Как стать автором
Обновить

Комментарии 92

Mastercard планирует заменить эти одноразовые пароли токеном на основе биометрической информации пользователя.

А пользователи как логиниться будут ? Фейсом ? Голосом ? Всем вместе ? Так на симуляцию этой биометрии сразу нейросети найдутся.

Скорее всего отпечатком пальца, который ещё и привязан к конкретному железу. То есть так, как это сейчас работает у кучи банковских приложений в целом ряде стран ЕС.

П.С.Ну и насколько я понимаю Mastercard и так берёт риски на себя. То есть смогут там взломать биометрию или нет это их проблемы, а не проблемы пользователей.

это их проблемы, а не проблемы пользователей

Крайними в таком случае все равно будут пользователи)

Да вообще-то нет. Ну то есть как минимум в странах ЕС у Mastercard действует zero liability принцип. В США вроде бы тоже.

И по моему у них это в большинстве стран так где они работают. Может быть даже вообще во всех.

Как вас спасёт zero liability, если ваша биометрия утечет? Мастеркард будет покрывать все ваши убытки до конца вашей жизни?

Как по вашему куда-то должна утечь ваша биометрия в описанном мною случае: https://habr.com/ru/news/840154/comments/#comment_27234574

И даже если ваш отпечаток пальца куда-то утечёт, то это само по себе никому ничего не даст. Потому что нужен ещё как минимум доступ к зарегистрированному в банке девайсу с нужным токеном. И токены можно отозвать в любой момент.

Так что не вижу никакой причины почему zero liability не должно работать. У моих банков авторизация по биометрии работает описанным образом и с zero liability нет никаких проблем.

П.С. Ну и как бы я очень сомневаюсь что Mastercard даст возможность авторизации только по биометрии без всяких альтернатив. Как минимум в целом ряде стран ЕС у него это не получится и нужно будет предлагать ещё и третий фактор.

Условно скажем потерял сознание (ну или помогли). Итого телефон разблокируется отпечатком или лицом и теперь ещё и операции отпечатком который под боком лежит. Тут мошенникам переводят деньги и то вернуть не могут, а так все законно биометрически. ИМХО лучше 2ная пароль придуманный и биометрия. Хотя конечно не 100% защиты, но по крайней мере пока без сознания не воспользуются

Условно скажем потерял сознание (ну или помогли). Итого телефон разблокируется отпечатком или лицом и теперь ещё и операции отпечатком который под боком лежит

Точно так же сейчас упал, потерял сознание, мошенники взяли кредитку и оплатили что-то. И, о чудо, zero liability всё равно работает.

ИМХО лучше 2ная пароль придуманный и биометрия.

Конечно лучше. И например во всех моих банковских приложениях три фактора: девайс, пароль и биометрия.

Но если Mastercard считает что достаточно двух, то это их дело и их риски. По крайней мере пока они не откажутся от zero liability.

И, о чудо, zero liability всё равно работает.

zero liability не работает, если вы авторизовались в приложении и перевели все свои накопления на чужой счет.

Конечно лучше. И например во всех моих банковских приложениях три фактора: девайс, пароль и биометрия.

Достаточно двух, биометрия не нужна. Проблема в том, что сейчас в РФ вообще 1 фактор - код из смс.

zero liability не работает, если вы авторизовались в приложении и перевели все свои накопления на чужой счет.

Если действительно вы это сделали. Если вас стукнули по голове и провели трансакцию пока вы были без сознания, то это не вы что-то там перевели.

И как бы вот:

Durch das Zero-Liability-Prinzip werden Karteninhaber:innen vor einem finanziellen Schaden durch Kartenmissbrauch bewahrt. Das heißt, Karteninhaber:innen haften mit null Euro, wenn keine grobe Fahrlässigkeit durch den/die Karteninhaber:in vorliegt.

И если Mastercard сам настаивает на биометрии, то это никак под грубую небрежность не запихаешь.

Достаточно двух, биометрия не нужна

Точно так же можно заявить что достаточно двух и пароль не нужен.

Если действительно вы это сделали. Если вас стукнули по голове и провели трансакцию пока вы были без сознания, то это не вы что-то там перевели.

Это не важно. Важно, что банк в этом случае вам ничего не должен. Обращайтесь в полицию, пускай она ловит преступника и пытается вернуть ваши деньги. Так оно работает в большинстве стран мира.

Это не важно. Важно, что банк в этом случае вам ничего не должен

Ну неправда же. Если я всё правильно помню, то всё что я должен делать это во первых не допускать ту самую грубую небрежность, а во вторых заявить о инциденте в свой банк или прямо в Mastercard в течение то ли двух, то ли четырёх недель.

А дальше либо банк/Mastercard возвращают деньги, либо они должны доказать что я что-то сделал не так. Ну и естественно после этого за ними остаётся право разорвать контракт пр правилам прописанным в контракте.

И как бы я знаю ситуацию когда обокрали человека и потом потратили деньги с кредитки. И всё вернули без разговоров.

При чем тут кредитки и мастеркарды, когда я уже 5 раз написал, что речь о ваших сбережениях на ваших счетах? Вы либо не понимаете, о чем я пишу, либо специально старательно меняете тему. Только не надо писать, что пост поо мастеркард, мы уже давно об аутентификации вообще говорим.

При чем тут кредитки и мастеркарды

При том что статья именно об этом.

когда я уже 5 раз написал, что речь о ваших сбережениях на ваших счетах

Тогда тем более причём здесь российские банки и то, как что-то там криво устроено у них?

П.С. Да и ситуацию, когда меня стукнут по башке, а потом кто-то попытается переводить мои деньги, я рассматриваю как не особо вероятную. Мягко говоря.

При том что статья именно об этом.

