Комментарии 62
авторизация по номеру телефона используют сервисы с целью:
Двухфакторной аутентификации
Восстановления пароля
В этот момент аутентификация из двухфакторной превратилась в однофакторную
Можно email и телефон проверить при восстановлении пароля.
Даже еще раньше — с тех пор как атаки на ss7 (или подкуп работника оператора для перевыпуска симки) стали доступными.
В современном мире априори нужно считать что любые ваши смс и звонки могут быть приняты (и совершены) любым заинтересованным лицом и полагаться на них не стоит и даже вредно (тк создает иллюзию защищенности и вынуждает пользоваться телефоном).
В современном мире априори нужно считать что любые ваши смс и звонки могут быть приняты (и совершены) любым заинтересованным лицом и полагаться на них не стоит и даже вредно (тк создает иллюзию защищенности и вынуждает пользоваться телефоном).
А какие альтернативы? Пуши? Они не имеют никаких логов и доказательно базы, в отличие от смс, как минимум факты передачи которых хранятся у оператора, и доказать неуведомление возможно.
Да, но есть одна проблема. В РФ я нашёл только один банк который так умеет, и тот на Дальнем Востоке. Почему-то все крупные банки резко и массово убрали услугу «криптокалькулятор» или хардварные токены для входа в онлайн банк.
Думаю просто потому что это сложно (хранение/дистрибуция, обучение клиентов, поддержка так как чаще тупят/теряют и т.д.).
Никто не предлагает авторизацию по номеру как панацею от всех бед, но часто она подходит по за счет сочетания простоты, массовости и результата.
Никто не предлагает авторизацию по номеру как панацею от всех бед, но часто она подходит по за счет сочетания простоты, массовости и результата.
Я вам более того скажу, что вся текущая проблема с соц. инженерией и банкингом создана самими банками. Т.е. в какой то один момент банки почему то решили, что СМС им хватит для двухфакторки. А у операторов связи спросить забыли. Также забыли спросить у специалистов — как работает СМС и связь в целом, и сложно ли подменить/перехватить вызов и или СМС(очень просто). Результат этой истории виден всем. Часть транзакционных смс, при этом продолжает ходить открытым текстом и через 3 страны(!) и через незащищенные каналы связи. Кейсы, где вводили код из СМС третьи люди без доступа к оконечному оборудованию клиента и без вирусов также есть.
Но все ищут проблему в операторах связи. Банкам уже было предложено дать денег для модернизации инфраструктуры ТФОП, с тем, чтобы она соответствовала строгим стандартам, необходимым двухфакторки в банкинге. Леса рук желающих не было.
Что касается самой услуги — в ней также есть риски «не понравится» Б4(они продолжают с упорством маньяка продавать 140 байт информации(1 смс) за 2 рубля(пересчитайте в гигабайт, кому не лень-охренеете) и больше и не замечать, что все бегом бегут из некогда популярной услуги. P2P уже убежал и давно, B2C всеми силами внедряет push, телеги, слаки, ватсапы, подтверждающие звонки(как в этой статье) — все что угодно, лишь бы не купить «такой дешевый гигабайт». Итог, на мой взгляд, будет такой же, как с рынком МН транзита.
СМС (рекламные, транзакционные, уведомления и пр.) — просто закончатся, как закончился голосовой МН трафик.
Но все ищут проблему в операторах связи. Банкам уже было предложено дать денег для модернизации инфраструктуры ТФОП, с тем, чтобы она соответствовала строгим стандартам, необходимым двухфакторки в банкинге. Леса рук желающих не было.
Что касается самой услуги — в ней также есть риски «не понравится» Б4(они продолжают с упорством маньяка продавать 140 байт информации(1 смс) за 2 рубля(пересчитайте в гигабайт, кому не лень-охренеете) и больше и не замечать, что все бегом бегут из некогда популярной услуги. P2P уже убежал и давно, B2C всеми силами внедряет push, телеги, слаки, ватсапы, подтверждающие звонки(как в этой статье) — все что угодно, лишь бы не купить «такой дешевый гигабайт». Итог, на мой взгляд, будет такой же, как с рынком МН транзита.
