Комментарии участников:
банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-картыК слову сказать, в некоторых банках это давно работает. Мне прошлой весной Альфа заблокировала доступ в интернет-банк после смены сим-карты.
Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.Короче, как всегда — указание приняли, а вы крутитесь, как хотите.
В статье несколько раз упоминается МАС-адрес. Так вот, есть устройства, которые могут его клонировать с других устройств. У многих дома есть роутеры, а роутер, в зависимости от настроек, может отдавать во «внешний мир» или свой MAC или MAC-и подключённых устройств. Центробанк будет ездить по стране и роутеры правильно настраивать?
Это нормальный подход. Есть требование. Его нужно выполнить. Как — дело банка.
Про MAC-адрес упомянуто скорее как один из вариантов. Нормальный специалист этот вариант даже рассматривать не будет, т.к. MAC легко меняется руками или клонируется. К тому же у устройства может быть несколько интерфейсов для связи, на каждом из них будет свой MAC-адрес, насколько я понимаю.
Навязывать конкретное техническое решение — избыточно, это должны определять архитекторы системы дистанционного обслуживания. Да и не может быть единого подхода для всех классов устройств.
Например, мобильное приложение ставится и привязывается к устройству, для доступа с этого устройства используется свой уникальный пароль, не совпадающий с паролем для входа через сайт. У Сбербанка так сделано. Т.е. требование в отношении мобильного приложения уже выполнено. К чему оно там привязывается, не знаю, но явно не к MAC-адресу. Я бы взял, например (так, навскидку), хэш от суммы значений серийного номера устройства и еще пары параметров, уникальных для устройства.
Что делать с доступом через браузер — хз, надо подумать. Возможно, придется какой-то плагин ставить на конечное устройство (если нет возможности как-то получить идентификационные данные машины в рамках сессии нормальными методами).
Про MAC-адрес упомянуто скорее как один из вариантов. Нормальный специалист этот вариант даже рассматривать не будет, т.к. MAC легко меняется руками или клонируется. К тому же у устройства может быть несколько интерфейсов для связи, на каждом из них будет свой MAC-адрес, насколько я понимаю.
Навязывать конкретное техническое решение — избыточно, это должны определять архитекторы системы дистанционного обслуживания. Да и не может быть единого подхода для всех классов устройств.
Например, мобильное приложение ставится и привязывается к устройству, для доступа с этого устройства используется свой уникальный пароль, не совпадающий с паролем для входа через сайт. У Сбербанка так сделано. Т.е. требование в отношении мобильного приложения уже выполнено. К чему оно там привязывается, не знаю, но явно не к MAC-адресу. Я бы взял, например (так, навскидку), хэш от суммы значений серийного номера устройства и еще пары параметров, уникальных для устройства.
Что делать с доступом через браузер — хз, надо подумать. Возможно, придется какой-то плагин ставить на конечное устройство (если нет возможности как-то получить идентификационные данные машины в рамках сессии нормальными методами).
В любом случае, способ защиты — это как минимум коммерческая тайна. Да и вопрос безопасности. Конкретные требования в НПА прописывать нельзя.
А чем вас не устраивает существующая система с паролем и СМС. Например, у меня есть знакомый, у которого есть дома технические проблемы с интернетом, поэтому он заходит в свой интернет-банк то с рабочего компа, то с домашнего, то я для него захожу со своего. За долгие годы использования пароля+СМС с его счетами ничего не случилось.
Чует моё сердце, что это ж-ж-ж неспроста — обяжут всех россиян или электронную подпись получить или купить кард-ридер для УЭК.
Чует моё сердце, что это ж-ж-ж неспроста — обяжут всех россиян или электронную подпись получить или купить кард-ридер для УЭК.
Меня — все устраивает :)
Видимо, не устраивает кого-то, кто инициировал такие требования. Политическую сторону дела я не обсуждал, и вникать в нее мне лень. Я говорил сугубо о технической части и претензиях к проработке НПА.
Видимо, не устраивает кого-то, кто инициировал такие требования. Политическую сторону дела я не обсуждал, и вникать в нее мне лень. Я говорил сугубо о технической части и претензиях к проработке НПА.
Идентификатор может включать в себя привязку сразу к нескольким компонентам. Да и зачем это ”светить”?
Просто все станет сложнее, как для воров, так и для пользователей. В этом и состоит проблема методов безопасности — при увеличении безопасности происходит увеличение операций необходимых для проведения операции. Если бы этой проблемы не было и обычный пользователь был бы способен и согласен выполнять дополнительные операции, то подобные привязки давно уже стали бы нормой.
Трояны на андроиде смеются над тобой. А у одной известной фруктовой компании смс шарятся между разными устройствами, в т.ч. копируются на компьютер.
Ну, вот, я пользуюсь Сбербанком онлайн, приложение их не устанавливаю, т.е. захожу только с компьютера, а телефон только получает СМСку с кодом. По-моему при такой схеме никакие трояны на андроиде не страшны.
Идиотизм. Вконтактом из-за этого пользоваться неудобно.
