно использовать для восстановления доступа к аккаунту.
В сочетании с задаваемым при регистрации контрольным вопросом, их в ряде случаев можно использовать для восстановления доступа к аккаунту.
А контрольный вопрос - это не дыра в безопасности? Девичью фамилию матери, кличку первого животного в век интернета проще найти, чем раньше.
А контрольный вопрос - это не дыра в безопасности?
Технически - Нет. Никто же не заставляет писать в качестве ответа то, что спрашивают.
Другое дело, что оно провоцирует так делать. Поэтому практика настоятельно не рекомендуется к использованию.
Никто же не заставляет писать в качестве ответа то, что спрашивают.
Ну да, «— Назовите кличку собаки. — Никанорова Маргарита Степановна! — ??? — Потому что СУКА ОНА!!!»
Никто же не заставляет писать в качестве ответа то, что спрашивают.
Другое дело, что оно провоцирует так делать
Ну не то чтобы провоцируют, просто правду запоминать не надо. А вспомнить кого я там вместо своей Жучки назвал через пару лет - проблематично. Лучший вариант, когда сам вопрос придумывает пользователь.
Они становятся дырой, если принуждают использовать только национальный алфавит, факт. Вот именно это, кстати единственная и моя самая серьёзная претензия к системам безопасности. Тут любая система мнемоники будет работать прекрасно, например кличка первого животного - адрес сайта, фамилия матери - свой емейл, первая школа - простой мастер пароль.
Вторая проблема, хоть и очень редка, и не помню, где последний раз видел, но брутфорсить секретные вопросы конечно надо запрещать. Кулдаун даже в 5 минут, это бесконечно мало.
Из опыта, на посошок. Еще одна страна, еще один банк, еще одна сим-карта для подтверждений, ведь других вариантов подтверждений банки сейчас не предлагают. Дальнейшее путешествие. И вот сим-карта превращается в тыкву в роуминге.
Это почему она превращается в тыкву? Входящие SMS должны работать всегда, по идее. Даже если денег на звонки и отправку SMS нет.
Менял в аэропорту прилета, уронил в унитаз.
Внезапно попробуйте получить входящую СМС в России от MS или там гугла (да хоть от Proton). Удивитесь. (если что - подразумевается что пользователь страну не скрывает в той мере в которой ее спрашиваю и номер - российский). Причем началось это существенно позже СВО. Где то в середине(?) 2024-го
по идее
Вот очень правильная оговорка. Полагаться на 100% - не стал бы.
Пишу в поддержку. — Нам кажется что вы это не вы, надо подтвердить что это вы. Укажите кодовое слово, номер того-и-сего.Указываю. Прошу разблокировать банк и сделать транзакцию. В поддержку сейчас пишет много людей. Ответ может занять неопределенное время. Подождите пожалуйста подольше. Мы делаем все для клиентов!
Вам еще повезло, что достаточно было написать в поддержку. Мне в аналогичной ситуации пришлось звонить в банк, да не с дешевого номера Skype (как я делал раньше, чтобы сэкономить), а со своего РФ номера, оплатив роуминг. Более того, звонить пришлось не один раз, а несколько, потому что после каждого перевода (перевод внутри России) мне блокировали мой аккаунт 🙈🙈🙈
Только сегодня думал о том, что нужно написать гайд по Vaultwarden на VPS. Это крайне удобно и удивительно дешево. Оказывается, VPS можно арендовать за 100-200 рублей в месяц, а домен купить стоит 120 рублей в год. Сертификат бесплатный, софт весь тоже. Конечно, в идеале на домашнем сервере разворачивать, а не в "облаке", но это проще и дешевле.
И вуаля! У вас свой менеджер паролей на всю семью\команду со всеми вытекающими плюсами и минусами)
Я сейчас не могу добавить еще одного взрослого в семейную группу гугл.фемели для управления телефонами детей, потому что к аккаунту привязана виртуальная одноразовая карта, данных о которой не сохранилось. А удалить или сменить способ оплаты нельзя, потому что этот функционал отключили в моей стране.
Ну, зато аккаунты угоняют менее часто, чем было бы без "этой всей безопасности". Наверно.
Так что, у вас 2 стула пути:
1) вы не войдёте в аккаунт, потому что его кто-то угнал
2) вы не войдёте в аккаунт, потому что не сможете подтвердить, что вы - это вы
Что выберете?
ой как знакомо.
Открываю Battle.net, с компьютера на котором он установлен и где раньше я запускал и был залогинен.
Он - ой, введите логин пароль (ищу бумажку под клавиатурой) ввожу логин пароль, ой мы вам выслали на почту код подтверждения введите его.
Иду на гугл почту, с той же бумажке ввожу почту на которую зарегистрирован аккаунт баттлнета, гугл - ой, а подтвердите что это вы ведите номер телефона вам отправим код.
А дальше цирк, мы вам отправили код введите его (а ниже текст ошибка отправки пароля, попробуйте другие способы входа”), другие способы, ну эээ да есть у меня контрольное слово, только в других способах нет ничего.
Ок жмем восстановление аккаунта снова введите телефон подтвердить что это вы и мы отправим вам код..
Пробовал ввести другой номер (наверняка есть попытка на количество аккаунтов которые засвеченные на номере), песня почти такая же “не удается отправит код” (не сбой, а не удаётся..) и все, в акк гугла не зайти, механизма восстановления аккаунта нет.