"Только не надо писать, что пост поо мастеркард, мы уже давно об аутентификации вообще говорим."

Тогда тем более причём здесь российские банки

А при чем тут немецаие банки, сказки про которые вы рассказываете?

П.С. Да и ситуацию, когда меня стукнут по башке, а потом кто-то попытается переводить мои деньги, я рассматриваю как не особо вероятную. Мягко говоря.

В центре Москвы грабитель разблокировал «трофейный» смартфон лицом жертвы и перевел себе деньги

Достаточно двух, биометрия не нужна.

Нужна. Оно защищает от сценария "пароль подсмотрели, устройство украли".

Палец отрезали, ага. Ситуация, когда и пароль подсмотрели и устройство украли маловероятна. В этом смысл 2FA.

Коды из СМС всем понятны и просты. Даже TOTP с его ограничениями не каждый освоит, особенно старшее поколение, аппаратные ключи дороги. Но если вы предприниматель с расчётным счётом, то вроде, всё аппаратными ключами защищено. Я самозанятый без расчетного счета и у меня эквайринг в ПСБ (там, комиссии поменьше немного, чем, например, в ЮКассе), так они сделали, например, вход на компе через Windows Hello (а это TPM 2.0), а подтверждения через Push уведомления в приложении. Сбер вообще странно сделал: вход через Windows Hello подтверждается СМС, а по PIN коду (насколько понимаю, не TPM) на компе - без подтверждения. Так же примерно у Т-Банка. В общем без безопасных платежей Касперского (там аппаратная виртуализация, блокировка перехвата клавиш, запрет снятия скриншотов, строгая проверка сертификатов), пользоваться на компе не рискую. Но, может, излишне перестраховываюсь :) СМС приходят только тогда, когда этого явно требует политика банка в области безопасности, если есть возможность, они Push-уведомлениями стараются пользоваться.

Коды из СМС всем понятны и просты.

И абсолютно ненадёжны. А также ваши на российские симки могут не приходить, если вы за границей. Потому что санкции.

Даже TOTP с его ограничениями не каждый освоит, особенно старшее поколение, аппаратные ключи дороги.

Вы дайте возможность, а люди разберутся.

Сбер вообще странно сделал: вход через Windows Hello

И как оно под линухом работает? Есть универсальное кроссплатформенное решение, которое используют лидеры индустрии, но мы будем лепить проприетарные костыли...

Вы дайте возможность, а люди разберутся.

Как это работает прекрасно видно на примере Германии. Где раньше куча банков предлагала частникам отдельные аппаратные токены, а теперь оказывается всего лишь несколько.

И вопрос ещё как долго эти будут продолжать. Потому что спрос похоже падает...

которое используют лидеры индустрии

Какие лидеры какой индустрии его используют?

И если они его используют, то что вам самому мешает пользоваться услугами именно этих лидеров?

Как это работает, прекрасно видно на примере пейпала, микрософта, гугла, фейсбука и т.д. Даже госуслуги TOTP прикрутили.

Какие лидеры какой индустрии его используют?

https://www.yubico.com/works-with-yubikey/catalog/?sort=popular

И там далеко не всё перечислено, Paypal и Bank of America там нет, например.

И если они его используют, то что вам самому мешает пользоваться услугами именно этих лидеров?

Я не буду 10 раз отвечать на одни и те же ваши вопросы не в тему, читайте комменты выше.

Как это работает, прекрасно видно на примере пейпала, микрософта, гугла, фейсбука и т.д. Даже госуслуги TOTP прикрутили.

И лидерами какой конкретно индустрии они являются?

Ну то есть тот же Deutsche Bank со всеми своими дочерними банками уже лет пятнадцать используют вот это решение: https://www.seal-one.com/index.en

Зачем им его менять если оно великолепно работает все эти 15 лет и клиенты к нему привыкли?

И там далеко не всё перечислено, Paypal и Bank of America там нет, например

А где они перечислены?

Ну и как бы загуглил я почему yubikey не прижился в Германии. Называемые причины: относительно дорого, относительно сложно в настройке и использовании, не особо хорошо работает с "легаси железом".

Например вот статья на эту тему: https://www.sueddeutsche.de/wirtschaft/security-token-yubico-yubikey-phishing-datenschutz-1.4526539

По смс согласен. В том числе после того, как уязвимости ОКС7 (SS-7) были применены злоумышленниками против клиентов банков в Британии и Германии, NIST опубликовал текущие рекомендации. Но здесь мне видится такое разграничение (вероятно не слишком явно акцентировал): условно богатые и образованные имеющие расчётный счёт предприниматели используют аппаратные токены, бедные - СМС - украсть у них нечего. С какой-то точки зрения логично. И напрягаться зазря банкам не нужно :) А по TOTP, есть у меня клиент - инвалид первой группы. Я ему строго не рекомендовал применять TOTP на Госуслугах - для него физически сложно без ошибок несколько цифр быстро ввести, но описал все риски подробно и проинструктировал. Вот такие ограничения есть ещё. А что касается проприетарщины, то всё несколько не так. Через Windows Hello как раз реализация passkey идёт. Но кривая до ужаса, мне показалось, во всяком случае сколько ни бился, во ВКонтакте и на Яндексе Yubikey подключить не смог, только на телефоне через OTG кабель :) Теперь и на компе тоже работает.

Я думаю изначальная причина тут - желание сэкономить, как всегда. А тем у кого биометрия скомпрометирована будут выборочно возвращать смски

Как по мне, так все вокруг в последнее время просто из штанов выпрыгивают, чтобы собрать у меня биометрию, вещая, как мне после этого станет хорошо. Причина именно в этом, кмк.

