Альфа в прошлом году упоиналась в какой-то новости в связи с тем, что обнаружила смену сим-карты через полгода после смены. Непонятно, как у них там вообще всё работает, если возможность проверки у них есть, а они ею пользуются настолько редко...
Это не кривая аналогия, а полностью прямая. "Продвинутый пользователь" может хотеть чего угодно, но у любой его хотелки есть цена, трудозатраты и необходимая поддержка. А таких будут единицы даже не из тысячи, а из десятков, если не сотен тысяч.
мне не наплевать на мои деньги
За деньги пользователя возможен любой каприз. Например, можно создать свой собственный банк и показать всем, как можно успешно монетизировать свои компетенции в области защиты данных с использованием аппаратных решений для мелкорозничной клиентуры. А пока мы имеем то, что имеем: редкие риски, создаваемые смс (реально редкие, подчеркну!) не идут ни в какое сравнение с расходами на поддержку множества сложных вариаций OTP, где надо разработку и тестирование, регулярный аудит, поддержку, обучение специалистов всех линий, покупку и логистику устройств и ещё много чего. И это в условиях, когда этим интересуется реально незначительная часть клиентов.
Назовите мне уже скорее эти некоторые российские банки в которых сегодня я могу сделать следующее:
А почему я должен отвечать за какие-то другие банки? Я на этом сайте лишь высказываю своё мнение на основе своих знаний и опыта (в том числе опыта работы в сфере, приближенной к банковской). Что могут банки надо спрашивать у этих банков, я не буду за ними бегать и выяснять.
Точно знаю на примере одного знакомого, что у Сбербанка вполне можно отключить услугу "сбербанк-онлайн" вообще и даже залогиниться в него будет невозможно (а для починки пришлось ногами в отделение идти), возможно там есть и другие варианты опций, типа лимитов на суммы, например.
Не надо по себе судить обо всех других людях. У большинства пароль в одноклассниках такой же, как в сбербанк-онлайне. И немалая часть этого большинства смело много раз вводила этот пароль на страницах сервисов типа "узнать, кто заходил на мою страницу". Шансов, что случится такое, в тысячи и тысячи раз больше, чем что у очень продвинутого пользователя перехватят смс.
Вот как раз против перевыпуска симок у многих банков есть защита: после перевыпуска банк блокирует отправку смс на номер. До кучи, некоторые операторы сами блокируют отправку смс на номер 24 часа после перевыпуска симки или MNP. На всякий случай.
Да, дикие неудобства, когда тебя на улице можно ограбить, поэтому предлагаю каждому человеку нанять себе телохранителя 24/7. Но так ведь не делают?
Железное устройство для подобной задачи - это не продукт для массового пользования. Там много проблем будет. И цена, и проблемы с установкой драйверов, и сложности с подключением к мобильным устройствам (далеко не каждый девайс имеет OTG хост, не говоря уже о возможных сложностях подключения и настройки при его наличии). Потом, всё это дело надо саппортить миллионам хомячков. И эти хомячки будут страшно недовольны возникающим неудобствам для их комфорта.
При этом некоторые банки такое предлагали и даже отдельные вот предлагают. Но это спросом не особо пользуется. Потому что риск потери денег не так велик, как раздражают сложности.
Проблема наступает, когда хакер такой доступ имеет
Если хакер имеет доступ к смс, то да, проблема наступает. Но при этом она наступает иногда (когда случаются утечки, как эта, например). А вот при полном отсутствии OTP вообще хотя бы по смс проблема не только наступает, а присутствует перманентно. Достаточно узнать или просто угадать пароль пользователя. Я об этом и говорю. Риски использования смс в качестве канала доставки OTP и риски вообще неиспользования никаких OTP несравнимы.
Это не только расходы для банка (а точнее даже для пользователя банка, ведь расходы эти переложат на пользователя), но и дикие неудобства для пользователя. Поэтому все эти альтернативные способы были так мало распространены даже там, где они были доступны как опция.
