Комментарии 76
Почему код из SMS считается электронной подписью? Разве это безопасно и надежно?
Нет, не безопасно: https://habr.com/ru/articles/403649/
"Легким движением руки слово СМС превращается... превращается в электронную подпись"
Почему код из SMS считается электронной подписью?
По закону
Электронные подписи есть разных видов. Если рассматривать законы РФ, то их три.
Есть просто подпись, ей может служить вообще все что угодно, хоть СМС, хоть емейл, хоть код из приложения. Главное чтобы она более-менее идентифицировала того кто подписал, и сторонников договора это устраивало. Это "простая" электронная подпись. И в целом это некий аналог крестика на договоре для тех, кто не умеет писать. Скорее некое формальное подтверждение и без того ясного намерения, при этом не обладающее какими-то защитными свойствами.
Есть "усиленная" ЭП. Это уже электронная подпись в ИТшном смысле - результат работы некоего криптографического алгоритма. Но пофигу какого.
Есть "усиленная квалифицированная" - это усиленная ЭП сделанная определенным сертифицированным алгоритмом.
Дальше в законах прописано, в каких случаях какая подпись применима. Например вот отчетность в налоговую надо сдавать подписанную усиленной квалифицированной подписью, выданной в налоговой. А вот в рабочих договорах можете использовать и простую, как захотите.
Очевидно что у большинства людей нет усиленных и тем более квалифицированных ЭЦП, так как они требуют понимания основ ИТ, специальных устройств или ПО и умения с ними обращаться. Поэтому дофига чего можно подписывать простыми, в том числе вот СМС.
Очевидно что у большинства людей нет усиленных и тем более квалифицированных ЭЦП, так как они требуют понимания основ ИТ, специальных устройств или ПО и умения с ними обращаться. Поэтому дофига чего можно подписывать простыми, в том числе вот СМС.
Там просто флешка, ничего недосягаемого для нормиса нет.
Проблемы не у нормиса, проблемы у банка. Если клиенту нужно идти за флешкой, то процент спонтанно взятых кредитов упадет (которые подумают и взвесят), пусть даже пару процентов уже потеря прибыли
Просто флешка, просто программа в компе, просто плагин для браузера…
Вот знаете - я айтишник с 98 года, но каждый раз когда встречаю эти ЭЦП для ЕГАИСов и т.п. - гуглю кучу времени как и что. Потому что даже установка контуровской эцп в виде одной кнопки - вызывает проблемы которые я решаю не с первого подхода.
С другой стороны есть отличное приложение «госключ» для телефона где можно считать загранник. Все просто и понятно. Но на него никто завязывать ничего не будет - иначе не продать дохнущие флешки.
Все просто и понятно.
Кроме того, как именно оно работает. У меня, например, есть устойчивое подозрение что оно какое-то гибритно-облачное и вычисляется наполовину в твоем телефоне, а наполовину - в каком-то HSM где-то там.
А тут не важно. Либо вы доверяете государству и пользуетесь его госуслугами и т.п., либо нет - но тогда вы и не пользуетесь этим всем и не докажите ничего в суде, потому что система не работает.
Я более чем уверен что государству выгодна система однозначной идентификации при документообороте, по этому готов принимать черные ящики в виде госключа или т.п., хотя как устроено шифрование я даже примерно не представляю.
А тут не важно.
Ну как. Бардак, когда на человека ЭП через непонятно какой центр делали - пришлось чинить именно потому что оно все слишком кривое было. Поэтому знание о том, как оно работает (и содержит ли дыр размером с Луну) - важна.
Именно по этому, ИМХО, все эти институты центров выдающих ЭП надо перешурстить. Надо банить, надо выдавать штрафы, надо регулировать ПД, безусловно. Но рядовому человеку - вот например моему отцу, который хочет продать дачу отдав мне все документы и готовым только поставить подпись уже в МФЦ - не нужны все эти детали, если он не хочет их изучать.
А тут не важно. Либо вы доверяете государству и пользуетесь его госуслугами и т.п., либо нет - но тогда вы и не пользуетесь этим всем и не докажите ничего в суде, потому что система не работает.
Так смотря для каких задач.
Если речь о том, чтобы декларацию в налоговую сдать онлайн - без проблем, оформлю электронную подпись через сайт налоговой, которая кроме как в налоговой нигде не работает и риски от ее использования соответственно минимальные.
А вот для операций с недвижимостью например - никаких электронных подписей и удаленных оформлений - только мое личное присутствие.