На аккаунте никогда не было номера телефона, почта создавалась для регистрации одного Battle.net, был контрольный вопрос, в Battle.net заходил раз в полгода, каждый раз Battle.net разлогинивал и просил заново код с почты, поэтому заходил на почту в том же браузере и вводил код в баттлнете
ОК, давайте восстановим акк Battle.net. А у них восстановления аккаунта только через номер телефона, у аккаунта не было номера телефона (и тем более никогда Battle.net его не просил)...
Ну чтож есть техподдержка, давайте попробуем написать, а у тех поддержки нет формы, точнее какая-то форма есть, где дают задают вопросы чтобы заполнить инфу об аккаунте и дают три раз отказаться от ответа на вопрос. Вопросы из серии, какой ник у вашего персонажа wow (на аккаунте дябло 4), какой ваш номер телефона (ну понятно его нет), когда вы последний раз покупали подписку wow, какой ваш батлтег (а как его узнаешь не залогинившись? единственно что если у тебя есть в списках друзей реальный контакт с кем ты имеешь связь помимо как через баттл нет) и подобные, вопрса какая у вас игра ,когда вы создали аккаунт, какой ваш контрольный вопрос (хотя он есть), откада заходили в аккаунт, когда пополняли аккаунт, покупали игру (на которые реально ответить)... таких вопросов нет...
Вот собственно в акк батл нета не зайти так как просит код с почты, а в почту не зайти так как гугл решил, что я не человек и пробует проверить номер, а номерами с рф он типа не работает или у меня три номера уже засветились на большом количестве почтовых ящиков (гугл об этом не сообщает, но интернете есть слухи что есть лимит сопоставлений "телефонный номер/количество аккаунтов" куда высылали код)
ps Если лимит телефон/аккаунт у гугла есть, то рано или поздно все номера просто засветятся и тогда гугл будет высылать коды только на известные пары телефон/аккаунт
ну и при покупке телефона будет большой шанс купить неработающий номер у гугла (подставьте любой сервис работающий с смс)
psps При этом в аккаунт который я делал для небольшого теста два года назад и больше ни разу не заходил, зашел с нового места, нового браузера на раз два…
Помнится, близзы одно время настойчиво предлагали привязывать к акку аутентификатор, как раз на такой случай
Ага, он был привязан, только на втором аккауте батлнета, который не казахский акк :)
И что же запускаю приложение на телефоне (фирменное от баттлнета), а оно такое, ой.. а мы больше не поддерживается, скачайте новое..
Хорошо что этот акк был зареган на другую гугл почту, которой постоянно пользуюсь и я смог зайти, введя код присланный на почту, в настройках увидел что аутефикатор в учетки отключен и теперь они просят поставить на телефон мобильное приложение баттлнет и через "пуши" подтверждать вход.
Чтож, теряем телефон или пропадает интернет и все..
Если кто-то думает, что безопасники в банке что-то существенное решают в вопросе безопасности клиентских сервисов, то сильно ошибаются. Все зашло гораздо дальше, безопасников особо и не спрашивают уже. Есть эффективные менеджеры, владельцы проектов от бизнеса и им "виднее" как сделать продукт прибыльнее и сэкономить на безопасности. Есть статистика проблем, есть типовые сценарии правонарушений, очень важно есть юридическая практика решения споров и есть оценка затрат на безопасность и потенциальную потерю удобства для клиентов. Из этого клубка рождается то, что есть сейчас.
А вообще, на сегодняшний момент для систем дистанционного обслуживания есть эталон - евродеректива PSD2, и привнесенная ей схема SCA. Если кто-то не реализовал SCA - то сорри. И да, просто логин/пароль это не SCA.
Решение очень простое: дать пользователю самому решать, нужно ему что-то помимо авторизации по логину-паролю, или нет.
Отличный способ наловить исков от клиентов с паролем "123"!
Вы из этих, "безопасников"?)) Откуда идёт эта мантра про иски? Значит как в любом другом случае, так чекбокс "безусловно соглашаюсь с пунктами пользовательского соглашения", а в случае "дайте мне возможность самому придумать пароль, который я считаю безопасным" - так вал исков ждёт?
И что не так с "123"? Брутфорсить будут? Т.е. защиту от брутфорса принципиально ставить не будем? Ну тогда боюсь иски полетят и от пользователей KeePass-a ;)
P.S. У меня ОПСОС продал мой старый номер, к которому был привязан один из акков в телеге. Узнал я об этом(!) только когда увидел в своём же аккаунте какие-то левые переписки (новый юзер решил продолжить пользоваться чужим аккаунтом). Началась чехарда "кто кого из аккаунта выпихнет". В итоге победил я, через мастер-пароль.
Мне теперь можно иск к Дурову выкатить?
P.P.S. А всем тем, чьи данные утекли в слитых базах данных - тоже можно с исками в суд идти? Или штрафов в 30тыр. в казну государства достаточно?
Я из тех, кого брутфорсили. Да так, что это до DoS доводило. И кому клиенты жаловались, что их на кассе разлогинило, и они не смогли свои 33 бонуса списать. Прекратили брутфорсить, кстати, сразу, как SMS подтверждение ввели. Как по щелчку.
Те, у кого просто аккаунты обчистили, тоже были, но там команда отработала, компенсировали и до исков не дошло. Но это расход, как ни крути.
дайте мне возможность самому придумать пароль, который я считаю безопасным
"Достаточность пароля" - не юридическая категория. Если вы храните деньги пользователей (или даже условные баллы, но с прямым пересчётом в рубли), то отвечать придётся.
