(На примере Сбербанка)
Что надо делать?
Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.
При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель "запрет восстановления пароля через СМС код на "выкл"" после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля
(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
ИТОГО потребуется:
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время
Опция может дублироваться в СбербанкОнлайн. Оттуда же пользователь должен знать что она есть и в банкомате, и ее суть
Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1 .возможность целиком видеть Номер карты и CVV в приложении
2. снятие наличных через банкомат без карты через приложение
Что надо делать?
Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.
При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль
При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель "запрет восстановления пароля через СМС код на "выкл"" после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля
(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)
ИТОГО потребуется:
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время
Опция может дублироваться в СбербанкОнлайн. Оттуда же пользователь должен знать что она есть и в банкомате, и ее суть
Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:
1 .возможность целиком видеть Номер карты и CVV в приложении
2. снятие наличных через банкомат без карты через приложение
Изменено: - 16.01.2024 12:26
... нет белых чайничков в Москве, эмалированных © Киффлом, брат-брат! Бадонкадонк!
Этого достаточно - таскать его везде с собой тоже приводит к рискам.