Нет, мы считаем, что существуют другие риски. Например, хакер как-то узнал пароль пользователя от Авито и попробовал с ним же залогиниться в Сбербанк-Онлайн. Если этот вход не проверяется смс-кой, то ой. Вполне реальный и очень серьёзный риск.
А мне тут рассказывают, что "не лучше, чем ничего". Вот совсем даже не так, потому что намного лучше, чем ничего.
Ну, скажем так, из Казахстана и Таджикистана в Россию реально могли приехать за лучшей жизнью. Из Европы в Россию за лучшей жизнью приедет максимум статистическая погрешность.
Если не получено от PNS (Push Notification Service от яблока/гугла/хуавея) информации об успешной доставки пуша в пределах таймаута - отправляется смс.
Дело вовсе не в цене, дело в ограниченном количестве. Можно купить ещё немножечко серверов через Казахстан, но через Казахстан не купить за полгода сразу столько же серверов, сколько тот купил в совокупности за предыдущие 15 лет.
Этот маразм с голосовыми кодами вызван не тем, что это "хорошо", а просто потому, что A2P смс слишком дорогие. Для массового применения это не решение.
В такой ситуации нужно получить телефон физически. Это уже отсекает огромное количество рисков (включая ковровые проверки уровня "мы тут угнали из яндекс-яды номер телефона и пароль, а вдруг в сберонлайн они подходят?").
Привязка мобильного приложения у известных мне банков делается ТОЛЬКО через SMS. Все банки я, конечно, не проверял, но не надо думать, что там совсем идиоты работают и ни о чём подобном не задумывались.
Текущая ситуация не просто лучше, чем ничего, она НАМНОГО лучше, чем ничего.
Альфа в прошлом году упоиналась в какой-то новости в связи с тем, что обнаружила смену сим-карты через полгода после смены. Непонятно, как у них там вообще всё работает, если возможность проверки у них есть, а они ею пользуются настолько редко...
Это не кривая аналогия, а полностью прямая. "Продвинутый пользователь" может хотеть чего угодно, но у любой его хотелки есть цена, трудозатраты и необходимая поддержка. А таких будут единицы даже не из тысячи, а из десятков, если не сотен тысяч.
За деньги пользователя возможен любой каприз. Например, можно создать свой собственный банк и показать всем, как можно успешно монетизировать свои компетенции в области защиты данных с использованием аппаратных решений для мелкорозничной клиентуры. А пока мы имеем то, что имеем: редкие риски, создаваемые смс (реально редкие, подчеркну!) не идут ни в какое сравнение с расходами на поддержку множества сложных вариаций OTP, где надо разработку и тестирование, регулярный аудит, поддержку, обучение специалистов всех линий, покупку и логистику устройств и ещё много чего. И это в условиях, когда этим интересуется реально незначительная часть клиентов.
А почему я должен отвечать за какие-то другие банки? Я на этом сайте лишь высказываю своё мнение на основе своих знаний и опыта (в том числе опыта работы в сфере, приближенной к банковской). Что могут банки надо спрашивать у этих банков, я не буду за ними бегать и выяснять.
Точно знаю на примере одного знакомого, что у Сбербанка вполне можно отключить услугу "сбербанк-онлайн" вообще и даже залогиниться в него будет невозможно (а для починки пришлось ногами в отделение идти), возможно там есть и другие варианты опций, типа лимитов на суммы, например.
Не надо по себе судить обо всех других людях. У большинства пароль в одноклассниках такой же, как в сбербанк-онлайне. И немалая часть этого большинства смело много раз вводила этот пароль на страницах сервисов типа "узнать, кто заходил на мою страницу". Шансов, что случится такое, в тысячи и тысячи раз больше, чем что у очень продвинутого пользователя перехватят смс.
Вот как раз против перевыпуска симок у многих банков есть защита: после перевыпуска банк блокирует отправку смс на номер. До кучи, некоторые операторы сами блокируют отправку смс на номер 24 часа после перевыпуска симки или MNP. На всякий случай.