В случае банка тоже должен быть выбор, какие операции можно делать он-лайн, а какие нет. Потому как одно дело купить что-то он-лайн с карты специально для этого заведенной и подтвердить по СМС, а другое дело, когда на тебя могут кредит повесить мошенники перевыпустив СИМку.
Я вроде не нуб, но с госключом довольно долго упражнялся, чтобы методом тыка найти то единственное совместное положение телефона и странички паспорта, когда он изволил прочитать данные. Реально пара миллиметров разницы влияет. Samsung S20, ни одну другую NFC карту ни в одном другом приложении так никогда мучить не приходилось. Но да, лучше, чем ехать в посольство заверять документы.
К сожалению, когда приложение «Госключ» в своем окне запросило логин и пароль в открытом виде от госуслуг, я его удалил как небезопасное.
Не пользовался госключом, но как вы поняли, что это не webview, выполняющий аутентификацию через oauth, а именно запрос пароля в своем окне? Мне казалось, что в случае с webview у пользователя нет никакой возможности понять (и проверить), куда он вводит свой пароль. Во всяком случае мне такой способ неизвестен. И я с вами абсолютно согласен, что это большая проблема.
Когда открывается окно приложения - тут вроде все понятно становится. Но это может зависеть от настроек безопасности телефона (во всяком случае в Android), разрешено ли приложению Госуслуги автоматом открывать ссылки на госуслуги. Если разрешено, то откроется приложение Госуслуги, и там может быть вход по биометрии. А если не разрешено, то обычное окно webview, "встроенное" в другое приложение, и там работает только пароль.
Ну если бы открылся бы мой установленный браузер, в котором я уже, например, залогинился в «Госуслугах», и через него бы я провел бы авторизацию с указанием, какие права затребовало это приложение, я бы еще понял, что происходит. Но ввод в какую-то форму критичных данных в открытом виде с правами условно "root"- ну, может, у меня "параноя", но я так делать точно не буду)
А разве оно не на сайт госуслуг перебрасывает?
Нет, не перебрасывало, насколько помню. Показывало окно приложения с формой ввода сразу.
Может и перебрасывает, но в webview не видно адресной строки. Может быть страница, которая отображается в приложении, и есть страница госуслуг. И данные, которые вы введёте в форму, тоже уйдут на сайт госуслуг. Но вы это никак проверить не можете.
и установленное программное обеспечение, которое требует денежек за использование
Этот закон про сорта подписей лично я считаю вредительским. По-первых, наплодили сущностей, смешали их в кучу, чем сильно затруднили понимание у большинства людей. Во-вторых, неотъемлемым свойством подписи является возможность её верификации третьими лицами. Подпись на бумаге можно всегда перепроверить, криптографическую тоже. В случае кода в СМС например банк говорит "клиент сказал правильный код, мамой клянус", но это вообще никак нельзя подтвердить, можно только верить на слово банку.
И в целом это некий аналог крестика на договоре для тех, кто не умеет писать
хуже! Это аналог крестика, который еще и не привязан к договору, а банк может его присоединить к какой угодно операции. Этакий "летающий крестик", это в разы хуже обычных рукописных подписей. Именно это основная уязвимость, что чаще всего "код в смс" никак не раскрывает, что он собирается подписывать. Даже банальное внедрение единых префиксов на все такие коды уже облегчило бы ситуацию (условно, начинается с "01" - вход в акк, с "02" - перевод, с "03" - кредит и т.д.).
У меня была другая идея: установить единый стандарт, позволяющий по количеству цифр в коде подтверждения определить его назначение. Чтобы самые короткие коды применялись для самых безобидных действий с бонусными баллами, где ничем, кроме них, не рискуешь. Чуть длиннее - для входа на ресурсы, где не осуществляются действия с финансами. Ещё чуть длиннее - для входа на ресурсы, где действия с финансами осуществляются, и для подтверждения таких действий. И так далее. И таблицу соответствия «столько-то цифр - такой-то вид действия» разместить везде, где только можно.
Т. е. Когда прямо в сообщении пишут, цитата: "Никому не сообщайте код. Его спрашивают ТОЛЬКО мошенники" и это не помогает, а вот разное количество цифр в коде поможет. Сомневаюсь, сильно сомневаюсь.
Аппаратный ключ. С NFC. Чтобы человек физически не мог ничего никому передать. Плюс запрет дистанционного сброса пароля, только при личной явке с паспортом. Да, не, фигня какая-то, будем слать коды по незащищённому каналу на симку, которую в любой момент третьи лица могут взять и передать бругому. Б - безопасность.
