FAQ по одноразовым кодам

15.10.2020 12:00 2 1 585 просмотров
Всё, что вы хотели знать про одноразовые коды, но боялись спросить smile:ок: Ликбез для неискушённых пользователей основан на многолетнем опыте работы в IT, годе работы в службе поддержки клиентов банка и информации с форума Banki.ru.



Термины:
• одноразовый код – код из нескольких случайных символов (обычно 4 цифры), который в течение короткого времени может быть использован для подтверждения конкретной операции;
• технология '3-D Secure' (3DS, от англ. three-domain secure) – проведение расходной операции по карте только при условии её подтверждения одноразовым кодом из SMS или push-уведомления (пуша).
• ТСП – торгово-сервисное предприятие;
• эквайринг (от англ. acquire) – возможность для ТСП принимать оплату за товары и услуги картами;
• безотзывность – невозможность отмены операции (технически или юридически –не суть);
• аутентификатор (от англ. authenticator) – мобильное приложение для создания кодов, не требующее подключения к Интернет;
• ЛК – личный кабинет клиента Банка, обеспечивающий доступ к счетам, картам, оформлению новых продуктов и т.д.;
• МП – мобильное приложение: способ доступа в ЛК с помощью программы Банка из магазина Apple, Google или Microsoft, преимущественно со смартфона;
• браузер – программа для посещения сайтов в Интернет: Microsoft Edge, Google Chrome, Mozilla Firefox и др.;
• ИБ – интернет-банк: способ доступа в ЛК через браузер;
• ПС – платёжная система: VISA, Mastercard, МИР и др.;
• фрод-мониторинг (от англ. anti-fraud) – система на стороне Банка, выявляющая подозрительные финансовые операции.

3DS – защита ТСП (получателя денежных средств), а не покупателя (клиента банка)! Она опциональна, то бишь ТСП решает – принимать платежи с подтверждением или нет. 3DS-операция безотзывна: нет риска отмены, если держатель карты станет утверждать, что он её не совершал и не санкционировал ('мошенники воспользовались реквизитами карты'). Однако эквайринг с 3DS стоит дороже плюс покупателям не так удобно: требуется вводить код, а у многих лапки 🐈 Потому крупные магазины часто 3DS не используют. На картах банка ВТБ 3DS по умолчанию отключена.

Коды приходят не только в рамках 3DS. Собственно, юридически они являются ключами простой электронной подписи, которая приравнена к собственноручной подписи клиента. Банки их вовсю используют, рассылают бесплатно и больше ничего знать не хотят. Однозначно нельзя сказать, как безопаснее получать коды – по SMS или push: первые могут перехватить, вторые могут поступать на устройство злоумышленников. Оптимальный вариант, который до сих пор не применяется – генерировать коды в аутентификаторе, код восстановления доступа к которому держать в укромном месте. В банковских программах коды типа 'не называть' маринкам недоступны ('скрыты' за звёздочками).

Уведомления с кодами не являются уведомлениями о движении денежных средств. Они также используются для различных нефинансовых операций: регистрация или вход в ИБ/МП, восстановление доступа, оформление нового продукта, добавление шаблона, изменение лимита. Расходные операции через ИБ/МП совсем не обязательно должны ими подтверждаться. Да и проводятся они обычно не по картам, а по счетам, к которым те привязаны, то бишь без участия ПС. Необходимость подтверждения остаётся на усмотрение Банка и его фрод-мониторинга. Потому они по определению не могут являться 100%-ной защитой ваших денежных средств. Однако можно значительно снизить риски потери до приемлемого минимума, если следовать данным рекомендациям smile:thumbsup:

Вот как-то так smile:yep:

Комментарии 2

Дмитрий Бобровский  (Safety1st)
#
Обновления:
• добавлен термин:
Цитата
ПС – платёжная система: VISA, Mastercard, МИР и др.;

• изменено:
Цитата
Расходные операции через ИБ/МП совсем не обязательно должны ими подтверждаться: как правило, они проводятся не по картам, а по счетам, к которым те привязаны.


Цитата
Расходные операции через ИБ/МП совсем не обязательно должны ими подтверждаться. Да и проводятся они обычно не по картам, а по счетам, к которым те привязаны, то бишь без участия ПС.

• изменено:
Цитата
Оптимальный вариант – генерировать коды в аутентификаторе, код восстановления доступа к которому держать в укромном месте.


Цитата
Оптимальный вариант, который до сих пор не применяется – генерировать коды в аутентификаторе, код восстановления доступа к которому держать в укромном месте.

• удалён неиспользуемый термин:
Цитата
• мерчант (от англ. merchant) – сервис, выполняющий перевод денежных средств от отправителя к получателю;
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Таблица вкладов с максимальными процентами в рублях. Май 2021
Таблица приведена по состоянию на 08.05.2021 Обсуждение - на форуме в топике "Обсуждение вкладов с максимальными процентами в рублях" Архив таблиц по
4
Скидки на первый заказ через приложение Озон
Как можно заметить, когда государство к чему-то принуждает, даже к хорошему, оно вооружается увесистым таким кнутом. А может ли быть другой путь? Взять
0
Двухфакторность
До момента привязки МП двухфакторность доступа к ЛК обеспечивается (должна...) паролем ИБ плюс смс. После привязки МП двухфакторность обеспечивается
0
Куда вложить деньги в 2021 году? 15 неочевидных ошибок инвесторов, которые приведут к потере инвестиций
На связи Серяков | Инвестиции. Чек-лист из 15 ошибок – в конце статьи. Если вы – частный инвестор и вкладываете деньги в компании малого и среднего
0
Путь долга онлайн
Выдуманная история. Мужик: - Взял как-то мужик микрокредит в онлайне и спустил все заемные средства в онлайн-казино. Коллекторы: - Проходит первый
0

Новые сообщения

Продукты Банки.ру