Ну и при чем тут? Банковская тайна для кого надо совсем не тайна. Очередное достижение по борьбе со злоумышленниками, от которого добросовестные пользователи будут страдать больше, чем от этих самых злоумышленников.
Дебилы конченые!!! Законникам видать бОльшую часть зряплаты выдают тяжелыми наркотиками. А чего не обязать производителей сразу встраивать датчики на мазок, слюну, отпечаток пальца, сканирование зрачка и забор крови... И пусть хоть одного из этого у человека нет, то хрен тебе, а не транзакция, заболел, анализ не совпал — аналогичный результат... Как раз по анализам можно и состояние здоровья узнать будет, медицину сократят на 90%. А чего, им то бесплатное мед обслуживание. Можно еще после трех неудачных попыток чтоб иголочка с ядом кольнула и все, нет человека, а остатки его счета сразу в бюджет на распил переводятся!!!
Кто дебилы? То что они о ваших деньгах беспокоятся?
Чтобы какой-нибудь "умный Вася" не перевыпустил вашу симкарту и не увел через мобильный банк сбера все ваши пенсионные накопления посредством вывода на телефон и далее на Киви?
Хотите сказать, что система телефонного оператора не заметит, что в сети одновременно появились два телефона с идентичными симками и не предпримет меры? Кроме того, для перевыпуска симки этому "Васе" придется воспользоваться своей авторизацией или какого-то знакомого работника телефонной компании для доступа к клиентской базе телефонного оператора, на основании которой при желании правоохранительные органы смогут по цепочке вычислить "кудесника".
Сам себе не поможешь — никто не поможет. У меня к сим-карте привязана только операционная дебетовая карта моментальной выдачи, на которую я перевожу средства с основного счета только по мере необходимости. Так что даже если и взломают, то убытки будут минимальными. Основной же счет доступен только через терминал или онлайн банк по одноразовому паролю.
Оператор не заметит, что в сети 2 телефона с идентичными симками. В сети регистрируется тот, который подключен последним. Первый будет не в сети.
Проверено. Старые симки копировались элементарно на SilverCard. До 10 номеров на 1 карту. Новые карты всех операторов не сканируются. Дубликат можно сделать только зная IMSI и KI ,
Есть множество технических решений без привязке к железу!!! А в этом случае тогда уже не "мобильный" банк будет, а "стационарный". Да и так уже все под колпаком и полным контролем. А насчет "Вась", так я в маленьком городке в 30 тыш населения нашел 5 магазинов, в которых даже не нужно вводить кода, отоварился, расписался и пошел довольный. А допустим, чисто гипотетически, пролил ты H2SO4 на свое устройство в пятницу вечером, а тебе ну очень нужно перевести денег... А к понедельнику у тебя уже пеня на приличную сумму в лучшем случае, а в худшем человек при смерти, т.к. не смог перевести денег на операцию, которая страховками не предусмотрена...
Я в своем маленьком городе на 1.5кк населения тоже знаю магазин, где даже расписываться не попросили. Хоть я и предлагал. PayPass — палка о двух концах.
А вот раньше в одном красно-белом банке чтобы восстановить неверно введенный (три раза)пароль, приходилось ехать в отделение, стоять очередь... это правильно.
Потом, когда я в очередной раз попутал раскладку и уже настроился на посещение отделения — выяснилось что у них пароль уже можно восстановить не обращаясь в отделение. Что мне уже очень не понравилось. Потом тот же банк внезапно подключает самостоятельно услугу — мобильный банк (а чё, бесплатно же). Что тоже не понравилось, благо отключается она оперативно через колл-центр.
Это был как раз велосипед. От которого отказались в пользу USB-токенов для которых достаточно чтобы на компьютере клиента был установлен сертифицированный криптопровайдер и пользователь верно ввел код. Как дешевая альтернатива — двухфакторная авторизация. Почему-то банкам этих мер достаточно, а нашим законотворцам нет.
Потерял/украли телефон и тю-тю. Потом доказывать что это не ты, а с твоего телефона совершена транзакция — твои проблемы. Забота о благоденствии населения шагает семимильными шагами. Депутаты и чиновники ночами не спят думая, что бы ещё такого придумать, чтобы населению было жить интереснее и веселее. За это и получают по 420 000! Пардон 420 000-10%= 378 000. В ущерб себе работают!