Скажу честно — у меня за всю жизнь один раз увели аккаунт на форуме за пароль 12345. Без серьезных проблем все восстановил. А вот из-за требований к безопасности пару-тройки раз терял около 2-х недель времени на отсылание фотки своего большого и толстого для верификации что я это я, а в случае с ЯДом пришлось лично к ним в офис явиться. Теперь весь этот идиотизм из классических платежных систем перейдет в банковские системы.
И самое главное что если кто-то решит поставить вам на компьютер вирус, то антивирус вам не поможет, а если кто-то захочет увести у вас деньги со счета, то доступ к вашему телефону получить будет не многим сложнее вашего пароля. Это защита ни коим образом не нас с вами — теперь чтобы увести деньги с вашего счета вам дополнительно проломят бошку топором,- это защита банка — этакие костыли на их дыры безопасности.
Скажу честно — у меня за всю жизнь один раз увели аккаунт на форуме за пароль 12345. Без серьезных проблем все восстановил. А вот из-за требований к безопасности пару-тройки раз терял около 2-х недель времени на отсылание фотки своего большого и толстого для верификации что я это я, а в случае с ЯДом пришлось лично к ним в офис явиться. Теперь весь этот идиотизм из классических платежных систем перейдет в банковские системы.
И самое главное что если кто-то решит поставить вам на компьютер вирус, то антивирус вам не поможет, а если кто-то захочет увести у вас деньги со счета, то доступ к вашему телефону получить будет не многим сложнее вашего пароля. Это защита ни коим образом не нас с вами — теперь чтобы увести деньги с вашего счета вам дополнительно проломят бошку топором,- это защита банка — этакие костыли на их дыры безопасности.
Все можно усложнить, нарастить, повысить, ужесточить и тд, но нельзя уменьшить человеческую тупость. Если человек идиот, то это на долго (с) У него уведут не только телефон, но и трусы последние стырят в людном месте при всех.
Не раз сталкивался с ситуациями, когда «физики» приходят в банк и просят отменить транзакции дневной или даже недельной давности в виду того, что их «кинули», как оказалось. Ну, типа «переведите стопицот копеек на наш Yandex-кошелек и мы удлиним вам сами знаете, что, на 4 см дистанционно». Тут уж никакая защита не поможет.
Вероятность того, что «уведут» телефон в момент, когда вы пользуетесь инет-банком практически равна нулю. Сделать ее полностью нулевой можно за счет работы с компутера. Одноразовые пароли или верификация по пин-коду на телефон, имхо, лучшее, что может быть придумано на данный момент. Все остальное — бред и геморрой.
Не раз сталкивался с ситуациями, когда «физики» приходят в банк и просят отменить транзакции дневной или даже недельной давности в виду того, что их «кинули», как оказалось. Ну, типа «переведите стопицот копеек на наш Yandex-кошелек и мы удлиним вам сами знаете, что, на 4 см дистанционно». Тут уж никакая защита не поможет.
Вероятность того, что «уведут» телефон в момент, когда вы пользуетесь инет-банком практически равна нулю. Сделать ее полностью нулевой можно за счет работы с компутера. Одноразовые пароли или верификация по пин-коду на телефон, имхо, лучшее, что может быть придумано на данный момент. Все остальное — бред и геморрой.
В принципе логично. Хороший вариант авторизации при таком раскладе — УЭК или любой другой носитель, содержащий ЭЦП клиента, как это делается в системах ДБО «Клиент-банк». Тогда и к устройству привязываться не нужно. Хотя некоторые банки всё равно привязываются, формируя ЭЦП для конкретного девайса.
Нет фактора изменения, что обычный пароль, что отпечаток пальца — действует на протяжении отрезка времени. Как их получить дело техники. Перехват одноразового пароля по определению лишен смысла. Именно по этому over 9000 банков внедрили именно одноразовые пароли.
че тут спорить? Вы круто не правы и точка )
http://habrahabr.ru
http://www.rnbo.ru
http://www.securrity.ru
http://www.computerra.ru
http://habrahabr.ru
http://www.rnbo.ru
http://www.securrity.ru
http://www.computerra.ru
Читать умеете что-нибудь, кроме ссылок?
Строго говоря, более-менее стойкой является только биометрическая аутентификация.В лес, батенька, в лес.
Да я то умею, а Вы?
Вот ваша фраза.
Кстати даже в лесу отпечаток пальца — это биометрическая аутентификация. )
Вот ваша фраза.
Впервые слышу, что отпечаток пальца — это биометрическая аутентификация.В ней Вы утверждаете, что не в курсе, что отпечаток пальца — это биометрическая аутентификация.
Кстати даже в лесу отпечаток пальца — это биометрическая аутентификация. )
Фраза как фраза. Я действительно впервые слышу, что отпечаток пальца является биометрической аутентификацией. Несогласие где-то выражено? Я просил вас заняться моим образованием? Не просил. В лес, батенька, в лес. Способ и скорость доставки выберете сами.
Времена не выбирают — в них живут и умирают.
Большей пошлости на свете нет, чем клянчить и пенять —
Будто можно те на эти, как на рынке, поменять.
Большей пошлости на свете нет, чем клянчить и пенять —
Будто можно те на эти, как на рынке, поменять.
Теперь поняли почему они так взъелись на всякие там Биткойны? Потому что это единственные денежные потоки, на которые они не могут наложить свои ручки… Ждем ещё когда нал теперь отменят полностью.
