Форум

Кража со счета "Копилка" в ВТБ

Поиск по теме

Цитата
wad910 пишет:
чужие шарились в моём айфоне

Цитата
wad910 пишет:
получив по голове

Один я только вижу возможную связь между первым и вторым? smile8)
Рисунок ... нет белых чайничков в Москве, эмалированных © Киффлом, брат-брат!
 
Цитата
ntv83 пишет:
На скольких ресурсах зарегистрирован "средний" пользователь? 10, 20, 50 или 100?

У меня 198 записей
Цитата
ntv83 пишет:
Есть опыт использования различных менеджеров паролей, но если это бесплатный сервис, то... никто ничего не гарантирует в этом случае.

Это приложение, а не сервис. Приложение платное. Хотя и бесплатные приложения с открытым кодом многими считаются даже более надежными.
 
Цитата
ntv83 пишет:
Уже ничем Рисунок
Канал передачи (чего-то) - "из рук в руки"...
Предполагаю, что Ваш уровень знаний в данной сфере гораздо выше моего, поэтому в дальнейшем обещаю не писать "глупости" Рисунок
Для вас канал передачи - это только провода или радиоволны? То есть по вашему люди стали обмениваться информацией только последние полторы сотни лет? Или вообще только TCP/IP? Пожалуй вам действительно лучше больше не писать.

Цитата
ntv83 пишет:
До этого пока еще технологии не дошли Рисунок
До этого люди дошли еще до нашей эры, когда придумали систему пароль - отзыв. А технологии давно ушли далеко вперед, просто их стали использовать не по назначению и перестали понимать их смысл.

Напишу проще - может поймете. Проблема в том, что по факту в нынешних мобильных банковских приложениях приравнена аутентификация клиента банком и клиента мобильным приложением. То, что клиент зашел в мобильное приложение, не должно автоматом его аутентифицировать и авторизовать в банке.
 
Цитата
uGNot пишет:
Напишу проще - может поймете. Проблема в том, что по факту в нынешних мобильных банковских приложениях приравнена аутентификация клиента банком и клиента мобильным приложением. То, что клиент зашел в мобильное приложение, не должно автоматом его аутентифицировать и авторизовать в банке.

Так хороший смартфон имеет заведомо более надёжные средства аутентификации, чем удалённый банк. Банку тут нечего добавить.
 
Цитата
mmms пишет:
Элементарной мерой безопасности (которая применяется очень у многих зарубежных банков) являлась бы необходимость при первичной регистрации или установке приложения на новое устройство введения какого-то кода, полученного клиентом лично в офисе, либо (при его отсутствии, утере и т.п.) звонок клиента в банк с последующей идентификацией.
Не так уж пострадало бы удобство клиентов, так как необходимость в таких операций возникает не каждый день.

Голосовая биометрия только в самом начале внедрения, а простые ответы на вопросы голосом – заведомо менее надёжны, чем правильно настороенное приложение ДБО.

А лично в офисе – не всегда возможно. Остались вы за границей без смартфона, и что?
 
Цитата
Вкладч37 пишет:
Цитата

wad910<noindex>пишет</noindex>:
чужие шарились в моём айфоне

Цитата

wad910<noindex>пишет</noindex>:
получив по голове

Один я только вижу возможную связь между первым и вторым?

Ну это уж совсем экстремальный вариант, против терморектального криптоанализа приёмов точно нет. Я имел в виду получение по голове по естественным причинам.
 
Цитата
Степучев В. пишет:
рсахб полностью снял с себя обязанность обеспечения безопасного использования вкладчиками ИБ МБ рсхб, снял с себя всякую ответственность за эти действия.

А что из написанного у РСХБ вызывает у вас сомнения или недовольство? SMS – небезопасный канал, известное дело.
 
Цитата
wad910 пишет:
Вы путаете факторы аутентификации с каналами передачи данных, в то время как это разные вещи.
У каждого фактора должен быть свой канал передачи. Выше уже написал про уравнивание аутентификации в банке и в мобильном приложении. Когда привязка приложения заменяет пароль, а код подтверждения приходит пушем на устройство, привязанное к этому же приложению - это никак не двухфакторная аутентификация. Фактор один - обладание устройством, на котором установлено привязанное к банку приложение.

Цитата
wad910 пишет:
Сотовая связь – это тот же самый Интернет, между прочим.
А еще там везде электричество smile:)
 
Цитата
wad910 пишет:
Так хороший смартфон имеет заведомо более надёжные средства аутентификации, чем удалённый банк. Банку тут нечего добавить.
Смартфон - это не банк, какой бы он там ни был.

Грубо говоря - аутентификацию проводит третья сторона, за которую банк не несет никакой ответственности. И третья сторона не несет никакой ответственности за то, что происходит в банке после аутентификации.

И всех это устраивает. Но с точки зрения информационной безопасности - это "фиаско".
 