Вид четвёртый: вставить рукописную подпись в .docx и назвать это электронной подписью. На серьёзных щах причём.
Прям лично сталкивался с этим в свои эникейские годы. Самое забавное, что всех всё устраивало. Кроме меня разве что, но я слишком не выпендривался.
Так и сейчас такого полно. Это фикция. Всем всё понятно, а кроме нужного человека никто такой файл не подготовит, и обычно еще куча созвонов и уточнений. Мне как руководителю гранта например надо выписывать надбавки - ну... гипотетически некий хитрый участник гранта может так "подделать" служебную записку и выписать себе сколько посчитает нужным, но этого не может быть, потому что не может быть никогда - это равносильно выстрелу не в ногу, а в голову.
И сейчас устраивает. Применимость подхода зависит от обстоятельст. Если надо подписывать всякое барахло просто потому, что так исторически сложилось, а мы топим за электронный документооборот, по распечатать-подписать-отсканировать является ещё большим злом, чем внедрение картинки с подписью. Тем более, что такую любой школьник может внедрить. В случае шухера есть шанс выехать на том, что мопед не мой.
Простая электронная подпись. Всё законно.
При чём тут это? Из новости пропала данная фраза:
"Все сообщения с одноразовыми паролями поступали уже на номер мошенников."
СМС может считаться электронной подписью (в тезисах 63-ФЗ "Об ЭП" - простая электронная подписть, ПЭП) но только если это оговорено в договоре с Банком. Там же должно быть оговорено, что можно подписывать такой подписью. Более того, закон ограничивает подписание некоторых действий с помощью ПЭП.
Абсолютно логичное решение, иначе суд поощрял бы мошенников и заставлял жертву выплачивать кредит который она не брала, рассматривая такую ситуацию как нормальную.
Первые три инстанции просто тупые и безмозглые, уволить нахрен идиотов.
Возможно, они просто набивают казну пошлинами. Помните, как сильно пошлины недавно выросли?
очень давно меня вызвали в суд повесткой, пришел, оказалось у меня недоуплачен налог 9 руб 84 коп. Причем судья с порога стала меня обвинять в том, что я зажал 10 рублей, а государству вся канитель обходится в 1500 руб. Я легко парировал этот наезд, после чего судья стала наезжать на представителя налоговой, которые вместо того чтобы связаться со мной и попросить оплатить 10 рублей оформили всё в суд. Тем сказать было нечего, так как люди подневольные, им сказали оформлять - они оформляют. Будет ли кто-то начальника налоговой ругать? Нет. Это же уважаемый человек в городе, он не может ошибаться. И таких расходов для государства очень много на всех уровнях и во всех министерствах, они совсем не чувствуют что тратят деньги, нет у нас министерства эффективности XD
Так что пошлинами вы бюджет не наполните. Максимум компенсируете часть расходов на суд, который мог бы вообще не состояться.
Если банки всю ответственность спихнут на клиентов, то им ащще никакого смысла бороться с "мошенничеством" не будет. Хвала богам, госбанкиры это понимают и смогли продавить перенос ответственности на банки.
Если банки всю ответственность спихнут на клиентов, то вообще никакого смысла пользоваться банками не будет.
У вас на работе есть касса, чтобы зарплату вам налом выдавать?
У вас на работе есть касса, чтобы зарплату вам налом выдавать?
А нужно начать старательнее различать банки и некредитные организации (или как их там правильно). Которые деньги хранить и передавать могут, а кредиты выдавать - нет. И вместо банка деньги должны выдаваться именно через такую организацию.
Что значит "если"? Они уже давно спихнули. Целый верховный суд постребовался, чтобв в одном случае отменить эту порочную практику. А поскольку право у нас не прецедентное, всем остальным обманутым тоже придётся проходить эту процедуру.
У нас право "полупрецедентное". Суды пониже обычно опираются на постановления судов повыше.
У нас право ручное, суды опираются на то, что одобряется начальством в данный момент. У нас же судьи, типа, независимые и подчиняются только Конституции и федеральным законам. Судья может спокойно проигнорировать решение Верховного Суда по аналогичному вопросу и ничего ему за это не будет.