Но и этого религиозным фанатикам показалось мало, и они добавили алгоритмы определения входа из необычных мест, устройств и так далее... А что, сидите дома, холопы, это безопаснее!
Но это может быть вынужденной мерой. Это примерно как строить здание на изначально треснутом фундаменте — нужны какие-то дополнгительные подпорки, чтобы избежать обрушения. В данном случае в основе аутентификации во многом случае лежит SMS, приходящая на смартфон, в этой системе небезопасны как SMS (они создавались не для этого, и короткий код можно в принципе подобрать, вероятность этого не то, чтобы большая, но ощутимая), так и смартфоны (прошивки смартфонов обычно обновляются не очень оперативно). Поэтому, кроме проверки кода из SMS, стоит проводить дополнительные проверки, чтобы компенсировать изначальную ненадёжность системы.
Хотя лучше, конечно, код из SMS использовать только чтобы определить номер (когда есть требования подтверждать личность пользователей), а для сброса пароля использовать какие-то другие средства, ну или SMS, но с существенной задержкой предоставления доступа и уведомлением, чтобы законный владелец аккаунта мог обнаружить попытку сброса пароля и отменить её (и лучше, если владелец аккаунта мог бы выставить нужное время ожидания, допустим, неделю: если забыл пароль, потерял телефон с TOTP, забыл, где спрятал фрагменты бумажки с кодом для TOTP, тогда придётся ждать, пока код по SMS начнёт действовать, но лучше так, чем система, где безопасность наших аккаунтов (в том числе банковских) зависит от SMS, которые не особо защищены, а мошенники, при должном старании, могут получить дубликат симки.
Красный банк, у меня там карточек на семизначную сумму, я не в РФ, жена поехала в РФ по делам, заодно зашла в отделение красного банка с моей карты снять небольшую сумму. Надо учитывать, что у жены полная доверенность на любые операции с банками, хоть с мой карты денег снять, хоть на меня кредит повесить. Пытается она снять денег, и приходит звонок с хз какого номера, и девушка спрашивает сразу в лоб "ЭТО ВЫ СНИМАЕЕТЕ ДЕНЬГИ ?", я отвечаю "Да, так как снимает деньги моя жена, а у нее полная доверенность и я в курсе того, где она сейчас и что она делает, то можно считать, что это делаю я.".
Но так как я за границей, а связь идет через emotion мегафона, то девушка слышит только одно слово - "да...", и дальше, как я понимаю, помехи и она кладет трубку.
У жены не получается снять деньги, помогаторы из службы помогаторов банка ей помочь не могут всей толпой. Через 10 минут мне все блокируют, все карты и даже мобильное приложение окирпичивается. Жена в отведении банка подходит к главным помогаторам ей объясняют, все ок, все разблокируют через 2-3 дня.
Я созваниваюсь с банком и мне сообщают , что да, та девушка заблокировала мне все и теперь мне надо всего лишь прийти в отделении банка в РФ, они понимают, что я не могу, НО у них есть специальная процедура для таких как я, надо дать им почту, куда они вышлют инструкции или сказать кодовое слово которое придумал 15 лет назад (я конечно не угадываю и остается только вариант с письмом). Приходит письмо где написано, что я должен сделать 4 вещи - селфи с паспортом, ссылка на вк или одноклассники, фото билетов или виза, указать откуда пришли последние 1000 рублей (я просто проверял идут ли деньги). 1 и 4 легко, но у меня нет ВК или Однокласников, а также у меня нет билета, я езжу на машине, и визы нету, я в безвизовой стране. Месяц меня мурыжили обещалками ,что вот завтра-послезватра все проверят и все разблокируют, но через месяц, меня попросили прийти в отделение банка на территории РФ.
А всего лишь надо было этой девочке перезвонить мне когда связь оборвалась.
@manulвы совершенно забываете, что регуляторы некоторых сервисов предъявляют свои требования безопасности. Например нельзя пополнить баланс на СИМке наличными, не предъявив паспорт. У ЦБ тоже есть требования к банкам, если их не соблюдать, то будут штрафовать.
истерить по-детски топая ножками легче, чем понять, что мир сложен и все в нем устроено не так, как хочется.
А где эти регуляторы есть, когда народ обчищают?
Я больше 7 лет не был в РФ, мой российский номер давно не активен. Но это не помешало кому-то оформить на меня кредит в микрозаймах года три назад. Я до сих пор разбираюсь с судебным приставом и судами, что не брал 15к рублей на карту, что мне не принадлежала никогда.
У меня подобная котовасия происходит с Яндексом раз в месяц-два. Никого не трогаю, примус починяю, как внезапно обнаруживаю, что яндексовские сервисы разлогинены сразу все и предлагают залогиниться. При входе по логину/паролю (уже принципиально из вредности использую только пароль), Яндекс пишет, что, мол, была зафиксирована попытка взлома. При этом, пароль очень длинный и перебрать его едва ли можно.
При этом, чтобы залогиниться в сервисы, просто зайти по логину/паролю нельзя -- запускается процедура восстановления и смены пароля с отправкой кодов по SMS. После её прохождения, Яндекс принудительно включает 2FA, которую приходится каждый раз отключать. А далее, приходится логиниться из браузера, с двух смартфонов из разных приложений... Суммарно, приходится логиниться раз шесть. При этом, несмотря на типа отключенную 2FA, в половине заходов Яндекс заставляет подтверждать вход с уже залогиненного устройства. То есть, это чистый обман, что можно выбрать вход только по логину/паролю.