СМС (рекламные, транзакционные, уведомления и пр.) — просто закончатся, как закончился голосовой МН трафик.
А что делать глухим пользователям?
А что, звонок дешевле SMS?
есть вариант ещё дешевле
открываем страницу — видим код
вводим код в бот telegram
в браузере открывается разрешённая страница/страницы для этого юзера.
открываем страницу — видим код
вводим код в бот telegram
в браузере открывается разрешённая страница/страницы для этого юзера.
Такое не предлагаем, так как при массовом использовании телефонные операторы могут начать блокировать пустые звонки.
Есть еще вариант «если вы подтверждаете… нажмите ...». Такое можно и сейчас сделать через наш API. Но это сложнее в реализации клиентам (нужно слать api запрос с коллбеком, ждать вебхука после дозвона, потом отвечать какой заранее начитанный ivr проиграть, и ждать ответ с результатом DTMF).
Есть еще вариант «если вы подтверждаете… нажмите ...». Такое можно и сейчас сделать через наш API. Но это сложнее в реализации клиентам (нужно слать api запрос с коллбеком, ждать вебхука после дозвона, потом отвечать какой заранее начитанный ivr проиграть, и ждать ответ с результатом DTMF).
Яндекс использует как минимум для подтверждения номера такую схему. Очень удобно. И как отметили выше проблему с глухими пользователями — тут её нет.
Такое не предлагаем, так как при массовом использовании телефонные операторы могут начать блокировать пустые звонки.
А расскажите про это, если знаете подробности! Как операторы борются с этими звонками, почему они сейчас (по отзывам) становятся массовым явлением?
Вконтактик
Сегодня компаниям все чаще нужно верифицировать клиента не только по email, но и по телефонному номеру.
Прям таки нужно, ага. Дурацкое копирование дурацких веяний.
Если мне для авторизации вместо кода в смс/пуше/проге будет кто-то звонить, то этот сервис вместе с номером быстро улетит в ЧС.
Все эти привязки к телефонным номерам — зло. Вижу такое, сразу мимо прохожу т.к. это нифига не защита а только видимость оной.
Вы мимо всех банков прошли? Или нашли такой где действия совершённые по телефону не являются аналогом собственноручной подписи?
Или нашли такой где действия совершённые по телефону не являются аналогом собственноручной подписи?
В Челябинске был такой банк.
Его и искать не надо, это любой банк, т.к. аналогом является только квалифицированная ЭП, а SMS и т.п. ей не считаются.
Действующая редакция сберовского договора сейчас www.sberbank.ru/common/img/uploaded/files/pdf/udbo_26_02_2021.pdf
Продолжать? Я много договоров прочитал так что предлагаю вам ещё раз почитать договор со своим банком и обдумать вышесказанное. Повторяю вопрос. Есть ли в РФ хоть сколько-то крупный банк без признания смс аналогом собственноручной подписи.
2.2. Аналог собственноручной подписи – код, пароль или иной, указанный в Договоре аналог собственноручной подписи, используемый Клиентом для
одтверждения волеизъявления Клиента на совершение операции или удостоверяющий факт составления и/или ознакомления, и/или подписания электронного сообщения, Электронного документа, в том числе договора в электронном виде, заключаемого через Удаленные каналы обслуживания.
2.28.Код подтверждения – используемый в качестве Аналога собственноручной подписи цифровой код для подтверждения Клиентом вида и параметров услуги/операции, осуществленной Клиентом при его обращении в Контактный Центр Банка (либо при осуществлении Банком исходящего телефонного звонка Клиенту). Код подтверждения направляется Банком в SMS-сообщении (с видом и параметрами услуги/операции) на номер мобильного телефона Клиента, зарегистрированный для доступа к SMS-банку
(Мобильному банку) по Карте.