Для чего? Если ничего кроме симкарты у тебя нет, ты сможешь только оплатить телефон. Причем только в том случае, если подключена соответствующая услуга. О чем клиента предупреждают — в случае утери телефона нужно сообщить об этом в банк. Даже если услуга подключена, крупную сумму на телефон перевести не удастся, а поскольку транзакция будет зафиксирована с последующим разбором полетов в СБ банка и правоохранительных органах. Поэтому перевод нужно делать теще заклятого друга.
Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. А то, что физический MAC сетевого устройства в операционной системе легко может быть подменен на виртуальный, это не считается? Обычно так поступают сетевики в том случае, если в сети есть привязка доступа устройства к ресурсам сети по MAC-адресу его сетевой карты в случае замены или на период ремонта устройства.
Не важно с какого устройства проводится банковская транзакция и защищен ли комп антивирусом. Главным элементом безопасности в данном случае является то, осуществляется ли эта транзакция по защищенному (https) протоколу и соответствует ли электронная подпись сайта для банковских транзакций официальной банковской (легко проверяется через тот же браузер). Просто модуль "Безопасные платежи" Каспера как раз и делает такую проверку соответствия протокола и электронной подписи сайта банка — но не более.
Да, ни один антивирус не может дать 100% гарантии безопасности. Ну а что касается различных клавиатурных и экранных перехватчиков, то использование одноразовых паролей с чека, полученного через банкомат для подтверждения входа в банк и осуществления каждой транзакции вполне надежная защита от них.
Ну, успешные MITM атаки на https имели место быть, так что и это не панацея. Лучше максимально усложнить задачу злоумышленника и использовать для подтверждения двухфакторную (для параноиков — N-факторную :-) авторизацию. Хотя от злодея, который по голове монтировкой стукнет после ввода пин-кода в банкомат это не поможет.
А я доверяю только своему устройству. Выезжая к родственникам приходится сперва в течении суток чистить их комп от всякой гадости, прежде чем хоть как-то можно будет нормально в инет выйти. При том что "каспер" там обычно установлен.
Не нужно никому доверять. Ни Каспер, ни https не дают 100% гарантии ни от перехвата сессии, ни от фишинга. На этот случай как раз и придумали двухфакторную авторизацию — когда подтверждение поступает по другому каналу. В случае с ПК это обычно одноразовый СМС пароль, причем в сообщении обязательно должны указываться реквизиты транзакции. В случае телефона/планшета СМС бесполезна, т.к. в случае получения контроля над устройством злоумышленником он может как подделать сообщение, так и прочитать его. Для телефона нужно использовать список одноразовых паролей, полученный из надежного источника — обычно это чек из банкомата со списком паролей, которые нужно использовать по очереди, хотя параноикам можно и лично сходить в отделение банка и получить его от сотрудника.
Я помню что указывал номер телефона, но не помню что бы там требовали еще какие-то технические данные. Причем банковский клиент у меня стоит на другой симке, которая в банковском договоре вообще никак не фигурировала.
Да ладно, в трех банках (Сбер, Сельхоз и ПромСвязь вроде) оформлял — во всех были одноразовые пароли для интернет-банкинга. Оно, кстати, гораздо менее уязвимо, нежели СМС.
Все эти новшества приведут к тому с чего начали: народ не сможет технически пользоваться этими услугами или забьет на сложность их исполнения удаленного использования и ПОЙДЕТ В БАНКИ выстраиваться в километровые очереди, банки раздуют штаты и площади и всё равно будут зашиваться, конечные пользователи станут избегать гемороя и переходить на НАЛИЧНУЮ форму оплаты!
Хватит уже дизайнЁров в руководство, которые при решении проблем руководствуются своим абстрактным воображением и нестандартным видением с притензией на исключительную верность. Технические решения должны разрабатываться профильными специалистами и опробываться на узких группах испытуемых, а уж потом внедряться в масштабах страны!