Забавно. Я ровно один раз написал в саппорт тинькова что не хочу, у меня спросили "точно-точно?", я сказал "ага, и вышлите мне на почту подтверждение плз". И ВСЕ. Больше никто нигде ничего не спрашивал, хотя у меня 3 банка и куча других сервисов. В ГУ как ничего не было, так и не появлялось само, проверяю на всякий.

То как сканер отпечатков работает на многих устройствах... Оплата превратится в пытку

Фэйсом об тэйбл.

Насколько я понимаю, в утиль идет классический 3ds, вместо него - авторизация транзакции в приложении банка, в котором и так есть аутентификация по биометрии

Плюс "умный" ИИ, который пометит определенные транзакции как "белые"

Эта опция уже несколько лет описана в спеках

Если чего-то другое - интересно будет узнать детали

Т.е. теперь блокировать "транзакции не имеющие экономического смысла" будут не только на уровне банка, но еще и на уровне платежной системы, так чтобы более наверняка хомячок не могу потратить копейку по своему усмотрению.

То что я читал в спеке, было направлено на возможность авторизации транзакций БЕЗ подтверждения, исходя из того, что это "типовая" операция пользователя.

Поэтому "нет"

Платежная система вообще не сильно заинтересована в уменьшении оборота через себя любимую, а ее знания о владельцах карт вообще практически равны 0.

В Китае можно и телефоном, и фейсом, и рукой, и картой :)

Эээ, не, спасибо. Ни ЕБС, ни кто-то иной добровольно (привет Сергею Семёновичу с его камерами) мою биометрию не получит. Не хотите смски и пуши - я готов взять на себя риски с TOTP.

Насколько я понимаю в данном случае ваша биометрия хранится локально на вашем железе.

То есть обычно вы ставите приложение на конкретный девайс. Активируете это в банке. Потом в приложении создаёте токен и привязываете его к отпечатку пальца. Эта "привязка" хранится только локально. Дальше если вам надо авторизоваться, то вы заходите в приложение на этом конкретном девайсе и делаете это.

Если вы установите приложение на другой девайс, то вам надо будет это всё заново активировать и создавать новый токен.

П.С. Конкретно мои приложения позволяют привязать токен не обязательно к отпечатку пальца или вообще к биометрии. Но отпечаток это "дефолтный вариант".

То есть это ничем условно не отличается от iPhone с выключенным FaceID и установленным генератором OTP

То есть обычно вы ставите приложение на конкретный девайс. Активируете это в банке. Потом в приложении создаёте токен и привязываете его к отпечатку пальца.

Нет, я обычно открываю интернет-банк в браузере и никаких приложений никуда не ставлю. И отпечаток пальца у меня в компьютере прикладывать некуда. Зато у меня в usb порт воткнут аппаратный токен, который используется в качестве второго фактора, работает под любой ОС и даже с телефонами по nfc и используется огромным количеством сервисов, включая финансовые типа paypal. Но именно этот отличный способ аутентификации для 2FA, почему-то, с параноидальным упорством игнорируется банками. Интересно, почему...

Аппаратный токен у всех моих банков тоже можно выбрать в качестве одного из трёх факторов. Никто не запрещает.

И да, это более безопасно. Но при этом менее удобно. И поскольку риски всё равно берёт на себя банк, то многие не заморачиваются. И я уже лет пять как тоже перестал.

П.С. Хотя относительно недавно появилась возможность использовать для этого паспорт нового формата. И это вроде становится всё популярнее. Но я ещё не разбирался так как у меня всё ещё паспорт старого образца, который такое не умеет.
П.П.С. Кстати, а чем с вашей точки зрения отдельный аппаратный токен принципиально отличается от скажем отдельного смартфона в качестве аппаратного токена?

Аппаратный токен у всех моих банков тоже можно выбрать в качестве одного из трёх факторов.

Везёт вам, немцы молодцы. В 5 других странах, с банками которых я имел дело, ничего подобного нет.

И поскольку риски всё равно берёт на себя банк, то многие не заморачиваются.

В Серерной Америке zero liability только по кредиткам. Если ваши деньги украли с вашего счета, то это ваши риски и проблемы, идите в полицию. В Германии не так?

Кстати, а чем с вашей точки зрения отдельный аппаратный токен принципиально отличается от скажем отдельного смартфона в качестве аппаратного токена?

  1. Токен во много раз меньше смартфона.

  2. Токен на порядок дешевле смартфона.

  3. Когда я сижу дома за компьютером токе у меня воткнут в usb порт кравиатуры, а смартфон валяется в другой комнате, я его дома в руки даже не беру.

  4. Сегодня смартфон, почти полностью бесполезное устройство для меня, я планирую от него отказаться. Современный смартфон - это кадавр, который неудобен абсолютно для всего. Давайте запихаем в этот комбайн ещё одну функцию, чтобы с ней тоже было неудобно.

  5. Токенов можно привязать несколько, один из привязанных токенов можно хранить в банковской ячейке.

В Германии не так?

Если совсем грубо, то в Германии банки отвечают за безопасность авторизации. То есть они выбирают возможные варианты авторизации и они же отвечают за безопасность. Нужно только чтобы было минимум два фактора разного типа. Если банк предлагает только биометрию и привязку к девайсу и считает что этого достаточно, то это его риск.

И насколько я знаю Германия не единственная страна в ЕС с таким подходом.

Токен во много раз меньше смартфона. Токен на порядок дешевле смартфона.

Не принципиально в контексте безопасности. Кроме того смартфон(ну или тэблет) и так есть практически у каждого, а аппаратный токен надо дополнительно покупать и таскать/хранить.

Сегодня смартфон, почти полностью бесполезное устройство для меня, я планирую от него отказаться.

Не принципиально в контексте безопасности. И пожалуй не релевантно для большинства людей.

Токенов можно привязать несколько, один из привязанных токенов можно хранить в банковской ячейке.

