Бред какой-то, дебилы опять изобретают колесо на котором они на грабли будут наезжать )))
Простые вещи:
1. Не существует никакой конфиденциальности без шифрования.
Плюньте слюной на все ваши IMEI, IP-адреса и MAС-адреса.
2. Используйте криптографическую систему с открытым ключом (или асимметричное шифрование, асимметричный шифр). PGP или openPGP тому в пример и в помощь.
Идиотизм! Мне Сбербанк-Онлайн и хорош тем, что я могу с ЛЮБОГО, в том числе и чужого, устройства зайти в свой кабинет и сделать те платежи, которые мне нужны. А проблема решается просто — должен быть закон об ЭЛЕКТРОННОЙ ПОДПИСИ, которую все граждане могут получить (и поменять) официально, и не за 2000 рублей.
Можно просто право выбора оставить за клиентом. Хочешь геморрой — пожалуйста, хочешь кошмариться — велкам. Мну вот ПОФИГ, будут они защищать сеанс связи или нет.
Скорее всего вы просто не обратили внимания, как прошла привязка. Я её заметил только увидев кнопку об обвязки трубки от программы. С чужого устройства не зайдёшь. Но никто не мешает за минуту авторизовать другой смарт, а потом ещё один, и так 10 раз. Вопрос, зачем?
Ять... Сколько икспердов — плакальщиков собралось.
Идея, в общем-то, правильная, исполнение несколько странное. Кроме IMEI и MAC и сотового номера есть и Device ID, который прошивается разработчиком конкретного планшета/смартфона прямо в девайс. Это ещё один параметр, который можно использовать для авторизации. Но. При этом всём практика показывает, что авторизация должна быть по-любому двухфакторная. И желательно, чтобы второй фактор авторизации не был привязан к используемому устройству. Ещё один нюанс. У нас много любителей root-овать или jailbreak-ать устройства. Такие устройства использовать в мобильном банкинге (особенно для людей, смутно понимающих риски данного действа) — всё равно, что трясти переполненным кошельком в трущобах — вероятность потерять деньги возрастает на порядки, поскольку шанс подсадки "чего попало" в такой аппарат становится весьма немаленьким. Начиная от приложений, способствующих проведению MITM атак и заканчивая приложениями, которые сами начнут перечислять деньги куда попало. А учитывая, что российское законодательство при мошенничествах с клиентами сначала грузит банки, то вполне логично, что обеспечение защиты клиентских приложений (вещь, которую банки должны, по-идее, развивать самостоятельно, это в их же интересах) уже выходит на уровень ЦБ.
И да. Внедрение и использование банками anti-fraud систем в системах дистанционного обслуживания тоже остаётся чрезвычайно актуальным. ЦБ пока не обязал банки использовать такие системы (это тоже делается банками по своему усмотрению, т.к. системы такого плана суть весьма недёшевы), но и это, скорее всего, не за горами.
Я в курсе, что MAC можно менять. Не только на роутерах, на конечных устройствах MAC spoofing тоже в той или иной мере осуществим. Потому и говорю о том, что ограничиваться привязкой только к параметрам устройства нельзя. Другое дело, что внедрение дополнительных мер подтверждения транзакций (OTP, ЭЦП, биометрия) — вещь довольно затратная как для банков, так и для клиентов. Чем выше меры безопасности, тем дороже конечная реализация. Для клиентов банков, которые ну очень дорожат своими финансами (это как правило, не физ лица, а юридические) — особых проблем нет потратить лишних 200-300 долларов для приобретения и использования, скажем, внешних устройств формирования ЭЦП на платёжных поручениях. Или, скажем, для приобретения OTP токенов потратить 50-100 долларов. Для физ.лица это, как правило, совсем нежелательные затраты. Но и для защиты транзакций физлиц есть варианты решения. Да, они могут несколько снижать удобство работы с системой. Но это — общая проблема защиты информации. Чем больше уровней защиты применяется, тем сложнее работа с этой системой и тем больше время отклика системы. Никуда не денешься. Банальный пример — когда человек хочет защитить свою квартиру, он ставит бронированную дверь, сложные замки, решётки, сигнализацию... И ведь потом не парит себе мозг тем, что теперь для входа в квартиру тратит не 10 секунд, а в разы больше.
Или весеннее обострение или в цирке репетиция началась :) Понятно, что реализовать почти не реально по крайней мере в сегодняшних реалиях. Понятно что это не вполне здоровый бред неадекватного и технически не грамотного крючкотворца — носить технику на регистрацию в банк?!
Ой ебанаты!!!!! Ну точно весенний психоз у них. Они что на технике печать и пломбу собираются ставить? А может именную гравировку? А может серийный номер жесткого диска хотят переписать? Или жучок в комп поставить? Все любые другие действия по созданию уникальных ключей и идентификации хоть пользователя, хоть устройства можно сделать удаленно через программное обеспечение. Но только я ни как не пойму, на кой хер им эта затея с идентификацией и регистрацией устройств, если владелец счета человек? И к чему такие попытки сделать все так сложно? Ну нахрена????
Да ну их. Сколько веревочке не виться... Вот и придется им либо хорошо и прилежно трудиться на благо Народа и Государства вымаливая себе прощение, либо покинуть это место. А заниматься распилом и херней высасывая из пальца и остатка мозга тупорылые, вредные для населения законы, завернутые в красивую обертку заботы о нас — карательные по своей сути, к счастью у них уже не получится :)
у юр.лиц — жесткоя привязка к железу — в сбере сталкивался — как раз к жосткому диску, самое прикольное — это было на кануне НГ и мне СА с банка объяснял, как её обойти — так как всем хотелось домой в 7 вечера:)
Комментарии
Простые вещи:
1. Не существует никакой конфиденциальности без шифрования.
Плюньте слюной на все ваши IMEI, IP-адреса и MAС-адреса.
2. Используйте криптографическую систему с открытым ключом (или асимметричное шифрование, асимметричный шифр). PGP или openPGP тому в пример и в помощь.
И будет вам счастье )
Идея, в общем-то, правильная, исполнение несколько странное. Кроме IMEI и MAC и сотового номера есть и Device ID, который прошивается разработчиком конкретного планшета/смартфона прямо в девайс. Это ещё один параметр, который можно использовать для авторизации. Но. При этом всём практика показывает, что авторизация должна быть по-любому двухфакторная. И желательно, чтобы второй фактор авторизации не был привязан к используемому устройству. Ещё один нюанс. У нас много любителей root-овать или jailbreak-ать устройства. Такие устройства использовать в мобильном банкинге (особенно для людей, смутно понимающих риски данного действа) — всё равно, что трясти переполненным кошельком в трущобах — вероятность потерять деньги возрастает на порядки, поскольку шанс подсадки "чего попало" в такой аппарат становится весьма немаленьким. Начиная от приложений, способствующих проведению MITM атак и заканчивая приложениями, которые сами начнут перечислять деньги куда попало. А учитывая, что российское законодательство при мошенничествах с клиентами сначала грузит банки, то вполне логично, что обеспечение защиты клиентских приложений (вещь, которую банки должны, по-идее, развивать самостоятельно, это в их же интересах) уже выходит на уровень ЦБ.
photos.streamphoto.ru
Оно с непробиваемой антивирусной системой.
Эти шкуры бы лучше думали, как рубль поднять до докризисного уровня. Вот их работа, а упоротые опять людям жизнь решили "облегчить".
Горите в аду твари ЦБшные.
опять люди, которые имеют пространные понятия о компах и сетях куда-то пытаются залезть..
даже подробно не буду расписывать этот бред..
Фееричнее только идея выдать каждому паспорту ipv6 :-)
А кто согласиться? — ну бюджетники ... остальные уйдут в серые схемы.
IMHO = Фейк!
Идиотская мысль.
Ой ебанаты!!!!! Ну точно весенний психоз у них. Они что на технике печать и пломбу собираются ставить? А может именную гравировку? А может серийный номер жесткого диска хотят переписать? Или жучок в комп поставить? Все любые другие действия по созданию уникальных ключей и идентификации хоть пользователя, хоть устройства можно сделать удаленно через программное обеспечение. Но только я ни как не пойму, на кой хер им эта затея с идентификацией и регистрацией устройств, если владелец счета человек? И к чему такие попытки сделать все так сложно? Ну нахрена????
Всё выглядит проще.
Бюджет РФ летит к чёртовой матери ...
А... А... нефть подешевела , а мы сами и шариковую ручку произвести не можем!
(И не надо тут мне про Гагарина и про посадку на Венере — это было в другом государстве)
Итог: Нам ПИПЕЦ.
Мы так долго сидели на Нефте-Газовой игле....
Вывод: Надо работать. Да мы рады (народ то работящий) — осталось найти тех кто настроит работу (правительство не из воров)
Хватит — и так длинно написал.