То есть шарогой вы назвали все банки просто потому, что у них нет тотп как в банках Гондураса?
Сбор биометрии повторюсь не прихоть банков, а Банка России. Не путайте.
Про безопасность почитайте про сложность и стоимость реализации хотя бы ГОСТ 57580, одно только это обходится в бесчисленные суммы.
И про статистику по снижению мошенничества почитайте на сайте Банка Росси за лет 10.
Я не работаю в банке, но работал в финтехе и ни один банк не желал даже за свой счет реализовать тотп в своем банке, чтобы он появился сразу в 100 банках. Банк это про прибыль в первую очередь как и в любой коммерческой компании.
У них куда больше затрат из-за Банка России, когда им каждое очередное неожиданное Указание требует интеграции с очередным сервисом за пол года, внедрение бесполезной ЕБС, оправославливание всего софта и т.д. За внедрение отвечает бизнес, если бы это приносило денег, уже давно внедрили бы.
Так я вернул к первому моему комменту. Вы, видимо, не покупали фидо2 миллионами штук, не сопровождали их, не тратили деньги фронта на инструктирование клиентов. Вам только кажется, внедрил и забыл. С тем же тотп не сопровождали их, не теряли доступ к банку когда сервак с тотп падает и т.п.
А кто должен объяснять бизнесу аспекты, связанные с безопасностью?
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Логин и пароль у меня в голове или в защищенном хранилище
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
значит пенсионер пользуется интернет-банком с компьютера
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
которые не могут кодить без смайликов и тибетского языка
Я не зря привел пример с символом доктора. Он у нас используется на сайте. То есть это не как часть кода или комментария в коде, а как то, что должны видеть конечные пользователи.
обработка SBOM, состоящего из 199 компонентов с графом зависимостей, заняла 12,54 сек. против 9,02 сек. у старого метода. Поэтому мы рекомендуем оставить эту настройку выключенной.
Не понял, почему?
По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).
Согласовано, но! Как можно было такое произнести в слух:
Первый приоритет — это создание собственной низкоорбитальной спутниковой группировки для обеспечения быстрого и дешёвого доступа в Интернет на территории всей страны в любой точке. Эта группировка должна по показателям не уступать ведущим международным проектам, таким как Starlink.
Не стоит опускаться до уровня Рогозина
Почему это приоритет номер один? Смешно, они же даже не начнут на него выделять ресурсы как на проект номер один.
условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного"
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
СТО не обязателен
То есть шарогой вы назвали все банки просто потому, что у них нет тотп как в банках Гондураса?
Сбор биометрии повторюсь не прихоть банков, а Банка России. Не путайте.
Про безопасность почитайте про сложность и стоимость реализации хотя бы ГОСТ 57580, одно только это обходится в бесчисленные суммы.
И про статистику по снижению мошенничества почитайте на сайте Банка Росси за лет 10.
Я не работаю в банке, но работал в финтехе и ни один банк не желал даже за свой счет реализовать тотп в своем банке, чтобы он появился сразу в 100 банках. Банк это про прибыль в первую очередь как и в любой коммерческой компании.
У них куда больше затрат из-за Банка России, когда им каждое очередное неожиданное Указание требует интеграции с очередным сервисом за пол года, внедрение бесполезной ЕБС, оправославливание всего софта и т.д. За внедрение отвечает бизнес, если бы это приносило денег, уже давно внедрили бы.
Так я вернул к первому моему комменту. Вы, видимо, не покупали фидо2 миллионами штук, не сопровождали их, не тратили деньги фронта на инструктирование клиентов. Вам только кажется, внедрил и забыл. С тем же тотп не сопровождали их, не теряли доступ к банку когда сервак с тотп падает и т.п.
Согласен завершаем, банку это обойдется в десятки если не сотни лямов сходу и десяток/два в год на поддержан е и развитие
Что мешать ему взять ноут с TOTP или ФКН?? ????????
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
Безопасность поймешь, когда выпишешь каждый пункт того же ГОСТа в табличку вида
Пункт | требование | как выполняется/митигируется | комментарий |
Каждая запись имеет категорию, вы можете только смотреть на malware и игнорировать к примеру political_slogans или ip_block
Добавлен в toxic-repos.
Много вы так заработаете ?
Это умение, а не отдельное мероприятие, но судя по историям, пьянки были
Пояснительная бригада?
Я не зря привел пример с символом доктора. Он у нас используется на сайте. То есть это не как часть кода или комментария в коде, а как то, что должны видеть конечные пользователи.
Не понял, почему?
По моему опыту те разработчики, что возмущаются по поводу медленных DevSecOps проверок в PR, часто еще не дождались завершения рецензии реальным коллегой (ами), не устранили выявленные ими проблемы, либо не устранили проблемы других сборок (QA и т.п.).
Согласовано, но! Как можно было такое произнести в слух:
Не стоит опускаться до уровня Рогозина
Почему это приоритет номер один? Смешно, они же даже не начнут на него выделять ресурсы как на проект номер один.
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
А в винде можно сделать запрет выставления для lnk ярлыков?
То есть в любой нормальной компании имеется запрет на получение исполняемых файлов и вы его с этим сталкиваете? Потом заявляете, что он сам виноват?