Каким образом это делает такой подход безопаснее?

Кроме того смартфонов тоже можно использовать несколько. Или даже просто комбинировать их с токенами.

Не принципиально в контексте безопасности. Кроме того смартфон(ну или тэблет) и так есть практически у каждого, а аппаратный токен надо дополнительно покупать и таскать/хранить.

Ну сколько можно.... Аппаратный токен от банка сейчас прктически у всех, у кого есть счет в банке. Тем более, в контексте платежных карточных систем. Та самая карта с чипом - он и есть. Просто по каким-то таинственным причинам им для авторизации в банковских приложениях и/или при онлайн-оплате не хотят пользоваться.

Есть вопрос ридера - но он копеечный, если NFC не хотеть. А если хотеть - то тоже не так чтобы дорогой по себестоимости. Но если есть смарт с этим самым NFC - то не вижу причин, почему он ридером работать не может.

Если честно, то никогда не задумывался почему банки никогда не используют свои карты как токен для авторизации.

Единственное что мне приходит в голову что они, как бы смешно это не звучало, не достаточно безопасны. Ну то есть там же обычно всего лишь пин из четырёх цифр.

Плюс авторизация нужна в том числе и для того чтобы менять лимит на этих самых картах. И возможно класть все яйца в одну корзину не самая лучшая идея.

Единственное что мне приходит в голову что они, как бы смешно это не звучало, не достаточно безопасны. Ну то есть там же обычно всего лишь пин из четырёх цифр.

Но карта позволяет сделать со счетом почти что угодно, если вставить карту в банкомат. Ну или позволяла - сейчас интерфейсы начали упрощаться, отсылая в приложение. Так что не очень убедительно.

То есть я сейчас не буду говорить за все страны и все банки. Но те карты, которые имел в своей жизни я, позволяли только снимать деньги и платить.

И при этом всегда имели лимиты. То есть там максимум за раз, за неделю и за месяц. Или что-то в этом роде.

И насколько я знаю как минимум в Германии это скорее норма чем исключение.

Аппаратный токен от банка сейчас прктически у всех, у кого есть счет в банке

Чего? Это в какой стране?

Чего? Это в какой стране?

В тех странах, где чипованную карточку при заключении договора с банком выдают. Потому что эта карточка - токен и есть. Только не USB, а в виде, собственно, карточки. Протокол, конечно, свой. Но (a) никто не мешает апплет с нужным протоколом в карточки добавить и (b) никто не мешает научить банковские приложения нужному протоколу.

Кроме того смартфон(ну или тэблет) и так есть практически у каждого, а аппаратный токен надо дополнительно покупать и таскать/хранить.

Банковскую карту тоже нужно выпускать, таскать и хранить. Проблема надумана, токен в несколько раз меньше карты.

Не принципиально в контексте безопасности.

Принципиально. Вы изобретаете какие-то костыли и пытаетесь заставить меня пользоваться ими. Когда существует уже готовое отличное решение, которое работает на большом количестве ресурсов.

Каким образом это делает такой подход безопаснее?

Таким, что при утере одного аппаратного токена, у вас есть бэкап в безопасном месте и доступ к ресурсу вы не теряете. При этом, в самой утере токена тоже опасности большой нет, т.к. это второй фактор.

Кроме того смартфонов тоже можно использовать несколько.

Мне надо купить 3 смартфона за $1500 вместо трех токенов за $60? Зачем, чтобы что? Чтобы изобрести новое решение взамен существующего и нормально работающего?

Вы изобретаете какие-то костыли и пытаетесь заставить меня пользоваться ими.

Стоп-стоп-стоп. Мне показалось что вы считаете использование смартфона в качестве аппаратного токена не особо безопасным вариантом. Ну или использование отпечатков пальцев на смартфоне в качестве фактора. Поэтому я и хотел узнать почему.

Хотите использовать отдельный аппаратный токен, так это ваше личное дело. Я вас отговаривать не собираюсь. На мой взгляд это чистая вкусовщина.

Таким, что при утере одного аппаратного токена, у вас есть бэкап в безопасном месте и доступ к ресурсу вы не теряете. При этом, в самой утере токена тоже опасности большой нет, т.к. это второй фактор.

Так и в случае со смартфонами это абсолютно так же. Вообще никакой разницы.

Более того если мне надо идти в банк чтобы взять запасной токен из ячейки, то я точно так же могу пойти в банк и активировать новый смартфон.

Мне надо купить 3 смартфона за $1500 вместо трех токенов за $60?

Зачем сразу покупать? Банально есть смартфон у меня, есть смартфон у жены и есть домашний тэблет. Все три я могу использовать как аппаратные токены для всех своих банков или даже отдельных счетов.

А вот если я захочу иметь три отдельных аппаратных токена для каждого, то мне придётся покупать гораздо больше трёх дополнительных токенов

Стоп-стоп-стоп. Мне показалось что вы считаете использование смартфона в качестве аппаратного токена не особо безопасным вариантом. Ну или использование отпечатков пальцев на смартфоне в качестве фактора. Поэтому я и хотел узнать почему.

Неудобным и небезопасным. Потому что человеку в подворотне злоумышленник даёт по голове, после чего прикладывает его палец, разблокирует телефон, после чего входит в банковское приложение, сбросив пароль кодом из смс, которые приходят на этот же разблокированный телефон. Вот вся сегодняшняя безопасность.

Более того если мне надо идти в банк чтобы взять запасной токен из ячейки, то я точно так же могу пойти в банк и активировать новый смартфон.

У меня банки в нескольких странах, а живу я в одной. Через океан сходить немного накладно.

Банально есть смартфон у меня, есть смартфон у жены

У соседа ещё телефон есть, чего уж там...