Цитата
wad910 пишет:
А что из написанного у РСХБ вызывает у вас сомнения или недовольство? SMS – небезопасный канал, известное дело.
В РСХБ прямо на форме ввода логина-пароля можно выбрать, что прислать - смс, пуш или QR.
Рисунок ... нет белых чайничков в Москве, эмалированных © Киффлом, брат-брат!
 
Цитата
Вкладч37 пишет:
В РСХБ прямо на форме ввода логина-пароля можно выбрать, что прислать - смс, пуш или QR.

Ну и очень правильно. А предупреждение – конкретно про SMS.
 
Цитата
uGNot пишет:
У каждого фактора должен быть свой канал передачи.

Да где ж вы независимый от Интернета канал найдёте? Это очень дорого стоит, и не для обычных людей.
 
Цитата
Вкладч37 пишет:
В РСХБ прямо на форме ввода логина-пароля можно выбрать, что прислать - смс, пуш или QR.
При входе в МБ рсхб я вводил пин и никаких смс, пуш или QR для подтверждения операций не требовалось – возможно это потому что я делал переводы только со своими счетами и картой рсхб
 
Цитата
wad910 пишет:
А что из написанного у РСХБ вызывает у вас сомнения или недовольство?
всё мною процитированное
Изменено: Степучев В. - 09.05.2021 23:33
 
Цитата
wad910 пишет:
Да где ж вы независимый от Интернета канал найдёте? Это очень дорого стоит, и не для обычных людей.
Зачем его искать? Достаточно вернуть аутентификацию на сторону банка, а не мобильного приложения.
 
Цитата
uGNot пишет:
Зачем его искать? Достаточно вернуть аутентификацию на сторону банка, а не мобильного приложения.

Руководствуясь чем банк должен будет вас аутентифицировать? Если паролем, то это более слабая защита.

Вообще по регламентам информационной безопасности только парольная защита не должна использоваться для важных данных.
Изменено: wad910 - 10.05.2021 00:30
 
Цитата
wad910 пишет:
Руководствуясь чем банк должен будет вас аутентифицировать? Если паролем, то это более слабая защита.
Хотя бы пароль + код из смс.

Сложнее всего объяснять прописные истины.

Мы тут собрались в теме, где у ТС увели деньги привязав телефон к его ДБО. Банку, чтобы аутентифицировать мошенника как клиента и позволить ему перевести деньги, хватило одного фактора - обладания мошенником привязанным устройством. Логин/пароль уже не проверялись, потому что устройство привязано, а пуш-коды для подтверждения перевода, приходили уже на это устройство (если они вообще были).

Даже если бы для перевода нужны были коды подтверждения, приходящие в смс, этой темы уже не было бы.
 
Цитата
wad910 пишет:
Вообще по регламентам информационной безопасности только парольная защита не должна использоваться для важных данных.
Вы опять передергиваете. Я нигде не писал, что должна использоваться только "парольная защита". Весь мой посыл - должна быть нормальная двухфакторная аутентификация. А то, что используется сейчас - аналог "парольной защиты", только без пароля, регистрации и смс.
 
Цитата
uGNot пишет:
Мы тут собрались в теме, где у ТС увели деньги привязав телефон к его ДБО. Банку, чтобы аутентифицировать мошенника как клиента и позволить ему перевести деньги, хватило одного фактора - обладания мошенником привязанным устройством. Логин/пароль уже не проверялись, потому что устройство привязано, а пуш-коды для подтверждения перевода, приходили уже на это устройство (если они вообще были).

Вопрос тут не в том, как аутентифицировать клиента, а в том, на основании чего привязывать новый телефон (в чём действительно есть проблема). Но это вообще не связанные между собой вещи. Скажем, ситуацию спас бы обратный голосовой звонок из банка при попытке привязки нового устройства, или подтверждение с другого устройства, как в Apple ID.
 
Цитата
wad910 пишет:
Вопрос тут не в том, как аутентифицировать клиента, а в том, на основании чего привязывать новый телефон (в чём действительно есть проблема).
Вы не понимаете основы. Аутентификацию субъекта в системе должен проводить владелец системы. Если аутентификацию проводит третья сторона, то процедура скомпрометирована. Мобильное приложение - третья сторона. Сейчас банк считает, что если клиент зашел в мобильное приложение, то он аутентифицирован. Нельзя "привязывать" мобильное приложение и считать факт привязки одним из факторов аутентификации.
 
Цитата
uGNot пишет:
Грубо говоря - аутентификацию проводит третья сторона, за которую банк не несет никакой ответственности.

Какая еще третья сторона?
Мобильное приложение разрабатывает банк, так же как и веб-интерфейс ИБ. Тут нет никакой разницы.
Аутентификация приложения проводится банком при его установке.
В дальнейшем аутентификация клиента в приложении также не отменяется, клиент сам выбирает ее способ после первого входа в приложение.
Разумеется, пароль в этом случае может быть проще.
Вас не удивляет пин-код банковской карты всего из 4 цифр? Практика показывает, что этого вполне достаточно. чтобы укравший карту не смог снять деньги в банкомате или совершить покупку свыше 1000 руб.
Считайте смарт с приложением эквивалентом физического токена или карты.

