Комментарии 49
лично меня немного (как пользователя) смущает следующее:
Ко всему прочему, мы забыли, что браузер может хранить ваши cookie! Значит, от шага с логином можно просто отказаться, запоминая последний вход в систему.
Запоминая на какое время? А если комп не доверенный? Контроль за этим есть?
Экран подтверждения SMS. Переход на следующий шаг происходит без кнопки в автоматическом режиме.
А если я привык глазами пробежаться по тому что ввел и потом подтвердить. Зачем ломать шаблон действий всем пользователям которые уже привыкли к "де факто" стандарту.
(см. EMV 3DS v2 "4.1 3-D Secure User Interface Templates")
Вообще то, я писал от лица "абстрактного" пользователя. Который про такие вещи не знает не задумывается. Т.е. выбрал стиль написания вопроса такой...
А я знаю и задумываюсь, поскольку разрабатываю как раз подобные вещи.
Но все равно спасибо, что озаботились прокомментировать. Я бы вообще добавил в набор рекомендаций для клиентов:
- не вводить конфиденциальную информацию на чужих компах вообще.
- не держать на счетах (для используется однофакторная аутентификации или SMS как второй фактор) больше минимально необходимого на данный момент.
Привет! Почему? Можно например спрашивать логин или номер телефона. В чём заключается ужас?) Ведь номер телефона мы спросим в любом случае
Логин от интернет-банка получить сложнее.
Останется только узнать пароль пользователя и украсть его смс. А ещё можно попробовать найти его номер Карты с датой и CVV, или узнать номер счёта.
Мы тестируем разные подходы при реализации того, или иного flow по входу совместно с большим IT и СБ.
Разумеется, ради любого Васи Пупкина никто не будет так заморачиваться, но если жертва вкусная — запросто.
В таком случаем, должна сработать проверка на IMSI — чек на обнаружение признака замены сим-карты.
Подсказать, как часто она срабатывает на практике и с какой задержкой?
Номер телефона как логин с хранением в куках — безопасники обязаны были это зарубить сразу.
Какая может быть двухфакторная авторизация, если собственно логин указывает номер телефона, куда придет СМС с одноразовым кодом.
Как раз телефон и смс это легко, поэтому в более крупном банке пин. Его автоматом сграбить сложнее.
Аналогичная история если находишься там где нет мобильной связи. Интернет есть, а мобильный не работает.
Как быть таким людям?
Уводим на заказ карты, если понимаем, что имеем честь взаимодействовать с не клиентом Альфы.
А безопасники как-то во всем процессе учавствуют?
Такой функцией можно как минимум запросто узнать является ли клиентом вашего банка вот этот конкретный человек. Фантазируя дальше, можно перебором получить весь список телефонов клиентов (практически нереально, но теоретически возможно)
Надеюсь они одумаются и этого чуда не будет.
А есть шанс, что все блага последних версий приложения станут доступными на iPad?
Больно было читать вашего "Противного" и не находить обновлений в обновленной версии.
Привет вам! В данном конкретном случае речь идёт о вебе. Безусловно благо будет корректно отображаться и работать в том числе и на ipad. А вот приложение на iPad больше не поддерживается.
А вот приложение на iPad больше не поддерживается.
Это печальная новость. Телефон "кнопочный" дабы исключить возможность несанкционированной отправки SMS с целью подтвердить платеж. Приложение использую на iPad, который не умеет отправлять SMS.
2. С точки зрения недавнего опыта попытки получения карты в банке (ваш клиент уже около 10 лет физик+ 1,5 года юрик) вы сейчас выбираете какие шашечки повесить на машину, которая собственно говоря сама не очень хорошо ездит. Из проблем с которыми столкнулся — при заполнении на сайте заявке на кредитную карту в анкету улетают не всегда те данные, которые указываешь на сайте, часть пунктов на сайте и в анкете у работника банка интерпретируются по разному или текст описания разница между сайтом и позднее подписываемой анкетой, иногда отличия кардинальные по смыслу. При заполнении анкеты указывается кодовое слово, которое имеет более строгие правила, чем устанавливаемое в отделении, но при этом об этом на сайте не слова. Но в тоже время заполнение анкеты в отделении банка приводит к более высокой процентной ставкой. В итоге, я или не могу использовать привычное кодовое слово или буду платить больше. Спасибо за заботу! И самое что неприятное — та-дааааам, после отправки анкеты и предварительного одобрения данное слово из анкеты устанавливается не на новую возможную карту, а на весь аккаунт, о чём вы тоже не предупреждаете. После этого опыта я написал несколько обращений и к сожалению получил пару ответов в духе «у нас всё хорошо, сам дурак», только в полностью клиентоориентированной форме.
Все люди разные каждый из них индивидуален.
Научитесь поддерживать и развивать несколько версий фронтенда.
P.S. Банк который сделает интернет банк в виде командной строки, с историей, редактированием команд, аласами, внутренними перемененными и bc/dc останется на всегда со мной.
1) Часто при вводе пароля/телефона на точке входа используется стандартная клавиатура. Если я себе ставлю другую клавиатуру у клиент-банка рвет шаблон. Все заканчивается временным возвратом стандартной.
2) Использование телефона вместо логина неимоверно раздражает. Я, например, не помню свой номер. К тому же банки имеют обыкновение в приложении объединять все договора одного клиента. Это ничего, что в разных договорах у меня моут быть разные телефоны? Или вообще отсутствовать? Кстати, всегда интересовало, почему клиент-банкинг имея тучу разрешений в телефоне не может сам вытащить № телефона из системы?
3) Очень неудобен ввод кода подтверждения из СМС. Чтоб его ввести нужно перейти в форму сообщений, найти СМС, запомнить (хорошо запомнить, ибо это важно) или записать на бумажке, закрыть «сообщения», открыть вновь клиент-банкинг, ввести без ошибок.
Берите пример с Вайбера — прислали СМС с кодом, вайбер сам прочитал и принял решение об авторизации.
Предъявите паспорт. Часть 1