после чего входит в банковское приложение, сбросив пароль кодом из смс, которые приходят на этот же разблокированный телефон.

А вот это уже вы сами придумали. Код по смс я уже лет пять минимум в банковских приложениях не встречал. А то и дольше.

Вот вся сегодняшняя безопасность.

Ну ведь полная ерунда же. То есть во первых куча банков всё ещё требуют все три фактора. Или как минимум дают возможность настроить больше двух факторов. То есть и пароль тоже.

А во вторых ну допустим даже какой-то банк требует только отпечаток. В чём проблема если он готов нести риски и возмещать ущерб в случае проблем?

У меня банки в нескольких странах, а живу я в одной. Через океан сходить немного накладно

И что произойдёт если ваши аппаратные токен вдруг перестанут работать? Ну то есть как вы собираетесь в такой ситуации новые получать?

Ну и как бы да, если речь идёт о каком-то иностранном банке, то там могут быть нужны какие-то не особо стандартные подходы. Но опять же для большинства это не особо релевантно.

У соседа ещё телефон есть, чего уж там...

Ну если вы так доверяете соседу, то почему бы и нет.

А вот это уже вы сами придумали. Код по смс я уже лет пять минимум в банковских приложениях не встречал. А то и дольше.

Я ничего не придумал, я вам рассказываю, как работает большинство банков в РФ.

Ну ведь полная ерунда же. То есть во первых куча банков всё ещё требуют все три фактора. Или как минимум дают возможность настроить больше двух факторов. То есть и пароль тоже.

Назовите банк в РФ в котором есть хотя бы 2 фактора и можно запретить сбрасывать пароль по коду из СМС.

В чём проблема если он готов нести риски и возмещать ущерб в случае проблем?

Проблема в том, что он не готов возмещать, а я не готов на весь этот геморрой, даже если он и готов. Предотвратить лучше, чем потом героически разгребать последствия.

И что произойдёт если ваши аппаратные токен вдруг перестанут работать?

Все 3? Не знаю, ядерная война?

Ну если вы так доверяете соседу, то почему бы и нет.

Смысл физического второго фактора в том, что им владеете вы, а не ваша жена или сосед. Например, вы можете доверять кому угодно, но на вашей банковской карте написано, что вам запрещается её передавать кому бы то ни было.

Я напишу в последний раз и на этом откланяюсь, мне надоело. Есть система двухфакторной аутентификации, есть fido2 аппаратные ключи. Это всё открытые стандарты, которые прекрасно работают во всяких гуглах, майкрософтах, пейпалах, фейсбуках и т.д. Провереный временем отличный механизм. Но банки, почему-то, категорически отказываются от его использования, предпочитая городить огороды из костылей. Почему? Я не знаю. Потому, что риски несёт клиент, скорее всего.

Но банки, почему-то, категорически отказываются от его использования, предпочитая городить огороды из костылей.

Справедливости ради, гугломикрософты тоже очень долго отказывались широко поддерживать аппаратные (и стандартные) токены и протоколы. А только в Enterprise сегменте за дополнительные деньги соглашались. fido2 ключики - далеко не первое поколение протоколов. Просто, наконец-то, текущее наконец-то решили прорекламировать и внедрить вообще среди всех.

Как я уже где-то писал - во всем виноват Микрософт. Если бы они в свое время потребовали для Microsoft Compatible на клавиатуре того, чтобы клавиатура имела Smart Card ридер - мы могли бы жить совсем в другом мире с точки зрения авторизации и онлайн платежей.

Конечно. Потому что есть критический недостаток (с) Даже сейчас некоторые пытаются сделать свой самобытный TOTP аутентификатор. А всякие гуглоаутентификаторы не дают бэкапить/экспортировать секреты, чтобы ты не дай бог не воспользовался другим приложением.

Конечно. Потому что есть критический недостаток (с)

PC/SC и потом CCID для USB токенов - Микрософт вполне лапки приложила. Если бы она захотела, мы бы все уже пользовались. Но не захотела.

всякие гуглоаутентификаторы не дают бэкапить/экспортировать секреты

Справедливости ради, там уже довольно давно можно сделать экспорт/импорт.

Чего делается, пару лет назад нельзя было.

Я ничего не придумал, я вам рассказываю, как работает большинство банков в РФ.

И какое это имеет отношение к Mastercard?

Проблема в том, что он не готов возмещать, а я не готов на весь этот геморрой, даже если он и готов. Предотвратить лучше, чем потом героически разгребать последствия.

Я готов спорить на что угодно что у Mastercard биометрия будет не единственным фактором.

Смысл физического второго фактора в том, что им владеете вы, а не ваша жена или сосед.

Это если вы не доверяете жене или соседу. Это я даже молчу про то что у кучи супругов счета общие.

Провереный временем отличный механизм

Раньше в Германии был отличный проверенный временем механизм, который заключался в сертификатах на сидишках. Надо было на нём остаться?

И какое это имеет отношение к Mastercard?

Они работают в куче стран и до недавнего времени работали в РФ. Какое отношение к мастеркард имеет Германия, которую вы тут постоянно в пример приводите?

Это если вы не доверяете жене или соседу. Это я даже молчу про то что у кучи супругов счета общие.

Прочитайте уже что написано на вашей банковской карте.

Раньше в Германии был отличный проверенный временем механизм, который заключался в сертификатах на сидишках. Надо было на нём остаться?

Нет, надо отказаться от устаревшего круглого колеса в пользу модного квадратно. Изучите вопрос, я говорю про механизмы, которые сегодня используются в индустрии повсеместно.

Они работают в куче стран и до недавнего времени работали в РФ.

Вот именно. До недавнего времени.

Какое отношение к мастеркард имеет Германия, которую вы тут постоянно в пример приводите?