2.36.Одноразовый пароль (Одноразовый код) — пароль одноразового использования. Используется в целях Аутентификации Клиента при выполнении операций на Официальном сайте Банка15 или для дополнительной Аутентификации Клиента при использовании Сбер ID, при входе в Систему «Сбербанк Онлайн», для подтверждения совершения операций на Официальном сайте Банка/в Системе «Сбербанк Онлайн»16, а также операций в сети Интернет с применением технологий «MasterCard SecureCode», «Verified by Visa» и «MirAccept» в качестве Аналога собственноручной подписи и/или в целях безопасности при совершении наиболее рисковых операций.
2.39.ПИН – персональный идентификационный номер, индивидуальный код, присваиваемый каждой Карте и используемый Держателем Карты при совершении операций и иных сделок с использованием Карты/NFC-карты в качестве Аналога его собственноручной подписи.
2.13. Сообщения в электронной форме, направленные Клиентом в Банк через SMS-банк (Мобильный банк), имеют юридическую силу документов на бумажных носителях, заверенных собственноручной подписью Клиента, оформленных в соответствии с требованиями законодательства Российской Федерации, и порождают аналогичные документам на бумажных носителях права и обязанности Клиента и Банка по ДБО. Данные документы в электронной форме могут служить доказательством в суде.
Продолжать? Я много договоров прочитал так что предлагаю вам ещё раз почитать договор со своим банком и обдумать вышесказанное. Повторяю вопрос. Есть ли в РФ хоть сколько-то крупный банк без признания смс аналогом собственноручной подписи.
ГК РФ утверждает, что «требование о наличии подписи считается выполненным, если использован любой способ, позволяющий достоверно определить лицо, выразившее волю». А ФЗ «Об электронной подписи», что только усиленная электронная подпись позволяет определить лицо, подписавшее электронный документ. Усиленная, а не квалифицированная, тут я соврал.
2.16. Клиент обязан исключить возможность использования третьими лицами номера мобильного телефона, зарегистрированного для доступа к SMS-банку (Мобильному банку).
2.17. Банк не несет ответственности:
– в случае указания в Сообщении неверного реквизита платежа и/или суммы платежа, а также по спорам и разногласиям, возникающим между Клиентом и организациями-получателями платежа;
– по претензиям лиц — владельцев номеров мобильных телефонов, зарегистрированных Клиентом для доступа к SMS-банку (Мобильному банку);
– за недоставку SMS-сообщения на Мобильное устройство Клиента, в случае если это обусловлено причинами, не зависящими от Банка (SMS-сообщение не отправлено оператором мобильной связи, отсутствует подключение к мобильной связи, Мобильное устройство Клиента недоступно длительное время и т.п.);
– за ущерб и факт разглашения банковской тайны, возникшие вследствие допуска Клиентом третьих лиц к использованию мобильного телефона, номер которого зарегистрирован Клиентом для доступа к SMS-банку (Мобильному банку);
– за последствия исполнения распоряжения/ совершения сделки на основании Сообщения, переданного в Банк с использованием номера мобильного телефона Клиента, зарегистрированного Клиентом для доступа к SMS-банку (Мобильному банку), в том числе, в случае использования мобильного телефона Клиента неуполномоченным лицом;
– за ущерб, возникший вследствие утраты или передачи Клиентом Мобильного устройства неуполномоченным лицам;
– в случае невозможности предоставления услуг через SMS-банк (Мобильный банк) по независящим от Банка обстоятельствам, в том числе по причине не предоставления Банку сторонними организациями необходимых сервисов.
И такое написано в любом топовом банке. И это жесть. И судиться с этим будет невероятно сложно. Причём я уверен что где-то прописано что если лица договорились об упрощённой идентификации то это законно.
Про претензии лиц владельцев вообще трешак.