Про театр безопасности Гугла у меня есть свежая история.
Когда-то сделал себе дополнительный аккаунт в гугле, попользовался и забросил за ненадобностью. А спустя несколько лет надобность возникла.
Окей гугл, открываю на десктопе Хром, добавить новый аккаунт, вот логин, вот пароль. Гугл: "мы отправили код на резервную почту ..." Лезу в почту, открываю письмо, вбиваю код. Гугл: "укажите номер телефона, куда можно отправить код". Указываю номер. Гугл: "нет, этот номер не годится, хотите попробовать другой способ?". А других-то и нет.
В какой-то момент у меня случилось просветление, и я решил попробовать этот же аккаунт просто добавить на телефон - тот самый телефон, номер на котором Гуглу не понравился. И внезапно всё получилось - без всяких писем на резервную почту и кодов.
Про безопасность.
С год (?) назад при входе в ЛК банков придумали предлагать установить пароль устройства (что это?), сначала была кнопка "Позже", потом её убрали, но при обновлении страницы осуществлялся вход. Намедни захожу в ЛК вэтэбэ-банка — уже нельзя отказаться от назначения пароля устройства. "Введите от четырёх до шести (или восьми) цифр". Ввожу четыре: "нет, повторяться цифры не должны" (а это разве не уменьшает (весьма) количество комбинаций, способствуя таким образом более быстрому подбору пароля?).
На кой вообще этот пароль устройства, ежели и так есть пароль от ЛК, логин, код на привязанный телефон?
Вхожу снова. Вместо прежнего (достаточно длинного, из букв и цифр) теперь вход осуществляется при помощи лишь пароля устройства (из одних только цифр). И чем это лучше? Устройство является надёжной гарантией?
Безопасники, блѢ.
В голосовании воздержался от выбора. Ибо по-разному бывает.
У меня недавно было прекрасное. Линкед-ин присылает письмо. Неудачная попытка входа в ваш аккаунт. Для безопасности смените пароль. То есть "хакир" ввел неправильный пароль, и поэтому я должен теперь свой правильный поменять.
Не знаю, насчёт ада, но некоторое неудобство ощущаю.
Я разраб. Вокруг админы и ИБ. Получаю ноут, иду работать.
На ноуте, конечно, винда и антивирус (потому что пишу софт в основном под винду).
Окей, ставлю что надо, git clone, запускаю студию. Ахахаха, блин.
После git clone с диска исчезает часть исходников. Спасибо касперу, что посчитал часть js файлов за вирусы. Написал безопасникам, что-то добавили в исключения.
Запустил сборку. Сборка идёт 3+ часа. Из четырёх ядер одно занято каспером. Угу, а вдруг я там вирус собираю. Написал безопасникам (пофиксили, хотя и далеко не сразу).
Пока не пофиксили сборка, похоже, шла медленнее, чем могла. Отключить антивирь и проверить, на сколько отличается время сборки с ним и без, конечно, не разрешили.
Запустил отладку... Ну, попытался. Отладчик запустился далеко не сразу, точно не помню уже, что там пришлось править, но тоже какие-то исключение добавили.
Удалённую отладку вообще не удалось запустить, ибо файрвол закрывает вообще всё напрочь.
На машине чисто пользовательская учётка. Хочешь поставить студию, зови админа. Некоторый софт вообще в таких условиях не ставится.
И такой цирк практически постоянно. Работать можно, но есть ощущение, что процесс замедляется существенно. Это не считая потраченных нервов и постоянной необходимости бороться с тёмными электрическими силами. Ндя.
Есть ли в этом польза - хз.
У меня с Телеграмом задница вышла. Накрылся комп. Восстановить-то восстановил, но сессия Телеграмма тю-тю. Пытаюсь зайти заново - у тебя есть активная сессия, мы туда код отправили.
Какая сессия? Накрылась она медным тазом... Достаю телефон - блин, там тоже проблемы, потому что я ставил Телеграм на совсем другом, для того, чтоб на компе установить, и выкинут тот телефон за старостью давно...
Ставлю наново. Та же картина - чтобы войти (на телефоне!!!), мы шлем код в открытую сессию. Да пришли ж ты sms! - нет, только через Телеграм на другом устройстве.
Писал в поддержку ежедневно месяц - все пофиг.
Накрылся мой Телеграм, пришлось всем новый рассылать.
Безопасность? Нет, совсем другое слово на букву "Б"...
P.S. Кстати об авторском "вторым фактором может выступать ключевая фраза, ответ на вопрос про любимое блюдо" - а чем это отличается от пароля, только такого, о котором уже имеется открытая информация? Почему пароль, который представляет собой дату рождения тещи (или там кличка любимой собачки), это плохо, а "Ответьте дату рождения тещи (кличку любимой собачки)" - это надежно и хорошо? бред...
Парни, о чем вы говорите? Карты, пароли, смски. Посмотрите шире. Безопасность давно стала големом, заменяюшим здравый смысл. Везде и и во всём. Рамки на вокзалах и в метро, абсолютно бредовые правила авиабезопасности. Это всё оплачивается из наших с вами билетов. Стало безопаснее - не думаю.
Гагарин летел на ракете, зная, что половина запусков точно такой же ракеты до него окончились неудачно. Экипаж Апполона 13 был на гране жизни и смерти несколько дней. Всего через 10 месяцев был запущен Апполон 14. Представляете, сколько бы сейчас согласовывали повторный запуск. Сейчас из-за несколько выходящих за рамки погрешностей результатов теста два астронавта полгода сидят на орбите. И так везде.
