Форум

3х факторная аутентификация при смене пароля

Поиск по теме

  • 1
Зашел в Киви кошелек проверить возврат с алиэкспресс, а там плановая смена пароля и, я уже забыл, для этого необходимо, оказывается, подтвердить не только кодом из смс, но и кодом из электронной почты! (код естественно другой). И по другому никак не получится восстановить, если включена опция. Браво, Киви, вот бы банчкам поучиться у "кошелька" безопасности.

Рисунок

А у каких "больших" банков есть аналогичная настройка защиты восстановления пароля?

PS. Зато не нашел в настройках стандартного подтверждение входа в ЛК Киви по смс ) Кто подскажет есть у них подверждение смс для входа?
Изменено: Виктор Павлович - 27.10.2020 01:46
 
Такого нет, зато есть опции подтверждения абсолютно всех платежей.

Однако не стоит считать чрезмерно усложнённую процедуру смены пароля 3FA-аутентификацией. Электронные деньги используют куда менее искушённые люди и чаще тупят. Смена пароля раз в год и рядом не стояла с ежедневным использованием банковских ИБ и МБ.

А простая и сердитая 2FA давно придумана:
Цитата
генерировать коды в аутентификаторе, код восстановления доступа к которому держать в укромном месте
Изменено: Safety1st - 27.10.2020 01:56
 
Цитата
Safety1st пишет:
Однако не стоит считать чрезмерно усложнённую процедуру смены пароля 3FA-аутентификацией.

Я про то, что по крайней мере, если увели сим/ восстановили доступ сим - войти при таком раскладе в ЛК все равно не получится никак. Взломать не привязанный к телефону анонимный гугл аккаунт (который надо для начала просто знать), задача весьма нетривиальная, почти нереальная, вот я о чем. И ведь все так просто, поставил галочку и ты защищен. По крайней мере от аспектов с сим картой.
Вместо восстановленя по одной смс и карте или смс и фамилии отчеству, в том же открытии
Цитата
Safety1st пишет:
А простая и сердитая 2FA давно придумана:
Цитата

генерировать коды в аутентификаторе, код восстановления доступа к которому держать в укромном месте

Это я не знаю что такое, не успел попользоваться или такого банки не предлагают
Изменено: Виктор Павлович - 27.10.2020 02:15
 
Практика показывает, что всё просто только на взгляд кучки просвещенных с сайта Banki.ru, разве не очевидно? В банках и про аутентификаторы слышали, и про 2FA, и про HW-ключи, и про много чего ещё. Они, наоборот, только всё упрощают в угоду удобства котов с лапками smile:omg:

'Галочка' не защитит от социальной инженерии: нет от неё защиты, кроме знаний и головы на плечах.
Изменено: Safety1st - 27.10.2020 02:27
 
Про эту почту на Киви вспомнилось. 6 лет назад была уязвимость: через мобильное приложение сбрасывался пароль без подтверждения почты. Я так сначала одному человеку дал в качестве тестового задания сбросить пароль от Киви кошелька, к которому была привязана почты Gmail с настроенной 2FA на СИМ-карту другой страны. Сбросил. Я был весь в удивлении. Потом уже прочитал про уязвимость. До чего же банально.
 
Возможность 'подтверждения почты' – опциональна:
Рисунок
 
Цитата
Виктор Павлович пишет:
А у каких "больших" банков есть

«Смотрите не на события, смотрите на тренды» © Е. М. Шульман
Теперь чтобы почувствовать себя белым человеком и в полной мере пользоваться современными банковскими услугами мне нужно иметь теперь не только сотовый телефон но и электронную почту! Следующие этапы — аккаунт Госуслуг, биометрия, чип и штрих-код на лбу. Обиднее что толку от такой «безопасности» нет никакого. Гугл летом заблокировал мой аккаунт с 10-ти летней историей, парой сотен тысяч просмотров и кучей купленных приложений. Так что если вы не собираетесь использовать свой почтовый сервер со своим доменом то создавать ещё одну дыру и доверять сторонним компаниям свои чувствительные финансовые данные не самая хорошая идея.
 
Это двухфакторная аутентификация в которой второй фактор использован два раза. Безопасность это не сильно повышает, а удобство использования сильно снижает.

И таки у большинства почта настроена на том же телефоне, в котором стоит приложение киви и воткнута симка, привязанная к кошельку - и безопасность всего этого геморроя равна стойкости чертырехзначного пин-кода из даты рождения (а в случае рутованного/брякнутого тела - равна нулю).
 
Цитата
vfenty пишет:
Гугл летом заблокировал мой аккаунт с 10-ти летней историей, парой сотен тысяч просмотров и кучей купленных приложений.
По какой/каким именно причине/причинам?
Предотвращение признания сделки с недвижимостью недействительной зависит от понимания приобретателя недвижимости, насколько важно перед заключением сделки установить все максимально возможные сведения, являющиеся основанием признания её недействительной!
 
Цитата
Леонид Николаевич пишет:
По какой/каким именно причине/причинам?

