(no subject)

[dzz]

Некоторым кажется, что чем навороченнее система безопасности, тем она безопаснее. Характерный пример - любимый Райффайзенбанк и его мобильный и web-клиенты.

В мобильном клиенте приходит сообщение "пора сменить пароль". Пароль есть. Только в мобильном клиенте вводить его нельзя, патамушта "вам удобнее вводить 4-значный пинкод", без вариантов. Но поменять его нужно, хотя мы всячески не даём вам его вводить. Пароль можно ввести в web-клиенте. И логин тоже. Только этого недостаточно, извольте получить одноразовый пароль по SMS. Сменили пароль? Отлично, теперь введите его в мобильном клиенте и смените ещё и пин-код.

При этом то, что подсмотреть 4-значный пин-код на экране мобильника проще, чем 15-значный пароль, банк особенно не волнует.

Comments

[jno2004.livejournal.com]

У них и мобильный есть? Бгг!

[dzz.livejournal.com]

У кого его нет сейчас из розничных банков?
Однако, тренд.

[jno2004.livejournal.com]

А фиг знает. Меня заставили в сбере их хрень поставить для открытия счёта (нужен был для подписи документов). Так там даже сбп не работает - что-то ещё подключить надо. Думал, хоть за такси заплатить можно будет, а хрен там.
У райфа мне и веб-версии хватает.

[dzz.livejournal.com]

Эмм, у Сбера СБП работает, включается в этом же мобильном клиенте.

[jno2004.livejournal.com]

"Просто так" - нет.

Может, конечно, "уже нет".

[dzz.livejournal.com]

Странно, я себе его просто так включил три года назад.

Райфоовским мобильным клиентом я пользуюсь на ходу, он поудобнее вебки.

[jno2004.livejournal.com]

На ходу я пользуюсь карточкой 😁

[dzz.livejournal.com]

Закинь ребёнку денежку на счёт с карточки :)

[jno2004.livejournal.com]

Мой отдельно живёт

[a-konst.livejournal.com]

Более того, меня прямо таки заставили поставить райффовский мобильный клиент, без него счет открывать не хотели. Но это было относительно недавно.

[dzz.livejournal.com]

У меня счёт в райффайзене с 2006 года, тогда не только мобильных клиент-банков, но и смартфонов толком не было :)

[aceler.livejournal.com]

Стандартная схема защиты приложений в Android — 4-значный PIN, который хранится в хранилище самого Android под пальцем. Современные пользователи не вводят ни PIN, ни пароль, они жмут пальцем.

Зачем при этом нужен ещё какой-то пароль, который надо менять — это вопрос.

[dzz.livejournal.com]

Ну, тут нужно рассматривать ситуацию в историческом разрезе.

Сначала был логин-пароль в веб-клиенте. И никакого телефона.

Потом появился мобильный клиент с логином-паролем. Логин запоминался при первом вводе, пароль нужно было вводить каждый раз.

После этого кто-то решил, что пароль — слишком утомительно для юзеров. В мобильном клиенте сделали пин-код поверх пароля. Т.е. при первом вводе запоминаются логин и пароль, после чего вход в приложение работает по 4-значному пин-коду, но логин и пароль используются при установлении сессии.

Чуть позднее мобильный клиент стал предлагать сохранить пин-код под пальцем.

И в качестве вишенки на торте теперь предлагают ввести код из СМС при входе по логину-паролю в web-морду.

При этом пароль настоятельно советуют периодически менять как в вебке, так и в мобилке (постоянно всплывает нудная подсказка).

В общем, глубоко эшелонированная система безопасности :)

P.S. По мне, так ввести длинный пароль — вообще не проблема, но я олдфаг и не понимаю боли современного массового пользователя :)))

[dixi.livejournal.com]

Я вот так вот в итоге лишился доступа в райфовский клиент.

потому что безопасникам зачем-то нужно заставлять каждый год менять пароль.

я поменял. но для входа кроме пароля нужен код из смс, а номер недоступен для смс, и прийти в офис банка чтобы поменять номер тоже нельзя.

и все, клинч.