Банковский комлайнс - это просто треш. 100500 бумажек которые нужны только для того, чтобы занять работой сам комплайнс.
Хочется стать на перекрёстке и орать : Человечество, что ты с собой делаешь?
Безопасность давно стала големом, заменяюшим здравый смысл.
Но это в принципе объяснимо. Возлагается на кого-то ответственность за безопасность, он по факту мало что может сделать, но, чтобы не оказаться крайним в случае какой-то экстренной ситуации, сделать что-то должен. Например, рамки поставить. И пусть они не остановят вооружённого преступника, но по крайней мере ответственный за безопасность сделал что мог, а, если бы рамок не было, то оказался бы виноват — не предусмотрел. Или там инструкции какие-нибудь написать, пусть даже не всегда в соответствии со здравым смыслом — опять же, если их нарушат по необходимости, то ответственность перекладывается.
Банки и сервисы внедряют меры безопасности чтобы охватить максимум пользователей и получить максимум выгоды.
С распространением доступности IT и интернета количество пользователей необразованных, безалаберных и не интересующимися IT сильно выросло, для максимизации прибыли нужно быть для них надёжным сервисом.
Вы полагаете внедренцы второго фактора через СМС и прочих раздражающих вас мер безопасности заблуждаются, полагая, что эти меры защищают массового пользователя и таким образом выгодны? Что ж возможно, но эту проблему нужно решать качественными статистическими исследованиями.
А что делать если не заблуждаются? Как сделать комфортнее меньшинству, которое готово нести за себя ответственность? Поддержка обходных путей, позволяющих отключить доп проверки, это дополнительные издержки для сервиса. Отключать дополнительные проверки будут и пользователи неаккуратные, будут терять аккаунты и сервис терять в деньгах и/или репутации. Мы хотим заставить банки и сервисы нести эти издержки из каких-то соображений? Ну хорошо, но кто будет покрывать расходы на это? Размазывать на всех пользователей кажется несправедливым. Так что в этом случае рабочим мне видится только выход вида "отключение дополнительных проверок должно быть платной услугой".
А я убеждён, что безопасники просто ни хрена делать не хотят. И стремятся переложить всю ответственность на пользователя. Дурацкие сертификаты, принудительные пароли со знаками на третьесортных ресурсах, отключение кириллицы в паролях. Оказывается не одного меня достали. Зато как людей злить они - пожалуйста, а вот как на мейле.ру просто принудительное хамское привязывание почты и контакта, а там очень навязчиво норовят связывать и госуслуги всё больше.. А ещё есть навязчивое обновление софта, связанного якобы с безопасностью, на деле исключительно с шпионством за пользователем плюс раздуванием размеров софта.
Внесу и я свои пять копеек (ну или две).
1-я копеечка. Человеческий фактор.
Тёща закрыла кредит в красно-синем банке. Последний платёж платила в офисе. Оператор оформила документы и взяла у тёщи карту , но не уничтожила её. Выяснилось это через примерно год, когда позвонили приставы. Оказалось операторша пользовалась ей как своей (снимала и гасила), пока что-то там у неё не случилось и она перестала гасить долг. К счастью всё выяснилось. Операторша не отпиралась и нашлось видео с камер, подтверждающее не уничтожение карты.
Копеечка 2. Безопасность.
Истёк срок действия моей карты "зелёного банка". В магазинах её по прежнему принимали, а вот в транспорте она перестала работать. Не шибко то и нужно, но вот дёрнул чёрт меня заказать новую. Через пару недель пришло смс - Карта готова. Заберите. Забежал в обеденный перерыв в банк забрать карту. Операторша сверила паспорт с моим фейсом, взяла старую карту, порезала и попросила назвать код из смс..... А смс нет...... Не приходит, сколько она не отсылала. Давайте, говорит, попробуем в приложении. В каком приложении?!... Ты не видишь у меня в руках кнопочник?!.. Мне нафиг не нужно ваше смс, выдайте мне мою карту. Нет я должна удостовериться. В чём? Вот я, вот мой паспорт, выдайте мне мою карту..... Ладно времени в обрез, зайду позже.
Через пару дней зашёл после работы. История повторяется. Ладно зови начальника отделения. Пришла начальница. Прохожу третий круг ада. Начинаю помаленьку вскипать. Вы чё тут совсем офигели? В законе о Гражданстве РФ нет ни слова об смс, номере телефона, симкарте или приложении, но там чётко прописан паспорт. Вот я, вот мой паспорт - отдайте мне мою карту....
По итогу получасовых препирательств я обозвал этих куриц самыми последними словами и ушёл. Хотел ещё хлопнуть дверью, но доводчик,зараза, не дал.
Я понимаю, что эти барышни по большому счёту не виноваты в происшедшем и срывать на них зло было не правильно, но чувство собственного бессилия перед системой довело меня в тот момент просто до белого каления.
Итог:
Карты у меня так и нет. Больше я не стал ходить в банк - нервы дороже. Оказалось карту можно активировать онлайн. К стати смс мне приходят! Все. Об списаниях, для входа в кабинет, для оплаты, с предложением кредита или вклада так вообще ежедневно (день то, день другое). Не приходит только из ихнего банковского приложения с планшета сотрудницы. Что это? Безопасность, глюк, сбой, фича, кривые руки (мозги) программиста, "неправильная сим", шутка опсоса?... Не знаю.