Гугл свои действия не комментирует и никому из простых смертных добиться от него причин не удалось. Сервисы на бесплатной основе предлагаются как есть и всё что может пользователь это создать заявку на разблокировку. Мною дважды была подана но реакции не последовало.
 
Виктор Павлович, обычна эта же сим привязано к гугл аккаунту и получить код и на сим и взломать аккаунт через нее вообще никаких проблем не составляет
 
Dmitriiasd12, именно поэтому тот же номер телефона НЕ рекомендуют привязывать к аккаунту, тут подробнее.
 
Цитата
Dmitriiasd12 пишет:
Виктор Павлович, обычна эта же сим привязано к гугл аккаунту и получить код и на сим и взломать аккаунт через нее вообще никаких проблем не составляет X

У меня несколько гугл аккаунтов и ни один не привязан ни к какому номеру телефона вообще. Анонимные. Google, Яндекс, Mail или еще какая почта - не принципиально. Злоумышленник не знает ваш почтовый ящик. Ящик лучше иметь не привязанный ни к какому номеру никакой сим
Цитата
vfenty пишет:
Обиднее что толку от такой «безопасности» нет никакого. Гугл летом заблокировал мой аккаунт с 10-ти летней историей, парой сотен тысяч просмотров и кучей купленных приложений. Так что если вы не собираетесь использовать свой почтовый сервер со своим доменом то создавать ещё одну дыру и доверять сторонним компаниям свои чувствительные финансовые данные не самая хорошая идея X

Обычно неспроста не блокируют, у меня по 20 лет ящики и ничего. Но не суть.
Блокировка ящика не уменьшает безопасность при восстановлении пароля по дополнительному коду на почтовый ящик - если ящик вдруг заблокирован, вы просто не сможете восстановить / сменить пароль без похода в офис. А оно нам и надо. Не знаю как вам, мне да. И о каких "чувствительных финансовых данных" речь? Обезличенный четырехзначный код от банка (на телефон приходит другой код)
Цитата
uGNot пишет:
Безопасность это не сильно повышает, а удобство использования сильно снижает.

Не могу согласиться. Это повышает безопасность кардинально. Это отвязка от 100% зависимости от симки (перевыпуск, дистанционная разблокировка по пук кодам и т.п.).
Из опасностей остается только фишинг, трояны, кейлогеры, социальная инженерия. С ними одними я справиться в состоянии и контролировать. 100% зависимость от сим я контролировать не могу.
Про удобство, повторяю - восстановление пароля. Смена пароля, не вход.
Но я бы, если можно, и заходил бы только так - мне не нужно по 5 раз на дню лазить в интернет банк. А в некоторых случаях эта просто функция периодического и не слишком частого контроля.
Изменено: Виктор Павлович - 29.10.2020 23:41
 
Цитата
Виктор Павлович пишет:
Не могу согласиться. Это повышает безопасность кардинально. Это отвязка от 100% зависимости от симки (перевыпуск, дистанционная разблокировка по пук кодам и т.п.).
Из опасностей остается только фишинг, трояны, кейлогеры, социальная инженерия. С ними одними я справиться в состоянии и контролировать. 100% зависимость от сим я контролировать не могу.
Про удобство, повторяю - восстановление пароля. Смена пароля, не вход.
У вас уже должен был быть один фактор, который не зависит от сим - логин и пароль. В киви (да и во многих банках) изначально ущербная его реализация и дублирование - вынужденная мера. Кстати успехов вам в посещении офиса киви smile;)

Вообще бездумное использование номера телефона для аутентификации всего и вся давно раздражает. К тому же из-за неправильной реализации и использования первый и второй фактор уже давно слились воедино. Биометрия могла бы решить проблему, как третий фактор, но к сожалению не взлетело (хотя в нашем случае - к счастью)
 
Цитата
uGNot пишет:
бездумное использование номера телефона для аутентификации всего и вся давно раздражает

Не то слово как раздражает
Цитата
uGNot пишет:
У вас уже должен был быть один фактор, который не зависит от сим - логин и пароль

А у вас можно подумать он есть
Цитата
uGNot пишет:
(да и во многих банках) изначально ущербная его реализация и дублирование - вынужденная мера.

В каких не ущербная? Вы как будто наблюдаете извне ситуацию
Цитата
uGNot пишет:
Кстати успехов вам в посещении офиса киви

Мне на киви как таковое наплевать. Поэтому в названии темы про киви я ничего не сказал, это пример простого, дешевого (для бедненьких банчков, они же такие нищие) решения, но в то же время достойной защиты от восстановления пароля для добросовестного пользователя, контролирующего свой язык (соц инженерия) и рабочую станцию (вредоносное по), но не способногоповлиять на факторы от него не зависящие.
Я привел их реализацию как простой способ отвязки 100% зависимости от сим карты. а также отвязки от только данных из банка (номера карт, кодовые слова - которые потенциально могут быть слиты всего из одного источника - банка).
Почему не реализовать такую схему, возможность, у всех - не понятно
Изменено: Виктор Павлович - 04.11.2020 22:57
 
  • 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Продукты Банки.ру