Да, ситуация с практикой мутная и неоднозначная, хотя я ее знаю только краем уха и потому все нижесказанное — ИМХО, не претендующее на истину. 1. Банки могут писать в договорах, что угодно, в т.ч. и явно незаконные условия, которые при достаточной настойчивости через суд отменяются в конкретном случае, но поскольку эти паскуды не получают оборотный штраф за такие фокусы, в остальных договорах незаконные пункты сохраняются. 2. Суды часто встают на сторону банков, поскольку в мантии сидит полуграмотное мурло, которому на все плевать, а тут с одной стороны представительный мущщина в дорогом костюме и с хорошо подвешенным языком, сыплющий терминами, которые «ее честь» едва ли не впервые слышит, а с другой — растерянный физик, который лепечет что-то. 3. В результате нарабатывается отрицательная практика, на которую ссылаются юристы банков, как на «прецедент», что служит лишним доводом в пользу их позиции. Круг замыкается, пока клиентом банка не оказывается кто-то богатый, упорный или умный, а то и все сразу, доводящий дело до кассации, где оно пересматривается более-менее адекватно. Краем уха опять же слышал, что прецеденты оспаривания «подписи» в виде SMS-кода были.
Это я к тому, что даже если все банки пишут в типовых договорах что-то, это совсем не означает законности написанного (как, впрочем, и обратного). Надо изучать вопрос, на что у рядового клиента банков нет ни времени, ни сил, ни знаний, контрольно-надзорным органам на это плевать, пока очередные обманутые вкладчики дороги не перекроют и поднимется шум, а правозащитные организации у нас занимаются либо зашибанием бабла, либо самопиаром. Не все, конечно, но вот реального общества защиты прав потребителей у нас нет.
Это я к тому, что даже если все банки пишут в типовых договорах что-то, это совсем не означает законности написанного (как, впрочем, и обратного). Надо изучать вопрос, на что у рядового клиента банков нет ни времени, ни сил, ни знаний, контрольно-надзорным органам на это плевать, пока очередные обманутые вкладчики дороги не перекроют и поднимется шум, а правозащитные организации у нас занимаются либо зашибанием бабла, либо самопиаром. Не все, конечно, но вот реального общества защиты прав потребителей у нас нет.
Да именно так. Вот я почитал договор. И жопа. Я не могу выбрать банк, у них у всех такая муть написана. И, что забавно, у брокеров тоже самое. Массы выбирают простоту против защищённости, и бизнес даёт им это. И что делать конкретно мне — хз. Я пробовал с парой банков заключить договора не указав телефон вообще. Не соглашаются, "программа не печатает". В суд на них подавать?
Хм… я как-то не обращал внимания, но раньше у меня точно были договора с банками без указания номера телефона. Хотя они очень хотели, но скушали четкое: не дам и не собираюсь объяснять, почему.
Т.е. Вы хотите просто вариант «сберкассы»: счет без возможности дистанционного управления, без карт, все операции — по личной явке с оформлением бумажек? Тогда в Центробанк и Роснепотребназор как надзорные органы и в суд с иском о понуждении к сделке.
Но тут ситуация еще веселее: некоторые госуслуги оказываются только в электронной форме, а для этого надо иметь мобильный. И ничего, хавают граждане.
Т.е. Вы хотите просто вариант «сберкассы»: счет без возможности дистанционного управления, без карт, все операции — по личной явке с оформлением бумажек? Тогда в Центробанк и Роснепотребназор как надзорные органы и в суд с иском о понуждении к сделке.
Но тут ситуация еще веселее: некоторые госуслуги оказываются только в электронной форме, а для этого надо иметь мобильный. И ничего, хавают граждане.
Госуслуги я подключал со входом по ЭЦП. Что интересно, что когда вышел срок, я просто по телефону поменял привязку на телефон, но это давно было. Да я хочу банк для операций просто посредством личной явки. Даже лучше брокера чем банк. Но одно дело принудить, другое что договора могут менять односторонне, и во всех них прописана юридическая сила телефона, а во многих банках просто имея номер карты можно подключить онлайн банк на любой телефон, если он не присоединён и далее по договору. Да в суде будет гораздо больше рычагов, но хотелось бы не оставлять деньги на произвол судьбы и потом судиться, а просто нормально сделать.
Сейчас Госуслуги без указания номера мобильного не работают. Даже если раньше работали — оператор портит учетку, удаляет из нее часть данных и якобы требуется обновить их, что без номера мобильного ну никак не сделать. У меня лично так испортили учетку, якобы паспортные данные неполностью указаны были. Что не мешало при этом учетке быть полной, получать по ней загран (без указания данных общегражданского паспорта, ага)…
Принуждать можно по всем пунктам, в т.ч. и силы телефона. Как где не знаю, в Сбере привязка клиент-банка к номеру только при личном визите, перепривязка — тоже. Был случай, у них глюкнуло что-то в системе и добро пожаловать в ближайший офис.
