Сообщество банковских клиентов
Друзья банка «Авангард»
Подписаться на идею
Аватар Сергей (viabank)
01.10.2012 22:22 #
Ждет рассмотрения

требовать переменный код при входе по кодовому слову и номеру карты

много раз встречалась критика возможности входа в ИБ Авангарда по номеру карты и кодовому слову.
бесспорно, забывшему логин/пароль клиенту должна предоставляться возможность восстановить доступ к ИБ без посещения офиса. но, с другой стороны, номер карты и кодовое слово достаточно легко узнать (коллегам и совместно проживающим лицам).
при этом у любого клиента, пользующегося ИБ, карта кодов и, опционально, номер для смс.
так почему бы не задействовать данные возможности дополнительной авторизации?
7

Комментарии 7

Mikel
#
Угу, чтобы с в месте с ИБ, еще и деньги уводили? smile:D
В топку, такие предложения! А рационализаторов, надо пороть smile:)
BillyBones
#
У клиентов и мысли не должно возникать, что при каких-либо обстоятельствах у них могут потребовать переменный код для входа в ИБ. Иначе атаки неизбежны, и пострадавшие будут.
viabank
#
уважаемые комментаторы smile:) вы прежде чем критиковать, вообще, внимательно читаете?
суть предложения - запрос одноразового кода в дополнение к номеру карты и кодовому слову.
сейчас запрашивается только кодовое слово и номер карты, которые статичны.
добавление третьего параметра, динамического, повышает безопасность системы.

с другой стороны, да - использовать код с карты таки не стоит, поскольку возможны побочные эффекты - нецелевое использование в мошеннических схемах.

а вот код смс - он строго одноразовый, в самом сообщении можно прописать, для чего он, и использовать его можно будет только для задекларированной цели - входа в ИБ. так что в максимум того, что можно будет получить в результате атаки - это то, что сейчас возможно и без неё - войти в ИБ, посмотреть список счетов и выписки. никаких платежей, переводом, замен номеров телефонов для информирования.

еще раз, уважаемые комментаторы smile:) критика должна быть конструктивной
Mikel
#
Сергей, конструктивная критика, состоит в том, что запрос кодов при входе, когда идентификация страницы затруднена, из-за отсутствия информации по счетам, и может быть выполнена только технически квалифицированным пользователем, НЕ ПОВЫШАЕТ, А ПОНИЖАЕТ безопасность системы, расширяя спектр возможных атак.
SMS же вообще, не надежный канал передачи данных и по закону подлости, любит отрубаться, когда особенно нужен smile;)
BillyBones
#
А вы заметили, что сегодня в середине дня СМС-ки о входе в ИБ приходили с 10-минутным опозданием?
gdn
#
Только за, т.к. возможность входа по номеру карты и кодовому слову, которое у многих словарное и используется не только с авангардом не очень хорошая практика. Хотелось бы дополнительную защиту в виде пароля по смс/карте/эцп хотя бы активируемое пользователем. А еще лучше вообще дать возможность отключить это.
ois1977
#
Отличная идея
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.