Да, дикие неудобства, когда тебя на улице можно ограбить, поэтому предлагаю каждому человеку нанять себе телохранителя 24/7. Но так ведь не делают?
Железное устройство для подобной задачи - это не продукт для массового пользования. Там много проблем будет. И цена, и проблемы с установкой драйверов, и сложности с подключением к мобильным устройствам (далеко не каждый девайс имеет OTG хост, не говоря уже о возможных сложностях подключения и настройки при его наличии). Потом, всё это дело надо саппортить миллионам хомячков. И эти хомячки будут страшно недовольны возникающим неудобствам для их комфорта.
При этом некоторые банки такое предлагали и даже отдельные вот предлагают. Но это спросом не особо пользуется. Потому что риск потери денег не так велик, как раздражают сложности.
Если хакер имеет доступ к смс, то да, проблема наступает. Но при этом она наступает иногда (когда случаются утечки, как эта, например). А вот при полном отсутствии OTP вообще хотя бы по смс проблема не только наступает, а присутствует перманентно. Достаточно узнать или просто угадать пароль пользователя. Я об этом и говорю. Риски использования смс в качестве канала доставки OTP и риски вообще неиспользования никаких OTP несравнимы.
Это не только расходы для банка (а точнее даже для пользователя банка, ведь расходы эти переложат на пользователя), но и дикие неудобства для пользователя. Поэтому все эти альтернативные способы были так мало распространены даже там, где они были доступны как опция.
Ну так и мой не про страну, а про то, что может означать (я лишь предположил, не утверждал) упоминание некоего числа в некоем комментарии.
Нет, мы считаем, что существуют другие риски. Например, хакер как-то узнал пароль пользователя от Авито и попробовал с ним же залогиниться в Сбербанк-Онлайн. Если этот вход не проверяется смс-кой, то ой. Вполне реальный и очень серьёзный риск.
А мне тут рассказывают, что "не лучше, чем ничего". Вот совсем даже не так, потому что намного лучше, чем ничего.
Думаю, это очень странный намёк на 882 год "откуда есть пошла Русская земля".
"Дракона какого цвета ты хочешь?"
Ну, скажем так, из Казахстана и Таджикистана в Россию реально могли приехать за лучшей жизнью. Из Европы в Россию за лучшей жизнью приедет максимум статистическая погрешность.
Если не получено от PNS (Push Notification Service от яблока/гугла/хуавея) информации об успешной доставки пуша в пределах таймаута - отправляется смс.
Далеко не все готовы иметь два телефона. Я уж не говорю о том, что номерная ёмкость не резиновая. DEF-номеров всего 100 миллионов.
Дело вовсе не в цене, дело в ограниченном количестве. Можно купить ещё немножечко серверов через Казахстан, но через Казахстан не купить за полгода сразу столько же серверов, сколько тот купил в совокупности за предыдущие 15 лет.
Это тоже делается через посредников путём генерации вызова с фейковым Caller-ID, у которых может случиться утечка, так что шило на мыло.
Но так можно передать только коды. А есть ещё много других видов СМС, которые в вызовы не превратишь.
Этот маразм с голосовыми кодами вызван не тем, что это "хорошо", а просто потому, что A2P смс слишком дорогие. Для массового применения это не решение.
Понятно что лучше, но это просто очень неудобно.
В такой ситуации нужно получить телефон физически. Это уже отсекает огромное количество рисков (включая ковровые проверки уровня "мы тут угнали из яндекс-яды номер телефона и пароль, а вдруг в сберонлайн они подходят?").
Не думаю, что такие будут хранить в базе mcc/mnc...
Привязка мобильного приложения у известных мне банков делается ТОЛЬКО через SMS. Все банки я, конечно, не проверял, но не надо думать, что там совсем идиоты работают и ни о чём подобном не задумывались.
Текущая ситуация не просто лучше, чем ничего, она НАМНОГО лучше, чем ничего.