Вы знаете страны в которых Mastercard не предлагает zero liability? Или в которых правила сильно отличаются от американских?

Прочитайте уже что написано на вашей банковской карте.

Специально взял и прочитал. Название банка. Номер карты. Мои имя и фамилия. Срок до которого действует карта. И "если вы нашли эту карту, то пожалуйста отдайте её бла-бла-бла".

Что из этого вы имели в виду и почему? И какое это имеет отношение к онлайн-банкингу?

Изучите вопрос, я говорю про механизмы, которые сегодня используются в индустрии повсеместно.

Вы это сейчас про использование смартфона в качестве аппаратного токена и биометрию? :)

И ещё раз: я ничего не имею против отдельных аппаратных токенов. И вполне себе есть ситуации когда их использование более удобно.

Но точно так же для кучи людей в куче разных ситуаций более удобно использовать смартфоны.

Перечитайте моё первое сообщение в этом треде. Оно не про мастеркард, оно про аутентификацию в банковских сервисах. Я его прицитировал ниже, попробуйте там найти слово мастеркард. Прекращайте натягивать сову на глобус. Конкретно мастеркард я не обсуждаю и не обсуждал, мне настолько наплевать на карты с их копеечными (по сравнению со сбережениями) лимитами, что я даже говорить о них не хочу и не говорил о них изначально. Я всю дорогу пишу про аутентификацию в банковских сервисах вообще. И если у вас zero liability работает, как в США, то выше вы несколько раз мне наврали. Никакой банк вам не вернёт ваши деньги, если мошенник залогинится по биометрии в банковское приложение и переведёт ваши несколько миллионов евро сбережений на деревню дедушке. Zero liability распространяется только на платежи по кредитным картам. Даже если вы банальную дебетовку засветите и ей расплатятся, банк вам денег не вернёт, идите в полицию и ищите вора. А что касается России, так её я как раз привожу в пример, чтобы показать, что бывает, когда всю безопасность завязывают на один фактор. Если у вас в Германии такой дичи нет, то я решительно не понимаю, зачем вы вообще про Германию пишите, в контексте обсуждаемого вопроса. Чтобы что?

А что касается куч людей, так куче людей удобно в авто не пристёгиваться. Для этого и существуют регуляторы, чтобы иногда жертвовать мнимым кажущимся удобством в пользу безопасности.

Вот копия сообщения, чтобы вы не искали:

Нет, я обычно открываю интернет-банк в браузере и никаких приложений никуда не ставлю. И отпечаток пальца у меня в компьютере прикладывать некуда. Зато у меня в usb порт воткнут аппаратный токен, который используется в качестве второго фактора, работает под любой ОС и даже с телефонами по nfc и используется огромным количеством сервисов, включая финансовые типа paypal. Но именно этот отличный способ аутентификации для 2FA, почему-то, с параноидальным упорством игнорируется банками. Интересно, почему...

Я всю дорогу пишу про аутентификацию в банковских сервисах вообще.

Вообще где? Она же везде работает очень по разному. Так что вы хотите конкретно обсуждать? Как оно работает в России? В Германии? Где-то ещё? Среднюю температуру по больнице?

И если у вас zero liability работает, как в США, то выше вы несколько раз мне наврали.

Я писал конкретно про Mastercard.

Банки и онлайн-банкинг это отдельный вопрос. Там не совсем zero liability: https://www.stader.legal/missbrauch-im-onlinebanking.html

Если коротко, то действует своеобразная презумпция невинности в отношении пользователей. И такие законы ввели именно потому что изначально банки не особо заморачивались на тему безопасности и все риски сваливали на пользователей в договорах.

А что касается куч людей, так куче людей удобно в авто не пристёгиваться

И если кто-то готов взять на себя все риски и имеет возможность возмещать ущерб, то в чём проблема? Почему он не может это сделать под свою ответственность?

Вот копия сообщения, чтобы вы не искали:

И я вам уже на это ответил что этот вариант игнорируется далеко не всеми банками.

С другой стороны куче людей это не особо удобно и поэтому эти люди уходят в банки, которые предлагают более удобные для них альтернативы.

Вообще где?

Вообще везде. Я клиент банков в 5 странах и ни в одной из них физикам не дают использовать аппартные fido2 токены в качетстве второго фактора. Даже TOTP нельзя. Везде только push/sms коды. Быстрый гуглеж показал, что в Германии Marchfelder Bank и Sparkasse такое умеют, вам повезло. Так вот, во всём остальном мире, кроме Германии такого нет. Ещё я слышал про один банк в США и 1 банк во Франции, но это не точно. Считайте, что "вообще везде, кроме Германии".

Вот Bank of America такое поддерживает, молодцы.

Я писал конкретно про Mastercard.

Я вас спрашивал не про мастеркард: "Если ваши деньги украли с вашего счета, то это ваши риски и проблемы, идите в полицию. В Германии не так?"

Если коротко, то действует своеобразная презумпция невинности в отношении пользователей.

Прямой вопрос. Преступник даёт вам по голове, получает доступ к вашему аккаунту и переводит ваши 10 миллионов евро на чужой счет. Немецкий банк вам их вернет, когда вы всё объясните? Отваетьте просто да или нет.

И если кто-то готов взять на себя все риски и имеет возможность возмещать ущерб, то в чём проблема?

Я могу а Германии ездить бухим и непристёгнутым, объяснив полицейскому, что беру риски на себя?

Преступник дайт вам по голове, получает доступ к вашему аккаунту и переводит ваши 10 миллионов евро на чужой счет. Немецкий банк вам их вернет, когда вы всё объясните? Отваетьте просто да или нет.

Нет на этот вопрос простого ответа. Потому что если вы скажем свой пароль на бумажке написали и в кошелёк положили, то виноваты будете вы.