Усиленная парольная защита необходима для веб-версии ИБ, поскольку позволяет получить доступ к аккаунту абсолютно с любого устройства, имеющего браузер, независимо от того, кому оно принадлежит и где находится.
Если же клиент регистрирует определенное устройство в банке, то логично, что степень защиты пароля можно снизить. И это не прихоть банка, а необходимость, поскольку на мобильнике проводить операции копирования/вставки пароля очень сложно.
Изменено: Alex133 - 10.05.2021 02:23
 
Думаю, никто на этом форуме не возразил бы против возвращения необходимости ввода пароля помимо логина при первом входе в мобильное приложение (плюс – подтверждение кодом).
Не понятно, о чем спор smile:nunu:
 
Цитата
Alex133 пишет:
Какая еще третья сторона?
Мобильное приложение разрабатывает банк, так же как и веб-интерфейс ИБ. Тут нет никакой разницы.
Аутентификация приложения проводится банком при его установке.
С точки зрения системы безопасности банка мобильное приложение находится за периметром и само требует аутентификации. Неважно кто его разрабатывал - банк не может контролировать его целостность, поскольку оно находится на абонентском устройстве. И аутентификации требует каждая финансовая транзакция, а не "привязал мобилу - твори, что хочешь".

Цитата
Alex133 пишет:
Вас не удивляет пин-код банковской карты всего из 4 цифр? Практика показывает, что этого вполне достаточно. чтобы укравший карту не смог снять деньги в банкомате или совершить покупку свыше 1000 руб.
Удивляет. И как показала практика этого было совершенно недостаточно, пока карту можно было запросто клонировать и пин-код снять с клавиатуры. Проблемы исчезли сравнительно недавно, с введением чиповой эмиссии.

Цитата
Alex133 пишет:
Считайте смарт с приложением эквивалентом физического токена или карты.
Как токен смарт считать можно, но это только один фактор аутентификации, которого недостаточно для защиты финансовых транзакций. Аналогом карты мобильное приложение считать нельзя в современном исполнении. Apple/Google Pay не зря появились.

Цитата
Alex133 пишет:
Если же клиент регистрирует определенное устройство в банке, то логично, что степень защиты пароля можно снизить. И это не прихоть банка, а необходимость, поскольку на мобильнике проводить операции копирования/вставки пароля очень сложно.
Собственно проблемы ТС и возникли от упрощенной для удобства процедуры аутентификации.
 
Цитата
uGNot пишет:
банк не может контролировать его целостность, поскольку оно находится на абонентском устройстве.

Его целостность контролирует пользователь и доверенный им поставщик ОС смартфона. Банку это зачем? Банку вообще до лампы, кого пользователь уполномочил действовать от своего имени.
 
Цитата
uGNot пишет:
Цитата

wad910<noindex>пишет</noindex>:
Руководствуясь чем банк должен будет вас аутентифицировать? Если паролем, то это более слабая защита.
Хотя бы пароль + код из смс.

Сложнее всего объяснять прописные истины.

Мы тут собрались в теме, где у ТС увели деньги привязав телефон к его ДБО. Банку, чтобы аутентифицировать мошенника как клиента и позволить ему перевести деньги, хватило одного фактора - обладания мошенником привязанным устройством. Логин/пароль уже не проверялись, потому что устройство привязано, а пуш-коды для подтверждения перевода, приходили уже на это устройство (если они вообще были).

Даже если бы для перевода нужны были коды подтверждения, приходящие в смс, этой темы уже не было бы.
Сами себе противоречите - Хотя бы пароль + код из смс - - Даже если бы для перевода нужны были коды подтверждения, приходящие в смс, этой темы уже не было бы. – а между этими утверждениями вы утверждаете это - Банку, чтобы аутентифицировать мошенника как клиента и позволить ему перевести деньги, хватило одного фактора - обладания мошенником привязанным устройством. Логин/пароль уже не проверялись, потому что устройство привязано, а пуш-коды для подтверждения перевода, приходили уже на это устройство (если они вообще были). – из этих ваших слов следует, что если бы даже банк направил смс коды подтверждения, они бы пришли на привязанное мошенником устройство и результат был бы тем же.

Значит, банк обязан был однозначно удостовериться у вкладчика, что именно он подключил другое, и какое именно, с указанием номера, устройство к своему дбо, и только после этого проводить какие-то операции с нового устройства, с соблюдением всех необходимых мер защиты средств вкладчика.
 
Читают тему (гостей: 3, пользователей: 1, из них скрытых: 0) Eugeniy_016

Продукты Банки.ру