Принуждать можно по всем пунктам, в т.ч. и силы телефона. Как где не знаю, в Сбере привязка клиент-банка к номеру только при личном визите, перепривязка — тоже. Был случай, у них глюкнуло что-то в системе и добро пожаловать в ближайший офис.
Мне очень интересно, что за бизнес такой, которому потенциальному клиенту отправить смс — дорого.
клиенты часто используют временные виртуальные номера.Но зачем они это делают? Возможно, их номер вам действительно не нужен?
Но зачем они это делают?
- Не хотят давать свой настоящий номер. И действительно, зачем его давать всем подряд?
- На многих веб-сайтах код страны +7 прибит гвоздями.
не всегда безопасный способ — клиенты часто используют временные виртуальные номера
Я пользуюсь виртуальными номерами. В чём разница в приёме sms и звонка на такой номер? Как это повышает безопасность?
Я вижу что некоторые сервисы не шлют смс и не диктуют по телефону код, а просто звонят и сбрасывают, просят назвать 4 цифры из номера с которого подали гудок. Не помню где такое видел, или в яндекс облаке верификация или какоую-то программу триальную я скачивал и подтверждал номер. Еще точно в магазине КБ приложение таким способом верифицирует.
А ответная услуга (предоставление номеров для таких подтверждений) планируется?
Ну неудобно же со звонками. Надо принять звонок (вдруг именно в этот момент я нахожусь в месте, где плохая связь, а таких мест не так уж и мало), надо прослушать что там сказали и запомнить, а потом ещё и ручками в нужное поле впечатать, а если в этот момент кто-то отвлёк и ты забыл напрочь нужную комбинацию, то это опять начинай всё с начала.
С смс куда удобнее, особенно если регистрируешься со смартфона, он сам сразу предлагает ввести нужные цифры куда надо.
Код диктуется с паузами и дважды, можно спокойно вводить пока диктуют. СМС при плохой связи может тоже долго приходить. Вариаций много, имея еще один вариант авторизации в запасе, можно включить больше клиентов.
Как одновременно слушать и вводить, если все действия производятся на одном и том же смартфоне? Правильно выше пишут, если уж и делать авторизацию по звонку, то в виде «введите последние 4 цифры звонящего». Есть ещё варианты: введите вторую, пятую, третью и первую цифру пропущенного номера.
ЗЫ при плохой связи смс в любом случае придёт. В варианте авторизации по смс в ней будет код, а при звонке — уведомление «вам звонили»
Как одновременно слушать и вводить, если все действия производятся на одном и том же смартфоне?
Поставить на громкую связь и отправить звонок в фон — всё отлично работает. Это ж не каждые 5 минут делать нужно, речь ведь о подтверждении номера — это делается редко и надолго.
при плохой связи смс в любом случае придёт
Не все мобильные умеют в SMS и далеко не все SMS доходят даже при отличной связи — зависит от сервиса которым пользуется отправитель и от провайдера получателя. К примеру от VK они регулярно не доходили на немецкие номера (раньше по крайней мере), разве что после нескольких попыток, причём от провайдера это совершенно не зависело.
В то же время голосовую связь умеют практически все (не считая конечно случаев отсутствия покрытия или просто плохой связи), так что это как раз 100% вариант — особенно если человек готов его принять (а раз регистрируется — то явно готов).
Не удобно это и не сильно не защищает пользователя.
Зачем делать так, что код говорит пользователю робот, он его потом вводит. Почему нельзя сделать наоборот? Пользователь получает на сайте фразу или цифровой код. Далее поступает звонок и пользователь говорит эту фразу или код. Сейчас распознавание голоса работает отлично, система записывает голос пользователя и идентифицирует его. Тут хоть какая-то надёжность появляется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Подтверждение номеров телефона без SMS