Установил на старенький смарт приложение для оплаты, привязал эту карту, ввёл код подтверждения с кнопочника. Так и пользуюсь. Оказалось достаточно удобно, все скидочные карты тут-же. Показал код, поднёс расплатился.
История закончилась, но осадочек остался. Это всего лишь коммерческая организация живущая на мои-же деньги, но я просто бессилен перед ней. А каковы же будут мои шансы перед госструктурами?... Я действительно никто?
Вы чё тут совсем офигели? В законе о Гражданстве РФ нет ни слова об смс, номере телефона, симкарте или приложении, но там чётко прописан паспорт. Вот я, вот мой паспорт - отдайте мне мою карту....
Сценарий:
Сотрудник банка в сговоре с мошенниками оформляет и выдает (используя не так чтобы секретные паспортные данные) эту самую карту какому-то левому лицу.
"Нет я должна удостовериться." В чём?
Это не она должна удостоверится. Это банковская информационная система должна удостоверится, что человек действительно приходил в отделение. Желательно бы еще проверить, что действительно паспорт показывал. А это система оператору не очень доверяет - вдруг он мошенник. Вот приблизительно как в первом описанном сценарии.
Вот оттуда такие дополнительные ограничения и появляются. Увы.
А SMS и смартфоны используются как костыльные 'аппаратные токены' вместо нормального ID-карточки с чипом, который уже много лет ввести не могут.
Вот все верно описали. Люди просто не в курсе и искренне считают, что это придумывается от нефиг делать. Вся безопасность пишется кровью, людским горем и судами. К содалению сотрдуники банков тоже мошенничают.
Поверьте, с ID картами тоже не все так хорошо. В плане мошенничества.
Поверьте, с ID картами тоже не все так хорошо. В плане мошенничества.
Понятное дело. Использовать для тех целей, где она нужна кривое и косой костыль, зависящий от функционирования третей стороны, которая ни разу не паспортный стол - это не смешной цирк.
Ну ладно, хотите 'халявный' чип использовать, если деньги на специально выданный тратить не хочется -- ну так и использовали бы эту SIM-ку прямо как чип с ключом, без этой странной пересылки сообщений. Они так, теоретически, могут. Так ведь нет -- не делают так.
Я выше писал про способы подписи и входа. Один из них это MobilID. Там реально используется симка. Но проблема, которую я имел ввиду, в том, что вся это безопасность идёт лесом, когда люди сами вводят пины, при звонке мошенников.
когда люди сами вводят пины, при звонке мошенников.
Случай, когда люди сами переводят куда-то деньги/добровольно отдают их мошеннику не лечится никакими техническими средствами. Поэтому при разработке технического решения этот сценарий вообще должен находится за рамками обсуждения. Я вообще не очень понимаю, почему оно каждый раз при обсуждениях методов аутентификации в качестве аргумента или сценария всплывает, хотя должно быть: "Ну да, бывает, но это не к нам, а к мозговедам".
Вот случай, когда человек сообщает кому-то (мошеннику) что-то, что достаточно для проведения операции мошенником без ведома человека - лечится тем, что такой сценарий неосуществим по причине того, что операция завязана на присутствие физического объекта. Или невозможности сообщить нужные данные. И ID тут уже помогают.
Ну так ответ то был на то, что не могут заменить телефон ID картами. В плане удобства - нужен инет. В плане мошенничества - ничем от телефона не отличается.
В плане мошенничества - ничем от телефона не отличается.
Отличается. В современных реалиях с телефонным номером:
Мошенник: "Скажите мне код, который на телефон пришел"
Жертва: сообщает код, не поняв, к чему именно ключ диктует.
Мошенник: заходит в учетку(госуслуг), сам все там делает, жертва страдает и узнает о произошедшем только пост-фактум.
С ID:
Мошенник сам ничего не может сделать, потому что у него физически этого чипа на руках нет.
Поэтому будет вынужден уговаривать сделать что-то человека, ломать устройство, в которое ID вставили, просить и вообще все происходит более-менее на виду жертвы. Или убалтывать отдать ID(и ключи к нему) в руки.
Второе заметно сложнее.
Есть еще вариант с телефоном как аппаратом, когда сам смартфон с его защищенным хранилищем в качестве авторизатора и физического токена используется. Тогда да, не отличается. Но система всяких регистраций и 'подтверждения личности' заточена именно на номер.
Прошу простить, но выше я уже писал про ID карту и личный код, а так же, про варианты подписи. В текущей реальности с ID картой мошеннику нужно от вас 2 вещи: 1. Личный код и чтобы вы подтвердили пин и судя по новостям и суммам - это так же просто делается, как и код из смс.
В текущей реальности с ID картой мошеннику нужно от вас 2 вещи: 1. Личный код и чтобы вы подтвердили пин и судя по новостям и суммам - это так же просто делается, как и код из смс.
Это как? А физического присутствия ключевой информации либо в чипе в ридере/телефоне, либо в защищенном хранилище телефона не требуется что ли?
Мошенника система не должна послать в духе "эти коды не для того устройства, что у вас в руках"?
В сценариях выше
Личный код + ввести пин1 или пин2, который вы водите в специальном приложении, куда приходит запрос.
как работает?
Я воспринял это так, что это приложение(универсальное для сервисов, чтобы каждый свое не делал) стоит, хранит ключики в защищенном хранилище телефона, и все эти pin-ы служат для открытия этих ключиков, после чего приложение стучит в сервис 'да-да, все в порядке'.