А если он ваш палец использует для авторизации по биометрии, то это будет проблема банка.

Я могу а Германии ездить бухим и непристёгнутым, объяснив полицейскому, что беру риски на себя?

Вы cможете в случае чего полностью возместить ущерб? В том числе восстановить здоровье пострадавшим и даже оживить погибших?

В случае с онлайн-банкингом речь идёт исключительно о возмещении финансового ущерба. Возмещение финансового ущерба в принципе для банка не проблема. Поэтому банкам дают возможность рисковать в определённых рамках.

А если он ваш палец использует для авторизации по биометрии, то это будет проблема банка.

Деньги вам банк вернёт или нет?

Вы cможете в случае чего полностью возместить ущерб?

Финансовый смогу.

В том числе восстановить здоровье пострадавшим и даже оживить погибших?

А моё здоровье банк сможет восстановить, если у меня все деньги украдут? У меня полюбому подскочит давление и т.д. Может и инсульт звездануть.

Деньги вам банк вернёт или нет?

Вернёт: "Ausgangspunkt für die verschuldensunabhängige Haftung der Bank ist eine unautorisierte Verfügung. Der Überweisungsauftrag oder die Online Zahlung darf nicht von dem Kontoinhaber genehmigt worden sein."

Финансовый смогу.

А остальной?

А моё здоровье банк сможет восстановить, если у меня все деньги украдут? У меня полюбому подскочит давление и т.д. Может и инсульт звездануть.

Передёргивать то не надо. За ваше здоровье банк в данном случае не отвечает.

Точно так же как вы не будете отвечать за здоровье людей, которые смотрели на вашу аварию и переволновались из-за этого.

Я немецкого не знаю, но пусть будет так. Значит у вас там коммунизм, в других местах такого нет.

Передёргивать то не надо. За ваше здоровье банк в данном случае не отвечает.

А я не передергиваю. Я знаю, что в подобной ситуации буду испытывать сильнейший стресс. Меня абсолютно не устраивает подход банка: "я забью на безопасность и в случае чего верну деньги". Я не хочу испытывать этот стресс. Мне от банка нужна уверенность, что мои деньги в безопасности. С российской банковской системой, например, у меня такой уверенности нет с её поголовной однофакторно аутентификацией по смс в условиях, когда симку кто угодно перевыпустить может. Там еще и zero liability отсутствует как класс - банки забили на безопасность, риски несут клиенты и какие-то странные люди постоянно рассказывают про продвинутый российский банкинг...

Я немецкого не знаю, но пусть будет так.

Как будто сейчас проблема что-то перевести...

Значит у вас там коммунизм, в других местах такого нет.

Во первых причём здесь коммунизм? Просто банки сначала перегнули палку в одну сторону, а потом их прижали.

Я знаю, что в подобной ситуации буду испытывать сильнейший стресс.

Это сколько угодно. Вот только банк то не виноват что вас кто-то решит ограбить.

Меня абсолютно не устраивает подход банка: "я забью на безопасность и в случае чего верну деньги

Эээ, что? Вас вообще никто не заставляет таскать с собой смартфон с возможностью онлайн-банкинга. Банк то тут причём?

Как будто сейчас проблема что-то перевести...

Ну вы сами переведите этот вырваный из контекста кусок. Этот перевод как угодно трактовать можно и в нём нет ни слова про то, что банк вернёт деньги. Вы постоянно то про мастеркард, то про презумпцию невиновности пишите, я прямого ответа на вопрос я так и не увидел.

Во первых причём здесь коммунизм? Просто банки сначала перегнули палку в одну сторону, а потом их прижали.

Это присказка такая. Означает "хорошо живёте". Как я вам уже несколько раз сказал, в других странах ничего подобного даже близко нет.

Вот только банк то не виноват что вас кто-то решит ограбить.

Банк, забивающий на безопасность, виноват в том, что забил на безопасность. Даже если он вернёт деньги, это не оправдание.

Вас вообще никто не заставляет таскать с собой смартфон с возможностью онлайн-банкинга. Банк то тут причём?

Т.е. это не вы выше рассказывали, что доступ должен быть через смартфон? Я, пожалуй, закончу. Сюр какой-то.

Ну вы сами переведите этот вырваный из контекста кусок.

Вы можете пройти по ссылке и перевести всю статью. А если коротко, то если перевод не авторизирован пользователем, то это означает ответственность банка. Опять же при условии что не было грубой халатности или умысла.

Банк, забивающий на безопасность, виноват в том, что забил на безопасность.

Ну так он за это и виноват. Но в своей зоне ответственности.

Будет ли банк виноват если к вам кто-то придёт с паяльником и начнёт пароли выпытывать или там заставлять вас деньги переводить?

Т.е. это не вы выше рассказывали, что доступ должен быть через смартфон?

Во первых я не говорил что он должен быть. Я говорил что может.

А во вторых почему одно обязательно должно противоречить другому? На смартфоне например может быть только авторизация. Которая бесполезна сама по себе.

Сегодня смартфон, почти полностью бесполезное устройство для меня, я планирую от него отказаться. 

Поздравляю, вы входите в 0,0001% клиентов и банку проще не думать о вас и заняться остальными клиентами.

В той же Германии это не так. Тут всё ещё куча людей пользуется аппаратными токенами в том или ином виде. Например фирмы. Или те же условные пенсионеры.

И думаю в целом ряде стран ЕС похожая ситуация.

Я согласен, что аппаратные токены существуют и имеют некоторое распространение (хотя, например, в моем Люксембурге гостокен перестанет работать в этом году, всех переводят как раз на приложение). Я просто говорю о том, что мотивация «я не пользуюсь смартфоном» чрезвычайно редка. В наше время даже пенсионеры смартфонами хоть как-то да пользуются.