Комментарии
Просто безопасность такая и не только у нас:
и рыбку съесть, и сковородку не помыть )
И самим всё хотят контролировать и не допустить выуживания логинов-паролей (фишинга) )))
Чтобы какой-нибудь "умный Вася" не перевыпустил вашу симкарту и не увел через мобильный банк сбера все ваши пенсионные накопления посредством вывода на телефон и далее на Киви?
Или вы этот "умный Вася" и есть?
Даже если наши органы и "вдруг сработают", то вам от этого легче не станет.
Проверено. Старые симки копировались элементарно на SilverCard. До 10 номеров на 1 карту. Новые карты всех операторов не сканируются. Дубликат можно сделать только зная IMSI и KI ,
Я в своем маленьком городе на 1.5кк населения тоже знаю магазин, где даже расписываться не попросили. Хоть я и предлагал. PayPass — палка о двух концах.
А вот раньше в одном красно-белом банке чтобы восстановить неверно введенный (три раза)пароль, приходилось ехать в отделение, стоять очередь... это правильно.
Потом, когда я в очередной раз попутал раскладку и уже настроился на посещение отделения — выяснилось что у них пароль уже можно восстановить не обращаясь в отделение. Что мне уже очень не понравилось. Потом тот же банк внезапно подключает самостоятельно услугу — мобильный банк (а чё, бесплатно же). Что тоже не понравилось, благо отключается она оперативно через колл-центр.
При установке софтины типа банк-клиент генерируется ключ, который сообщают в банк.
Ключ генерируется в зависимости от коннкретного железного оборудования.
Смена конфигурации приводит к потере работоспособности программы и повтором операции с привязкой ключа.
Очень прикольно, когда в таком компьютере сгорает что-либо, особенно в пятницу вечером.
Любой идентификатор компьютера — это всего на всего набор цифр, который "хитрый" банк надеется, что никто никогда не сможет сгенерировать )))
При этом генераторы ключей для софта привязанного к железу компьютера свободна валяются в сети. )))
Давайте тогда ходить вообще без паролей.
Специалисты по безопасности, заявляющие об авторизации по MAC или IP — плохо.
Digital Security (один из лидеров в направлении анализа защищенности банковских систем) )))
экранирование, радиоглушилки и радиоимитаторы не такая уж большая проблемма
типичное противостояние снаряда и брони
При первом запуске прошла привязка трубы, создание пароля входа в программу. И всё.
У тов. vldmr1 видимо старая версия программы. В новой есть функция привязки и отвязки.
О каких тут "неудобствах" идёт речь? Технически всё она должном (не ожидал от сбера).
И в остальном — никакой мороки с заявлениями и хождениями в банк или ещё куда.
Именно сбербанк нынче наиболее популярен среди мошенников, ворующих ваши деньги со счета.
А вот Windows-компьютеру с защитой каспером доверяю.
Выезжая к родственникам, пользуюсь их аналогично защищенными Windows-компьютерами для управления банковскими счетами.
Теперь этого нельзя будет делать?
Придётся пользоваться насквозь дырявым Андроидом?
Где же тут повышение безопасности?
На компьютере стоит защита (хоть Касперский), плюс htpps-протокол (жалкое подобие PGP).
И этого уже достаточно, чтобы достаточно надежно защитить счет с невысокими суммами денег.
Как говорится, расшифровать можно всё, если затраты на вскрытие шифра не превышают денег на счету. )
А Android это вообще решето, он сам всё передает на Google )))
И к ней есть надёжные укрепляющие безопасность навески.
Есть ещё клавиатурные и экранные перехватчики.
Каспер защищает от них.
На самом деле, если соблюдать минимальные правила безопасности, то любая ОС будет достаточно надежной и вероятность взлома будет минимальной...
Как правило, успешный взлом — это не проблемы техники и ПО, а лень и беспечность хозяина данной техники)
В общем как-то пофигу...
Хватит уже дизайнЁров в руководство, которые при решении проблем руководствуются своим абстрактным воображением и нестандартным видением с притензией на исключительную верность. Технические решения должны разрабатываться профильными специалистами и опробываться на узких группах испытуемых, а уж потом внедряться в масштабах страны!
Здесь когда-то было изображение.