И, соответственно, мошенник может все что продиктовали хоть сколько вводить - ничего не сработает, т.к. у него никаких ключей авторизации и нет.
https://habr.com/ru/articles/888708/comments/#comment_28016322
По ссылке более подробно, если что-то будет не понятно - попытаюсь объяснить
По ссылке более подробно, если что-то будет не понятно - попытаюсь объяснить
1) - требует физического присутствия чипа ID в ридере. У мошенника такого нет, у него ничего не получается?
2) смотри вопрос в предыдущем сообщении
3) - требует физического присудствия SIM-ки c ID внутри телефона. У мошенника такого нет, у него ничего не получается?
Или тут сервис считает доказательством наличия ключика какую-то информацию, которую можно продиктовать, вместо того, чтобы пообщаться с криптопроцессором напрямую (ну. те. при помощи программных интерфейсов)
Вон, как Passkeys работают - там можно сколько угодно диктовать злодею PIN, которым я телефон (и хранилище с ключами) открываю - ему это не так чтобы поможет.
Сама ЭЦП хранится на ID карте. Для нее есть пинкоды.
Но вы можете делегировать право подписи официальному приложению и задать там свои пинкоды или мобильному оператору со специальной симкартой.
Если подписать документ ID картой через ридер, то вам нужны: карта в ридере, личный код и пины.
Если через приложение, то личный код, код проверки и пины.
Если через мобильный, то личный код, номер телефона, код проверки и пины. Как-то так.
Код проверки показывает приложение, куда вы хотите войти, вам нужно сравнить его и подписать введя нужный пинкод. Когда мошенники авторизуются на сайте им нужно чтобы вы ввели пинкод, на это и разводят. Но в самом начале они и личного кода не знают, а выпытывают во время звонка. Ну её готова была Европа к набегу таких деятелей
Когда мошенники авторизуются на сайте им нужно чтобы вы ввели пинкод, на это и разводят.
И как это им помогает? У них же не ID, ни SIM-ки с ID, ни приложения, которому делегировали подпись, нет? Откуда он достает ключик, которым запрос на операцию(в частном случае - авторизации в сервисе) подписывается?
Я же говорю, разводят человека, что бы он ввёл. Не важно откуда запрос, если вы ввели личный код для входа, то приложение уведомит вас об этом и попросит подтвердить пином. Самый безопасный способ это карта в ридере. Всё остальное так упростили, что похоже на смс от банка 🤣
Примерно так: https://youtu.be/9DUxWGy2Ci4?si=d4WxSG-AfuZvX5mW
Только обычно достаточно одного личного кода. Который тоже пытаются узнать во время звонка и сразу вводят на сайте. После чего пользователя просят подтвердить действие своим пином1 или пином2
Примерно так:
А, Это работает так, что мошенник где-то формирует запрос на вход, оно сваливается мне в приложение и я могу его подтвердить 'OK, пусти'. Ну вот как вход у того же гугла можно подтвердить на уже залогиненом телефоне.
Вообще, в контексте именно ID-ов это выглядит как дефект. physical proximity тест забыли. Чтобы использование всего того, что ID считается, можно было только непосредственно рядом с тем местом, где этот эквивалент ID находится.
Ну в плане онлайн услуг это сложнее сделать. Поэтому упрощают. Вот я и писал, что надёжнее карта в ридере. Там, как раз, авторизация идёт именно по эцп. Но с учётом того, что даже в мобильном банке перевод нужно подтверждать с помощью пин2 - люди выбирают удобство в плане делегирования этих функций приложению на телефоне. Отсюда и мой первоначальный посыл на тему, что ID карта нифига не помогает в реальной жизни.
Ну в плане онлайн услуг это сложнее сделать.
В Passkeys сделали при помощи bluetooh. При входе с телефона на десктопе (Забыл как у них сценарий называется) -- оно проверяет при помощи него что телефон рядом с десктопом.
А так - делается просто. Приложение должно просить просканировать (камерой) с экрана какой-нибудь баркод, чтобы убедиться, что экран, где логинятся - он тут, рядом. chipTAN так умеет, например (Youtube).
Если у вас мобильное приложение банка и вам нужно сделать перевод с подписью пин2, и вы хотите сделать это на телефоне, без компьютера - то что-то сосканировать или быть рядом с компом сложно. Я сейчас про повседневное использование. Поэтому и получился разброс от ЭЦП до "смс кодов". В оправдание - раньше Европа не сталкивалась с таким количеством финансового мошенничества. Может чуть позже что-то придумают. Но сейчас, то что существует - реально удобно. Просто надо быть внимательнее.
и вы хотите сделать это на телефоне
Прямо на телефоне и не надо. Приложение в телефоне и так может проверить, что нужные ключики в защищенном хранилище телефона лежат и их дальше их использовать.
У злодея на телефоне, соответственно, этих ключиков нет и у него ничего не выходит.
Я вам сейчас про нашу систему, которая есть. И она не очень помогает, даже с учётом ЭЦП. А не помогает она именно потому, что её упростили для удобства. Да, это не просто код из смс, это код который нужно подтвердить кодом. Это удобно. Но в плане мошенников - уязвимо точно так же, как код из смс
А не помогает она именно потому, что её упростили для удобства.
Ну как. Вот эти граждане, что напрямую ID карточкой пользуются или ее эквивалентом в SIM-ке -- они же на эту атаку не попадаются?
