А что с приватностью в QR-платежах через СБП? Каждый магазин будет знать мой номер телефона (раз в СБП он главный ID плательщика, куда нужно возврат делать)? Это же не просто "номер виртуальной карты" - номер телефона по-разному можно использовать..
Вроде бы первый стандарт, который говорит об этом — NIST SP 800-63B D IGITAL I DENTITY G UIDELINES: A UTHENTICATION & L IFECYCLE M ANAGEMENT (https://doi.org/10.6028/NIST.SP.800-63b). Возможно, сойдет как аргумент для руководителя:
«Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
However, verifiers SHALL force a change if there is evidence of compromise of the
authenticator.»
Достигается это за счет отказа от парадигмы черных списков и переход к правилу “разрешено только то, что известно”.
Вот с этого и нужно начинать — надежнее и дешевле вышеописанных свистоплясок.
Рецепт по-дешевле для большинства контор: латаем дыры в ОС, включаем SRP/noexec, настраиваем права как положено, параноим в отношении источника софта, антивирусы используем исключительно для защиты от регуляторов.
А что с приватностью в QR-платежах через СБП? Каждый магазин будет знать мой номер телефона (раз в СБП он главный ID плательщика, куда нужно возврат делать)? Это же не просто "номер виртуальной карты" - номер телефона по-разному можно использовать..
Нужна для него лицензия ФСБ?)
«Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
However, verifiers SHALL force a change if there is evidence of compromise of the
authenticator.»
Вот с этого и нужно начинать — надежнее и дешевле вышеописанных свистоплясок.
Рецепт по-дешевле для большинства контор: латаем дыры в ОС, включаем SRP/noexec, настраиваем права как положено, параноим в отношении источника софта, антивирусы используем исключительно для защиты от регуляторов.