А Верховный Суд так и вообще жжёт регулярно. Например, не так давно он признал, что документ, выданный государством, который содержит фио, дату рождения и фотографию человека, не является удостоверением личности. И этот цирк с конями продолжается уже много лет. Формально, по ВУ вам пиво продавать не должны, то если вы сидите за рулём, то автоматически ваше ВУ начинает удостоверять вашу личность и на его основании вам могут выписать штраф. А в других странах я по ВУ на самолёте летаю и государство не позорится настолько, чтобы не признавать свои же документы.
Формально, по ВУ вам пиво продавать не должны
Для продажи пива есть закрытый перечень документов, куда в/у входит. И для продажи сигарет тоже. И это разные перечни.
Одно время было смешно - в один из перечней в/у входило, а в другой нет. И вам по нему имели право продать пиво, но не сигареты (или наоборот).
А вот перечня документов, удостоверяющих личность, у нас действительно нет - только определение, что паспорт является таким документом. Для каждого закона пишется свой перечень.
Надо ещё перечень перечней сделать. Как реестр реестров, но ответственная другая организация.
А вот перечня документов, удостоверяющих личность, у нас действительно нет
А что удостоверяет ВУ, действительное само по себе, когда податель его сидит за рулём авто? Если исходить из того, что личность сидящего за рулём оно не удостоверяет, т.к. не является удостоверением личности?
А что удостоверяет ВУ, действительное само по себе, когда податель его сидит за рулём авто?
Право подателя на управление транспортным средством.
Право подателя на управление транспортным средством.
То есть с папиными правами в папиной машине нормально ездить?
Нет, потому что это будет не ваш документ.
Логика такая же, как например с пропуском на работу. Он не удостоверяет вашу личность, а только показывает, что изображенный на документе вы имеете право пройти через проходную. Вы не имеете права ходить по чужому пропуску, но и ваш пропуск работает только на проходной, а не является универсальным документом.
Так и водительское. Но я соглашусь, что это дичь, потому что в/у, в отличие от пропуска, выдаётся всё тем же МВД, что и паспорт.
Нет, потому что это будет не ваш документ.
Чтобы определить, мой это документ или чужой, нужно как-то удостовериться, я за рулём или кто-то другой. То есть права работают как удостоверение личности.
То есть права работают как удостоверение личности.
Наше государство считает иначе.
Права позволяют установить, что гражданин перед инспектором - это Иван Иванов, у которого есть право управлять машиной. И соотнести этого Ивана Иванова из документа с гражданином Иваном Ивановым, чтобы выписать штраф.
Но соединить всю эту цепочку в единое целое наш законодатель не сумел, и соотнести гражданина перед инспектором с гражданином Иваном Ивановым не допускается. Поэтому универсальным удостоверением личности права не являются.
С другой стороны, в обратную сторону цепочка тоже не работает. Если вы попались за рулём автомобиля без водительского, но с паспортом, то инспектор может соотнести вас из паспорта с записью в базе МВД о том, что у вас есть право управлять автомобилем (и выписать штраф не за отсутствие прав вообще, а за забытие их дома). Но пользоваться паспортом плюс ссылкой на базу как водительским удостоверением вы не имеете права.
Право подателя
Т.е. податель может подать права жены и будет норм? Оно же не удостоверяет личность подателя.
Я читал этот комментарий, там котёнок с дверцей. Государство, выдавая документ, либо признаёт, что он удостоверяет личность при общении с представителем государства, либо требует предъявлять вместе с ним другой документ, который удостоверяет личность. В вашем примере, завод гораздо лучше государства, потому что он признаёт документы, которые сам же выдал.
Представитель государства никак не сможет понять, что это не мой документ, если он не удостоверяет личность. А если он как-то это понимает, значит документ вполне себе годное удостоверение личности. Всё остальное - чиновничий булшит.
Некоторую логику я здесь вижу в том, что таких выданных государством документов для удостоверения специального права довольно много, просто водительское удостоверение - самый популярный из них. А ведь есть разрешение на хранение оружия, приписное свидетельство, разного рода служебные удостоверения работников МВД, те самые пропуска сотрудников госпредприятий, выданная государственной больницей справка 003-В/У с фотографией, и наверняка что-то ещё подобное существует.
И вот для того, чтобы не было необходимости обучать всех госслужащих определению всех документов (которые к тому же слабее защищены от подделки) - сделан закрытый перечень универсальных документов плюс документы на отдельное право. То есть условный сотрудник ГИБДД умеет отличить настоящее в/у от поддельного, но не обучен делать это для РОХа, а сотрудник ЛРР - наоборот. Сотрудник МФЦ не умеет работать ни с тем, ни с другим. А с паспортом они все способны справиться.