Поздравляю, вы решили судить весь мир по себе. Меж тем полно стран, где интернет-банки обладают не меньшей функциональностью, чем мобильные приложения и люди ими пользуются. На самом деле, я знаю только одну страну, где это не так - это РФ, тут решили сделать через зад, дав приоритет мобильным приложениям и установив однофакторную аутентификацию по коду из смс. Больше до такой лютой дичи никто вроде не додумался.

Телефон всегда со мной, а токен - такое.

Насколько я знаю, опции с токеном неплохо заходят для юриков, для физиков всем надо "быстро и удобно"

Но если б кто предложил, я б может и взял. Все таки, отдельный девайс - это неплохо

Токен всегда со мной, когда я захожу в интернет-банк, а телефона нет под рукой в этом случае почти никогда. Использование банковского приложения на том же самом устройстве, на которое приходят коды безопасности, особенно если всё разблокируется по биометрии, как тут предлагают - феерический идиотизм.

Мне категорически не нужен доступ из телефона к моему основному банку и брокеру. Не такой причины, по которой этот доступ мне туда понадобится с телефона внезапно.

для физиков всем надо "быстро и удобно"

Мне надо безопасно. И, да, аппаратный токен, это офигенно удобно и очень быстро, гораздо быстрее и удобнее всяких #$%#!! кодов из смс попробуйте.

Под ОС то работает, а вот под браузер приходится ставить расширения, которые этот самый ключ пробрасывают в вебку. Производителей ключей то много и каждый ещё свои дрова норовит поставить. Что банкам прикажете делать, требовать от пользователя под ваш ключ расширение ставить? Получается банк должен провести аудит всех возможных ключей и их проприетарного софта? Сомнительно.

Никаких расширений ставить не надо, fido2 ключи работают из коробки, это открытый стандарт. Совершенно не важно, кто произвёл ваш ключ, также как совершенно не важно какое приложение для TOTP аутентификации вы используете.

То, что есть какие-то открытые стандарты не говорит о том, что все их будут использовать. К примеру, российские брокеры используют проприетарный софт от российских же производителей и изволь ставить их софт, а там и дрова, и свои расширения.

В этом и есть суть проблемы. Куча народа изобретает свой велосипед, потому что у открытых стандартов есть критический недостаток (с) Когда так делает джун, ему дают по рукам, когда так делает брокер или банк, то типа норм (нет).

Производителей ключей то много и каждый ещё свои дрова норовит поставить.

Как я уже написал, fido2 ключи работают из коробки во всех растпространённых ОС, как десктопных, так и мобильных, ничего ставить не нужно, в отличие от проприетарщины, надёжность которой вызывает большие сомнения, вдобавок ко всему. Точно также, как TOTP ключи можно генерировать абсолютно любым ПО, даже своим самописным скриптом на питоне. Потому что стандарт.

обычно вы ставите приложение на конкретный девайс

Обычно я никуда не ставлю приложение, потому что некуда его ставить.

У вас нет смартфона, тэблета или компьютера? А как вы тогда на хабр пишите?

Кстати, а собственно карта от Mastercard у вас есть?

Приложение банка нельзя поставить на компьютер.

Я думаю ответом вам, будет скорее всего пожатие плечами, типа ну как хотитете. И последующая блокировка и аннулирование вашей карты. именно карты, счет и деньги останутся вашими. Поосто вы лишитесь удобного и быстрого доступа к ним.

Речь идет про онлайн-покупики. И если сходить по ссылке, то там вообще

Mastercard Inc. is expanding its efforts to eliminate the use of credit card numbers when customers make purchases online in a bid to fight fraud.

А в русскоязычной статье эту часть довольно успешно замяли. Т.е. в онлайн-покупках не будет вводиться номер карты. А будут использоваться, судя по всему, стоящий в телефоне кошелек или банковское приложение с ключами (банально PassKey), которые уже будут закрыты биометрией на устройстве.

(EDIT) - после просмотра ролика по ссылке(не заметил что он там есть). Даже еще проще - будет учетка где-то в недрах сайта Mastercard, куда и будет происходить логин через эти PassKeys.

будет учетка где-то в недрах сайта Mastercard, куда и будет происходить логин

Иными словами, они изобрели PayPal.

А вы уверены, что у них вашей биометрии ещё нет? Например, при таком количестве камер в Москве (на каждом подъезде и каждом турникете в метро) и с учётом фотографирования на паспорт и снятия отпечатков для получения загран. паспорта и виз), а так же того, что «для повышения качества все разговоры записываются», а так же классического «сфоткайтесь с разворотом паспорта), что-то у них вполне уже может быть. Чтобы новую биометрию не собирали, надо жить в тайге, не ходить никуда, где есть камеры и не разговаривать своим голосом ни с одним сервисом по телефону, не получать загран.

ХЗ как в Европе, но в Канаде, я даже 3Dsecure, то бишь смс с кодом на странице банка ни разу не видел.

В Канаде даже СВВ код в 30-40% случаев не нужен, проходит ФИ + номер карты + срок действия.

Не, ну чтоб прям такое, мне не попадалось. Но охотно верю, что бывает.

Пришлось отказаться от мастеркард для онлайн покупок, потому что их приложение не работает на телефоне с lineage os.

а когда карты начинались обещали что будет надёжнее кошелька и нельзя потерять деньги а теперь докажи что это твой кошелёк

Мастеркард, аутентификация через биометрию устройства в приложении, аппаратные токены и прочая и прочая в комментариях.

Тем временем в России половина банков (если не подавляющее большинство) пускает в личный кабинет с полной авторизацией и доступом ко всему по одному коду из СМС.

Некоторые в качестве "второго фактора" просят ввести такие невероятно секретные данные, как номер паспорта или номер банковской карточки.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости