Блог им. W31

О взломе онлайн банков через перевыпуск SIM карт (на примере Сбербанка)

    • 14 января 2024, 08:10
    • |
    • 10-Q
  • Еще

Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?

 

1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением

 

Почему банк виноват при взломе онлайн банка с перевыпуском SIM а не оператор? (На примере Сбербанка)

 

Потому что Банк установил одним из этапов аутентификации только номер карты (вместо пары логин/пароль), что очень ненадежно. (Мобильное приложение)

Потому что Банк выбрал способ восстановления пароля удаленным и простым что сделало пароль фикцией.

Потому что владелец банковского аккаунта не сообщал никому свой логин/пароль. Банк сам третьему лицу позволил их заменить беспрепятственно.

Как видите вина банка из за отсутствия препятствий для восстановлении доступа. Удобней сервисы — больше операций, больше прибыль. НО! Мы же не каждый день восстанавливаем доступ!

Поясню вот что: когда вы СМС-ками подтверждаете платежи в этом нет ничего такого, просто дополнительная опция для надежности, она даже и не обязательная, когда то такого не было. но когда речь идет о восстановлении полного доступа к сервисам, а Сбербанк Онлайн это куда более полный доступ к сервисам, то кто придумал такую норму, что идентифицировать человека теперь не надо. А ведь тоже и про Госуслуги. Ну забыли вы пароль от Госуслуг, ну всё, начнем сначала, с идентификации личности по паспорту!(Но так там такая же дыра) Попробуйте от Налогового кабинета забыть пароль.

 

Решение может быть таким:

Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.

При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль

При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности и повернуть переключатель «запрет восстановления пароля через СМС код на „выкл“» после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале отведенное время 24 — 48 часа
Кроме того это может быть опциональной настройкой выключенной по умолчанию, то есть пользователь самостоятельно может блокировать себе возможность удаленного восстановления пароля(Сейчас в Сбербанке защиты паролем вообще нет, используется номер карты. Уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)

ИТОГО потребуется:

1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ. Причем пароль строго обязательный, никаких обходов
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
Есть три варианта как эту опцию реализовать:
а) Включенная по умолчанию
б) отключенная по умолчанию
в) Запрет включен, но при отключении автоматически включается обратно через заданное время

 

Вот еще те уязвимости которые позволяют вывести все средства даже с включенным «Суточным лимитом на платежи и переводы через Сбербанк Онлайн»:

1.возможность целиком видеть Номер карты и CVV в приложении и СБОЛ
2. снятие наличных через банкомат без карты через приложение

★5
110 комментариев
+2

Решение может быть таким:


В качестве второго фактора аутентификации по возможности надо выбирать TOTP вместо SMS.
avatar
E L
E L, Банки на это не пойдут и пользователи, не будет такого, сильно не удобно
avatar
10-Q
+2
10-Q, Для вас удобство входа в онлайн-банк важнее сохранности средств?

Лично меня не напрягает потратить  30 секунд на то, чтобы ввести 6 цифр с брелка в дополнение к паролю. Правда из трех банков, клиентом которых я являюсь, TOTP дает лишь один, и это даже не российский банк.
avatar
E L
E L, Для меня важно сейчас предложить что то что устроит всех, а это не устроит
avatar
10-Q
+3
E L, Зачем создавать сложную систему когда на элементарное решение нет воли, я просто демонстрирую что решения есть но на них наплевать, или значит дыры кому то нужны
avatar
10-Q
+1
10-Q, есть и более удобные решения, ты привязываешь регистрацию в приложении (duo mobile, multifactor, microsoft authenticator и другие), потом приходят уведомления на телефон, ты подтверждаешь «Да это я» одной кнопкой
avatar
Михаил Ершов
Михаил Ершов, Надо изучить, но странно что я не слышал
avatar
10-Q
10-Q, ну например Duo Mobile мне попадался только в авторизации на cme group.
Возможно, это не слишком популярные решения.

С другой стороны, гугл аккаунты так же устроены,
если там поставить повышенную безопасность,
при входе из нового места падает уведомление на смартфон,
типо подтвердите что это вы.
avatar
Михаил Ершов
E L, Жаль что такой возможности нет нигде. У меня рабочий аккаунт защищён лучше чем банковский.
avatar
Anatoly Sorokin
+1
E L, у людей на одном телефоне и totp, и сберонлаин, и игры, и приложения, итд. Куча приложений которые подсматривают в адресную книгу, сообщения..
А потом удивляются откуда различные номер-определители знают имена, и кто как кого сохранил, друзей друзей. Google Auth хранит ключи в не зашифрованном виде.
В любом случае выбор TOTP должен быть.
avatar
22022022
+1
Получается технически Сбер самый ненадежный банк?
avatar
Alexide
+1
Alexide, И да и нет, каждый по своему ненадежный из за конкуренции, пользователи сами променяли надежность на удобство
avatar
10-Q
+2
10-Q, 
пользователи сами променяли надежность на удобство
 
О каком удобстве может идти речь, если Сбер навязывает использование платной дебетовой карты для входа?? Чтобы пользоваться банковскими услугами и другими сервисами (брокерским, страховым и тд) дебетовая карта не обязательна!
avatar
Aprova3
+4
Если бы не пунктуация, можно было бы понять смысл поста…
avatar
Eugene Bright
+3
Eugene Bright, даже если бы там пунктуации сидели как голуби на проводах, то понятнее бы не стало..
Поток сознания значимый и имеющий ценность лишь для его создателя… Зачем оно тут- вопрос риторический.
avatar
Andrew1979
Andrew1979, пунктуация — это вежливость пишущего. Мало — плохо, много — еще хуже.
avatar
Eugene Bright
Andrew1979, Неужели не острая тема, в Сбербанке, например, можно опустошить не только все счета но и продать активы на брокерском счете и впоследствии вывести. И не только в Сбербанке
avatar
10-Q
+2
10-Q, напишите Грефу или хотя бы в раздел технической поддержки! ;) На смартлабе это действительно бесполезно.
avatar
Shadow
0
10-Q, я обслуживаюсь в сбербанке уже 20 лет. Это я про карты. То же самое делают в данный момент десятки миллионов человек. Ни у меня, ни у них проблем с опустошением не возникает. Никогда. С продажей брок активов тоже. Выборка чудовищна и репрезентативна. В сбере- сидят не дураки. Мне этого достаточно, что бы считать данную тему абсолютной дурью, не вдаваясь в подробности.
avatar
Andrew1979
Andrew1979, Это же ресурс про инвестиции, а мой блог еще и про безопасность в инвестициях. Или безопасность это последнее? Или безопасность это вообще неуместное?
avatar
10-Q
+1
Andrew1979, 11:15 в ваших краях голуби сидят на проводах?
avatar
Rostislav Kudryashov
Rostislav Kudryashov, отож! А внизу волки. Брянские леса, чоуж… специфика местности. Плюс Чернобыль рядушком…
avatar
Andrew1979
+2
Вот тут говорят что при перевыпуске симки новая симка перестаёт получать сообщения от всяких банков на сутки, а старая симка получает уведомление о перевыпуске. Получается что есть сутки для того чтоб разобраться в проблеме. Так себе решение конечно, но всё-же не всё так дыряво. Правда не знаю у всех ли операторов так. 
avatar
Anatoly Sorokin

support.mts.ru/mts_mobilnaya_svyaz/Zamena-nomera-ili-SIM-karti-i-pereoformlenie/zamena-sim-karti

Тут МТС тоже пишет что:

При замене SIM-карты на eSIM ваш тариф, баланс, подключённые услуги и опции останутся прежними. Сразу после замены некоторые услуги связи могут быть ограничены. В первые 24 часа не будут приходить SMS от банков и Госуслуг

avatar
Anatoly Sorokin
 Ещё интересно что там по поводу eSIM, перевыпускается ли она мошенниками так же просто как и обычная SIM.
avatar
Anatoly Sorokin
Anatoly Sorokin, Да, в Тинькофф есть случаи
avatar
10-Q
Anatoly Sorokin, Тинькофф Мобайл и их банк
avatar
10-Q
Anatoly Sorokin, хотя зачем перевыпускать eSIM. Наверняка на любом телефоне можно «установить» себе свой eSIM при входе по логину-паролю в какое-то операторское приложение.
avatar
Anatoly Sorokin
Anatoly Sorokin, Я не очень понял, был случай с массовым созданием виртуальных симок в МТС, но потом быстро прикрыли
avatar
10-Q
+2
Нужен эффективный механизм штрафования банков за НСД, тогда они сами предложат механизмы и будут мониторить новые угрозы
avatar
bwc
Я не понял! Как я могу использовать предлагаемые автором решения?
avatar
Rostislav Kudryashov
Rostislav Kudryashov, Для простых людей их нет, нужны сейчас представители финансовой сферы, лучше повлиятельней чтобы они прокомментировали идею
avatar
10-Q
Rostislav Kudryashov, никак. Оно не реализовано и скорее всего не будет реализовано. Уж проще OTP реализовать как это сделано во всяких сервисах почты.
avatar
Anatoly Sorokin
Anatoly Sorokin, Про OTP не знаю, что это?
avatar
10-Q
+2

10-Q, One-time-password. В общем это распространённый метод 2-х факторной авторизации без использования SMS и вообще любой связи.

Сервис (гугл почта например) при включении этого метода показывает вам QR код один раз (больше не покажет), который вы считываете в каком-нибудь приложении для OTP ключей (Google Authentificator, Microsoft Authentificator, Яндекс Ключ, и т.д.) стандарт ключей открытый и реализованный в куче приложений, никакой сервис не настаивает на использовании именно его приложения, используете какое хотите. Интернет и связь для работы этих приложений не нужен, важно только чтоб было точное время корректно установлено.

В общем каждую минуту приложение берёт секретный ключ из того QR кода который вам когда-то показал сервис, «складывает» его с временем на устройстве, и выдаёт временный пароль который действует только эту минуту. Через минуту уже будет другой. Вы вводите этот временный пароль при авторизации в сервисе (прямо как код из смс) и сервис также проверяет что ваш секретный ключ + время сходится с тем что вы сейчас ввели. По сгенерированному временному паролю (который известен только вам и сервису) и текущему времени (которое известно всем) невозможно понять секретный ключ который был показан в QR коде, за это отвечает современная криптография. 

В общем единственный реальный вариант атаковать такой способ это получить доступ к вашему девайсу с OTP паролями, например к мобильному. Сильно менее вероятный способ — удалённо каким-нибудь вирусом достать эти секретные ключи из OTP приложения, что сильно маловероятнее чем перевыпуск симки (потому что все эти секретные ключи тоже на телефоне хранятся в зашифрованном виде и не расшифровываются пока вы не введёте пароль при входе в приложение). Но если вы прям параноик — заведите для этого дела отдельный телефон, ставьте туда приложения для OTP и выключайте на нём интернет навсегда, так точно удалённо ничего не вытащат.

На самом деле с безопаностью на современных айфонах/андроидах всё отлично, если конечно за вами не охотятся спецслужбы, так что я таким методам доверяю больше чем оператору который перевыпускает симки.

avatar
Anatoly Sorokin
Anatoly Sorokin, OTP не будет проще ни в плане реализации ни для пользователей
avatar
10-Q
+4
Разделяйте доступ. 
Симка, которая привязана к банкам на одном телефоне — у меня в кнопочном аппарате с большой батареей.
А вот СберОнлайн на смартфоне. 
Не панацея, но…
avatar
Маркиз Лафайет
Smart-lab премиум
Маркиз Лафайет, Но тогда вы поздно заметите что симка отрубилась, и как это бы помогло не пойму? 
avatar
10-Q
10-Q, более вероятный сценарий: потерять телефон вместе с карточками в чехле. Достаем из телефона сим карту… profit. При потере телефона будет проблемно заблокировать карты.
В общем есть смысл банковский номер не выносить из дома и не светить его в сбп и других местах
avatar
bwc
+2
bwc, еще один плюс. Мошенники и спамеры звонят на банковскую симку. Телефон на беззвучном режиме, на звонки не отвечаю. Все эти «работники ЦБ», «следователи», клерки с предложением кредитов итд идут лесом
avatar
Маркиз Лафайет
Smart-lab премиум
bwc, «Достаем из телефона сим карту… profit.»
Как они пин код для запуска сим карты узнают?
avatar
Ayrisu
Ayrisu, мало кто включает пин код
avatar
bwc
+1
Маркиз Лафайет, так же сделал разделил приложения банков в смартфоне и привязку к ним на другой номер на кнопочном а на нем даже интернета нет и номер на жену оформлен
А у нее на меня
avatar
Снежко
Снежко, грамотно
avatar
Маркиз Лафайет
Smart-lab премиум
Ппц напридумывали. Проблема решается элементарно. Проверкой IMSI. Но похоже, Сбер ее отключил.
avatar
Владимир
Владимир, Никто ничего не отключал, если вы вставили симку в другой телефон, значит у вас их два, второй только что купили, Банк что как ФСБ будет всю страну через IMSI отслеживать как террористов? кто куда че вставил
avatar
10-Q
+1
10-Q, причем тут другой телефон? IMSI хранится на сим карте. Раньше в ВТБ была проверка имси, потом ее отключили. Как сейчас — не знаю.
avatar
Владимир
Владимир, Тоже есть, длится 24 часа
avatar
10-Q
+1
Ещё вброшу, заявление на запрет перевыпуска вашей симки без вашего личного присутствия
avatar
Anatoly Sorokin
Anatoly Sorokin, Че толку запрет на доверенность если симка перевыпускается бандитом который будет в сговоре с сотрудником мобилки. И по паспорту или без паспорта, просто кто то показал паспорт якобы, а его и не было
avatar
10-Q
+2

Еще из приколов про Сбер. Надо было мне сделать большой перевод. А ранее я настроил меньший лимит в 200тр в сутки (настраивается). Подумал, что придется топать в банк, чтобы увеличить свой лимит.

Но оказалось, что для увеличения лимитов достаточно 2 раза сказать Да голосовому помошнику. 

Руки поотрывать тому кто такую безопасность в Сбере придумал. 

avatar
MxD7
А вести секретное кодовое слово?
avatar
Хайдар Зарипов
Хайдар Зарипов, Они даже простой пароль в браузере не сумели реализовать, видимо много жалоб что сложно управлять с ним, склероз 
avatar
10-Q
+1
Самое слабое звено в любой системе защиты -это человек! Поэтому идеальной защиты не существует. Лично я в Сбере доступ к своим банковским счетам через Сбер — онлайн  закрыл, теперь ими пользоваться можно только как раньше, физическим посещением банка. Так же ограничил в Сбере-онлайн сумму перевода ( у меня 1000 руб в сутки). Теперь в Сбере-онлайн есть только карта, на которую я кидаю небольшую сумму для разных там переводов. Поэтому взломщикам я абсолютно не интересен
avatar
Исанмесез дуслар !!
Исанмесез дуслар !!, А у меня там брокерский счет поэтому не весело
avatar
10-Q
10-Q, Дык, ограничьте сумму перевода! 
avatar
Исанмесез дуслар !!
Исанмесез дуслар !!, Ограничена до 30 руб в день, в посте я написал почему это не работает
avatar
10-Q
Исанмесез дуслар !!, 

Почему от Суточного лимита на платежи и переводы через Сбербанк Онлайн нет толка?

 

1. Потому что откроется доступ к номерам карт и CVV для вывода денег через онлайн платежи. А если карт нет, то можно создать карточный счет и уже распоряжаться им до получения карты.
2. Потому что можно снять деньги через банкомат без карты, воспользовавшись мобильным приложением

avatar
10-Q
10-Q, А где в Сбере -онлайн можно узнать номер карты и CVV? Лично у меня все скрыта эта информация. Укажите вывод денег с брок. счета на банковский и его тоже скройте.Да, там есть функция сменить счет вывода.Я пробовал, на это уходит примерно 2-3 дня.  
avatar
Исанмесез дуслар !!
Исанмесез дуслар !!, номер карты виден в сбол и приложении, а свв только в приложении.
avatar
BorisTheBlade
BorisTheBlade, Уже и в СБОЛ все видно
avatar
10-Q
При перевыпуске сим-карты на сутки блокируется получение сообщений с коротких номеров. Чем не решение?
avatar
₽100
₽100, Большинство людей в такой схеме лишают свободы
avatar
10-Q
10-Q, какой свободы? Нужно срочно что-то перевести — иди к банкомату
avatar
₽100
₽100, Вот в том то и дело что ничего переводить не надо, скрутили, держат в подвале, через 24 часа все распродают и выводят
avatar
10-Q
10-Q, человек в подвале расскажет все пароли и даст все доступы. Жизнь — она одна
avatar
₽100
₽100, Тут дело в том что схема с перевыпуском SIM очень заманчива, а «по закону» посадить любого очень просто
avatar
10-Q
10-Q, если вас скрутили и держат в подвале, то сохранность активов — это меньшее, что вас должно волновать в подобной ситуации.
avatar
work tasks
Дмитрий Zы, Большинство не осознает этого. На оператора связи вешается излишняя ответственность, у них нет таких денег на безопасность они еле успевают обновить свое оборудование
avatar
10-Q
+2
Дмитрий Zы, Банк должен защищать деньги клиентов, а не подсовывать бумажки снимающих с себя ответственность
avatar
10-Q
Дмитрий Zы, Банки конкурируют сегодня жестко поэтому высота стен у всех банков сегодня 5 метров, деваться некуда, можно только увеличить до 15 сразу, хотя я предлагаю оставить 5 метров, но на это банку забить, он же плюнул на клиентов, все равно МТС условный ответит с отрицательным капиталом, хотя клиент не будет виноват. Свои данные он берег, даже Лимиты все включил, рассчитывая что от них есть толк
avatar
10-Q
Дмитрий Zы, И почему тот кто возвел 5 метров стену перекладывает ответственность с себя? Что за стандарты?
avatar
10-Q
+1
Дмитрий Zы, Если деньги выведены со счета против воли клиента, и клиент в этом не виноват, виноват банк
avatar
10-Q
Дмитрий Zы, Приходит клиент в банк
— Помогите украли деньги, я не виноват
-Виноваты
-Как?
— Виноваты в том что выбрали наш банк
avatar
10-Q
А как делают перевыпуск сим-карты?
avatar
prescott
prescott, В даркнете предлагают, говорят, за 6000 р, я не знаю как
avatar
10-Q
Какой-то бред сумасшедшего. Особенно, как начал рассуждать про удерживание в подвале три дня )). Надо вначале с логикой разобраться — удобство и риски. Все можно сделать и брелки и криптографию и восстановление через личное посещение. Только, для сведения аффтора, самый главный риск — взлом мозга клиента, это не устранит. Равно как пытки, шантаж и т, п. В Сбере такой контингент, что половина не знает даже что такое онлайн-банк и платят все на почте. Им только аутентификации не хватало посложней )).
P.S. Я еще раз перечитал бред… Аффтор в курсе что прямо сейчас через банкомат можно получить логин и пароль? Внезапно, как несколько лет тому назад? Надобно СМС-ки запретить?
avatar
Иванов Петр
+1
Всего лишь надо сделать возможность решать клиенту какие функции можно активировать, а какие наоборот.
Например ставишь в ЛК галочку, что при смене пароля, телефона, для снятия галочки и т.д. — обязательно личное присутствие в отделении банка.
Или делаешь запрет на перевод денег онлайн. (многие пользуются картой чисто для покупок в магазинах.) . 

avatar
Курц
Курц, Я за опциональность и банк тоже идет по этому пути но медленно, запрет на переводы онлайн действовал пока не появилось больше возможностей и опций которые позволили его обходить, об этом в самом начале поста
avatar
10-Q
а заявление на запрет действий по доверенности как с гражданским кодексом согласуется? статья 22 3. Полный или частичный отказ гражданина от правоспособности или дееспособности и другие сделки, направленные на ограничение правоспособности или дееспособности, ничтожны, за исключением случаев, когда такие сделки допускаются законом.
avatar
Иван Иванов
Иван Иванов, Не поможет, паспорт подделывают либо вовсе просто перевыпускают в сговоре с сотрудниками мобилки без всяких документов
avatar
10-Q
+1
в одном банке, где наша контора оформила зарплатные карты я обнаружил, что карты не защищена от интернет покупок.Т.е. вообще беззащитна. Когда я обратился в техподдержку чтобы прояснить вопрос, там мне написали, что заняты стабильностью приложения, на денежные средства клиентов насрать.
Я уже сменил пару карт, т.к. заметил нездоровую активность в отношении их. Деньги по приходу сразу перекидываю на простой счет, без карты который.
avatar
Клетчатый
Клетчатый, В этой истории от вас что то зависит хотя бы
avatar
10-Q
10-Q, есть некоторые нюансы, которые не относятся к теме статьи
avatar
Клетчатый
Клетчатый, Я просто хотел этим показать что пользователь банка беззащитен что бы он не предпринимал 
avatar
10-Q
10-Q, не совсем так, поменьше активности в онлайне и все будет тип топ. Знаю таких людей, которые ведут себя очень тихо во всемирной сети и у них все заипись, ноу проблем.
А есть те, вроде меня, у которых свербит в одном месте, они получают больше всех пистюлей.
avatar
Клетчатый
Полезная инфа
Мне в феврале нужно будет перевыпускать мировскую карту сбера  Причём в службе поддержки сказали что нужна новая карта и текуща не продлевается, а в офисе местном пару месяцев назад говорили что продлить можно Придётся разбираться
avatar
Алекс
+1
Алекс, Да, там у них кажется тарифы по картам ужесточаются, могут перезаключить договор на новый тариф
avatar
10-Q
10-Q, да, перевыпуск карты это теперь целый квэст Думаю потому и старую могут не продлить 
avatar
Алекс
Дмитрий Zы, вот вы ерунду пишете. Вы ставите сигнализацию на квартиру, вам дают на выбор любую, вы выбираете, а потом оказывается, что датчик или передатчик сигналки блокируются простыми действиями (простой глушилкой) или от отключения/сбоя энергии умирает как нибудь. Вы об этом знали? Вы должны разбираться в схемотехнике, помехозащищенности? Вы простой токарь или кассир. И вы виноваты — здравствуйте.
avatar
Вульф
VictorGromov, сейчас еще есть получение дубликата симкарты на безсимовый телефон, тоже тема. через личный кабинет делается. самая главная защита это никому никогда не сообщать никакие коды из смс, хоть там сам кинг конг просит.
avatar
BorisTheBlade
а что толку с поста? Так-то информативно. Но об этом еще декаб писал подробно. Что безопасность счетов = отсутствию возможности восстановления пароля с симкарты. Этого нигде нет. Банкиры даже если прийти и потребовать сделать персональный токен типа флешки с доступом в онлайн — отказывают. Ты проблему верно описал. Но что предлагаешь делать практически? Причем не как решить проблему со стороны банков. они этого делать не станут. Что клиентам банков-то делать? Ты как видишь решение?   А то что толку то мусолить без решения. У тебя есть выход из ситуации?
avatar
Crogall
Crogall, Исправил блок решения, — последние абзацы

Решение может быть таким:

 Если надо восстановить доступ через СМСку клиент идет в банкомат и щелкает переключатель в настройках что готов восстановить по СМСке, через 24 часа опция перестает действовать, то есть что бы снова восстановить доступ по СМСке — опять в банкомат щелкать переключатель
(В Сбербанке защиты паролем вообще нет, используется номер карты который известен например сотрудникам банка, то есть я к тому что уникальный пароль известный только пользователю и не сгенерированный должен быть обязательно иначе не получится)

Еще как вариант: В банкомате генерируется временный код для сброса пароля. Но это менее надежно, наверное, я так думаю. Так как его можно подобрать за то время пока он будет действовать.

avatar
10-Q
10-Q, если я тебя правильно понял. Ты предлагаешь отключать смс доступ на 24 часа каждый день с помощью банкомата (если честно, верхнее сообщение не понял вовсе что это значит). 
avatar
Crogall
Crogall, отключать онлайн банкинг, переходить на наличку и платежные поручения. Или, если проще, основные деньги держать на оффлайн счетах (где отключен интернет банкинг), а на текущие расходы пользоваться как обычно
avatar
Иван Иванов

Иван Иванов, разумно. Но можно-ли разделить счета в пределах одного банка. Или ты предлагаешь использовать для текущих расходов другой совершенно банк, сбрасывая туда средства через банкомат или путем платежного поручения.  

 

avatar
Crogall
Crogall, Во-первых обязательно сделать для входа пару Номер_карты/Пароль можно Логин/Пароль или и то и то. Как мне кажется только Номер_карты/Пароль удобнее, не нужно забивать голову лишним «Логином», а еще проще Номер_телефона/пароль чуть менее надежно, но не суть, суть в уникальном пароле который пользователь придумал сам.

При попытке установить приложение и войти на новом устройстве, или через Windows 10 и Chrome пользователь вводит пару Номер_карты/Пароль, на втором этапе СМС код — все как обычно без новых препятствий если он помнит свой пароль

При ситуации в которой пользователь забыл пароль:
Приложение или страница браузера сообщает что для восстановления пароля необходимо в банкомате Сбербанка пройти в меню безопасности так и так туда то и повернуть то то и то, после чего вы сможете пройти процедуру сброса пароля через одноразовый код из СМС (то есть как сейчас) Время, которое сброс пароля будет возможен через СМС ограниченно, если его пропустить/не успеть нужно снова проделать через банкомат тоже самое. В идеале это всего один простой переключатель, а отведенное время 24 — 48 часа
avatar
10-Q
+1
Crogall, ИТОГО потребуется
1 Изменить стандартный способ входа на следующий: НОМЕР_КАРТЫ/ПАРОЛЬ
2 реализовать в банкомате опцию: запрет восстановления пароля через СМС код.
avatar
10-Q
Crogall, в одном вроде нельзя. Потому что согласие на онлайн банкинг на все счета распространяется. Таким образом банкиры сбросили с себя ответственность за наши деньги. Нужно отдельный банк для хранения
avatar
Иван Иванов
Crogall, smart-lab.ru/blog/978042.php на новый пост все заново ввел
avatar
10-Q
Дмитрий Zы, н-да. Клиент установил сигнализацию за свои деньги, а потом зачем то отключил? Сам? С вами все ясно.
avatar
Вульф
Дмитрий Zы, про какие неправильные действия речь?
avatar
Анатолий И.

полезные записи за 24 часа

★49 98 40 уроков 35-летним
★14 4 Куда на фондовом рынке временно парковать деньги. Риск в длинных ОФЗ
★8 21 Самостоятельное путешествие в альплагерь на Алтае⁠⁠. Посчитали в деньгах
★6 89 Ситуация на текущий момент
★5 10 Где дивиденды, НЛМК? История, доходность, дивидендная политика и перспективы НЛМК
★4 0 АСТРА (ASTR). Отчет за 2023г. Акция роста. Дивиденды. Перспективы.
★4 29 С какой скоростью машина каршеринга теряет в цене?
★4 0 Как зарабатывать на инсайдерской торговле?
★3 2 Что будет если торговать по открытому интересу Юридических или Физических лиц во фьючерсе НЕФТИ? Сравнение
★3 4 ✂️«Не исключаем сохранения текущей ключевой ставки до конца года» Глава ЦБ
+275 98 40 уроков 35-летним
+163 89 Ситуация на текущий момент
+102 62 Индекс МБ сегодня
+95 39 Азия. Суббота.
+65 10 💼 МТС банк распределил акции
+65 0 230 бесплатных роботов для HTX API.
+57 4 Куда на фондовом рынке временно парковать деньги. Риск в длинных ОФЗ
+51 0 Тинькофф инвест API. Обновление подключения. Добавлены слои безопасного хранения ордеров.
+50 16 🔔 Финансовый отчёт Артген биотех
+46 29 С какой скоростью машина каршеринга теряет в цене?

самые обсуждаемые сегодня

98к 40 уроков 35-летним
89к Ситуация на текущий момент
62к Индекс МБ сегодня
52к Неужели здесь всего лишь с десяток трейдеров торгующих на Форекс? Это какой-то капец. -Ау! -Вы где подевались?
39к Азия. Суббота.
23к Прогноз Банка РФ.
23к Возможно, самая большая ошибка в алготрейдинге
21к Санкции? А они вообще работают?
20к Бумага с потенциалом, которую никто не видит...
21к Самостоятельное путешествие в альплагерь на Алтае⁠⁠. Посчитали в деньгах

теги блога 10-Q

....все тэги



UPDONW
Новый дизайн