Поэтому для универсальных задач есть универсальный документ (паспорт), а для проверки специального права - специальный (в/у, РОХа, пропуск). С заводом, кстати, будет то же самое: есть универсальный пропуск, а есть (вот у меня, например) допуск к работе с электроустановками. Вахтёру на КПП нужен строго пропуск, а все остальные документы (выданные тем же предприятием) его не устроят, даже если там есть фотография. А вот когда я полезу в электрошкаф - пропуск не подойдет, нужен именно допуск на электроустановки.
Представитель государства никак не сможет понять, что это не мой документ, если он не удостоверяет личность. А если он как-то это понимает, значит документ вполне себе годное удостоверение личности.
Может. Давайте доведем до абсурда: документ, на котором есть только фото, надпись "изображенному на фото человеку можно водить машину" и печать ГИБДД. Представитель может сличить фото с лицом и убедиться, что у стоящего перед ним человека есть право водить машину и что документ этот выдан ГИБДД, но не может соотнести человека с гражданином Ивановым И. И.
Все уведомления с одноразовыми паролями об одобрении кредита приходили уже на номер телефона мошенников.
Что то странно. На сколько помнится, у Альфы сменил номер - иди в банк, и даже если сменил СИМку - тоже придется идти в банк, иначе не будут приходить коды подтверждения.
У Альфы номер для СМС подтверждений можно поменять в приложении, не меняя "основной" номер привязки аккаунта. Как минимум пару месяцев назад делал, ещё можно было.
Как они могут завязаться на конкретную симку?
Отдельное соглашение с сотовым оператором. Если вы Банк, то тоже так сможете и даже должны сделать.
не завязаться на конкретную симку, а при получении события о перевыпуске сим-карты на какое-то время пометить канал связи как "не очень надежный" и предупредить клиента о перевыпуске. Ну а дальше клиент или бьёт тревогу если перевыпустил не он или подтверждает перевыпуск сим-карты и снова получает свои смс
Каким образом, если единственный канал связи банка с клиентом завязан на телефонный номер, а этот номер уже в руках у мошенников?
если единственный канал связи банка с клиентом завязан на телефонный номер
Вообще, не всегда. Если приложение банка стоит на другом телефоне и банки и через него сообщения шлют (а сейчас все чаще только через него) - то человек имеет шанс заметить.
ЗдОрово, правда? И отключить это нельзя, я пробовал. А банк невиноуный в итоге!
Как они могут завязаться на конкретную симку?
Вычислять разные нужные числа прямо в приложении внутри симки. Оно технически возможно, но так делают приблизительно никто.
Но лучше <вспоминая любимую мозоль> для этого непосредственно чипом банковской карты пользоваться.
Так как на самом деле привязываются (обмениваясь информацией о идентификаторах этих чипов)- это какой-то суррогат.
15 лет назад так было, да. С тех пор многое поменялось. 10 лет назад уже точно было не так и симку и номер менял, пофиг Альфе... Пропал калабуховский дом...
Спасибо, а то долго собирался переходить на eSim, и мысли что в случае переактивации eSim придется тащиться в офис приводили в уныние.
Я где-то 7-8 лет назад менял телефон (и симку на более мелкоформатную) и пришлось в офис Альфы ехать для подтверждения симки.
А сбер и мтс банк тогда смену симки проигнорировали (ну или может просто смс не приходили пару дней, уже не помню, но к ним в офисы я точно не ездил)
Приезжал к нам помнится коллектор спрашивает:
- Здесь проживает такая такая то?
- Нет
- Ну а как же прописка в паспорте указана здесь
- Уже лет 5 как здесь не живет, в другом городе
- Смотрите мне, за неолату займа уголовка
- А как оформляли?
- Через онлайн
- А фотка владельца то хоть есть?
-...
А потом наши депутаты предлагают обязаловку по биометрии и элключам, кек
Вы сначала всех этих ушлёпков с 300% годовых пересажайте.
Как же не нормально, что дистанционное оформление кредита есть по умолчанию, и чтобы поставить запрет на такое действие, надо сделать заявление. А должно быть наоборот: сперва надо вживую, лично подтвердить возможность брать кредит дистанционно. А по умолчанию - должен быть запрет. Банки, государство сами открыли огромную дыру для мошенников.
Верховный суд РФ признал ничтожным договор на кредит, оформленный мошенниками через приложение банка