Скорее только те, кто карточку используют не попадаются. Там доступ именно по ЭЦП. Так-то ридер и к телефону подключить можно. Остальные варианты проще и доступнее. Ну и атака обычно рассчитана на тех, кто пользует приложение или MobilID
Скорее только те, кто карточку используют не попадаются. Там доступ именно по ЭЦП.
А, я понял различие в восприятии ситуации с ID-ами. Я в начале не до конца мысль выразил. Имелось в виду, что ID-ы хорошо было бы ввести, а все способы, ломающие защиту привязки к физическому объекту --- извести регулированием.
Тогда те случаи, которые приводились в качестве примера 'не так хорошо' просто бы не существовали.
На самом деле - это не безопасность, а желание банка съэкономить на операционных расходах. Я помню, как раньше в любом банке на любую расходную операцию к девочке подходил начальник оперзала и добавочно удостоверяла твою личность. До смешного доходило: маленький банк, я вип клиент, меня знают как облупленного, я показал паспорт, вышел в кассу, возвращаюсь сделать перевол, снова паспорт, снова вдвоём. И еще персональный менеджер стоит за спиной.
Но в случае чего, завзалом несла персональную ответственность. Я сейчас кто несёт?.
Вообще никто. "У нас программа так показывает".
Логин и пароль это лучшее что было. Логин и пароль надежно и удобно хранятся в специализированных БД...
Вот тут я взоржал акт конь. Очень наивно думать что логин -пароль вообще от чего-то защищает. Ждём следующую статью от автора на тему "Я в России а кто-то снимает мои деньги в Камбодже".
И мой пример. Есть старый аккаунт варгейменг на который года 3 не заходил. И уже года два я смотрю как мне приходят отбивки на почту с кодом доступа. Кто-то из разных стран мира пытается зайти в аккаунт. Пока безуспешно))
Свобода или безопасность - слишком узкие рамки.
Учитывая количество дыр в любых системах, особенно критических я бы предпочёл, чтобы мои деньги и личные данные (например фото или файлы) были в сохранности.
Но если говорить о малозначительных сервисах то свобода, думаю, приятнее и спокойнее.
Везде где только можно использовать двойную аутентификацию тоже утомляет. Да и сервисы требуют номер телефона (для получения кода) и пароль, а это всего лишь новостной портал..
Как взламывали аккаунты когда были только логин и пароль, так и взламывают когда есть куча дополнительных факторов "безопасности", а я два часа пытаюсь зайти на почту что бы посмотреть код который нужен что бы зайти на другом сервисе, прикольные квесты
Номер карты вводить не пробовали?
Горели бы все эти безопасники в аду! Безопасники хабра в том числе!
Чтобы зайти и оставить каммент мне пришлось 4 (ЧЕТЫРЕ !!!) мать его раза распознать капчу из гидрантов-автомобилей-мотоциклов-опять автомобилей. Осталось ли у меня желание еще раз сюда заходить? вопрос на засыпку...
"Те, кто готов променять свободу на безопасность, не достойны ни свободы, ни безопасности".
Меня недавно не пустили в фейсбук. Я давно им не пользуюсь, много лет назад имел там аккаунт, но он давно накрылся. И в тот раз, и сейчас мне аккаунт был нужен только для того, чтобы иметь возможность прочесть чужие публикации - иначе не пускают. Ни постить сообщения, ни даже писать комменты я не собирался.
Доступ, сами, понимаете, сейчас только через посредника. Встретило меня приветливое "вы должны пройти тест, чтобы доказать, что вы живой человек". Ну типа, прошел что-то вроде капчи с картинками. Но этого им оказалось мало: "Пришлите селфи-видео". Разумеется, все ради моей безопасности. Видео с древнего десктопа, с которого я все это затеял, прислать не могу при всем желании, ввиду отсутствия камеры. Попробовал с ноута жены, все послалось, но разблокировать регистрацию отказалось, что естественно - на ноуте другой посредник и даже из другой страны. Все приплыли, доказывать что-то некому. Плюнул и нашел дубль блога того же автора на телеграмме - туда вроде бы пока пускают без проблем.
Ничего надежней паролей, с нормальной политикой этих паролей, придумано не было и не будет. Вся "биометрия", ключи и вторые факторы это лютое решето и потенциальные проблемы с доступом или вовсе полной потерей доступа к запрашиваемому ресурсу или того хуже, компрометацией, в случае хищения, ключей, например. Пароль из головы украсть несколько сложнее.
Свобода свободой но после того как я чуть не потерял акк в payoneer в которой все еще появляются бабки из микростоков завел 2факт. А сумел вернуть аккаунт именно из за номера телефона который меня тоже порой задалбывает при входе (тупо не приходит смс с кодом). А еще я чуть не потерял свой psn где было куплено кучу игр за долгие годы. да устаешь от этих танцев с бубном, но спится крепче :)
ну вот решил проверить, благо все пароли и прочее надежно храняться в keepass
Мне, подмосквичу, Сбер как-то заблокировал мою же карту, когда я в городе Саратов снял из банкомата то ли 20, то ли 30 тысяч. Житель России просто так не может поехать в Саратов и захотеть снять там свои деньги со своего счёта: вдруг прогуляет на мамзелей и медведей...
При вьборе безопасности вместо свободьі тьі лишишься и того, и другого
В идеальном мире должен быть минимальный и обязательный уровень для всех, тот же логин пароль и любые варианты усиления безопасности на выбор пользователя, если они ему нужны.
За что безопасники будут гореть в аду?