[Robot_NagNews]

Материал: Сотовых операторов связи планируют обязать предоставлять информацию о замене сим-карт в банки. Законопроект может быть принят во втором чтении уже этой осенью пишут “Известия”. Полный текст

[jffulcrum]

>Мошенники нередко прибегают к схеме, когда без ведома владельца меняется сим-карта и они получают доступ к онлайн-банкингу Владелец при этом не меняется по документам, нечего сообщать в банк

[Sergey Gilfanov]

36 минут назад, jffulcrum сказал:

>Мошенники нередко прибегают к схеме, когда без ведома владельца меняется сим-карта и они получают доступ к онлайн-банкингу Владелец при этом не меняется по документам, нечего сообщать в банк

Гораздо полезнее было бы вообще сильно ограничить авторизацию, основанную на вере, что сим-карта привязана к человеку. 

 

У каждого уже карта - чипованная, а USB ридер для чтения этого чипа рублей 200 стоит, если массово закупать. Можно и нужно их использовать. Тем более что при правильной стандартизации он всего один на все банки/карты нужен.

И да - заставить  банки внедрить способы подтверждения себя перед клиентом. Чтобы можно было проверить, что это именно банк звонит, а не мошенники.

[jffulcrum]

6 часов назад, Sergey Gilfanov сказал:

заставить  банки внедрить способы подтверждения себя перед клиентом. Чтобы можно было проверить, что это именно банк звонит, а не мошенники.

В телефонии это никак. В ЕСИА засунуть всех?

[Sergey Gilfanov]

10 часов назад, jffulcrum сказал:

В телефонии это никак.

А причем тут телефония? Считаем ее заведомо недостаточно безопасной и придумываем протокол из этих соображений. Можно, скажем, скретч-карты клиентам раздать вместе  с карточками. Сотрудник банка звонит, говорит код и номер еще не использованной записи, человек стирает защитное покрытие и проверяет, что код совпадает. Или банк шлет крипто-sms, которую уже сам телефон самостоятельно проверяет и подтверждает что отправитель - тот, за кого себя выдает.

10 часов назад, jffulcrum сказал:

В ЕСИА засунуть всех?

Не нужно ЕСИА. У человека уже на руках карточка с защищенным хранилищем и процессором. Можно пользоваться этим же чипом в карте, чтобы генерировать одноразовые пароли не только про обращении клиент->банк, но и при общении банк->клиент.

Ну или просто про посещении банка/использовании банкомата можно инициализировать ключи в приложении-аутентификаторе. Только не надо про то, что некоторые люди смартами не пользуются. Таких, во первых, почти не осталось просто потому что не осталось нормальных телефонов-не смартов. И, во вторых, "приложение-аутентификатор" можно сделать отдельной мелкой железкой не крупнее и не дороже мелкого калькулятора. Которую при желании получаем в том же банке.

 

[alibek]

18 минут назад, Sergey Gilfanov сказал:

и не дороже мелкого калькулятора

Ага, конечно.

[Sergey Gilfanov]

1 минуту назад, alibek сказал:

Ага, конечно.

А с чего бы дороже и крупнее быть? Защищенный процессор уже есть - в карте стоит. А интерфейс к нему мелкими микроконтроллером делается.

[alibek]

Какое-то время назад был зарплатный проект в Россельхозбанке.

В принципе криптокалькуляторы у них были. Но физические нужно было покупать (стоимость не помню, но вроде бы порядка 2-3 тысяч), и для их получения нужно было пройти квест.

[SyJet]

Мой банк и моя карта. Все уже давно есть. Просто нечего всякими сберами пользоваться

 

[LostSoul]

В 17.09.2020 в 14:29, Robot_NagNews сказал:

Материал: Сотовых операторов связи планируют обязать предоставлять информацию о замене сим-карт в банки. Законопроект может быть принят во втором чтении уже этой осенью пишут “Известия”. Полный текст

они и так ее предоставляют через HDR запрос и большинство банков и так проверяет указанную инфу. правда не каждую операцию, а в целях экономии по определенным эверестическим алгоритмам оптимизации.

сделали бы просто законопроект чтоб HDR запросы банкам предоставлять бесплатно.  а еще каршарингам и прочей мутотени.

Однако все равно все придет через некоторое время от Яндекс Деньги , Яндекс Драйв и Яндекс Заправка  к Яндекс-Кампус , Яндекс-Детский сад , Яндекс-поликлиника , Яндекс-Роддом  и в конечном итоге Яндекс-государство.    Человек с рождения будет рождаться в кредит у корпорации и потом отрабатывать пол жизни.

 

[Sergey Gilfanov]

27 минут назад, SyJet сказал:

Мой банк и моя карта. Все уже давно есть

Это усложняет саму карту. Лучше все-таки когда карта-отдельно, кнопочки и экран - отдельно. Устройство с кнопочками, разумеется, должно быть универсальным и походить к любой банковской карте. Где-то как на этой картинке.

[Andrei]

3 часа назад, SyJet сказал:

Мой банк и моя карта.

А в чем фишка карты? Я реально не понимаю.

[Sergey Gilfanov]

8 минут назад, Andrei сказал:

А в чем фишка карты? Я реально не понимаю.

Она одновременно служит криптокалькулятором для одноразовых кодов (тех самых, которые так любят по SMS слать). Цифры и кнопки на ней - работающие, а не картинка.

[Andrei]

Так. И как этим пользоваться? Не понимаю.

[Sergey Gilfanov]

Только что, Andrei сказал:

Так. И как этим пользоваться? Не понимаю.

Где-то так (Yutube)

[jffulcrum]

56 минут назад, Sergey Gilfanov сказал:

Где-то так (Yutube)

2009 год, что характерно.

[Sergey Gilfanov]

5 минут назад, jffulcrum сказал:

2009 год, что характерно.

Ну, тогда eInk еще во все дырки, которые можно, пыталась пролезть и рекламировалось. Я его в качестве ключевого слова для поиска использовал. Понятия не имею, как оно правильно называется, чтобы более новые варианты найти.

[Andrei]

Хм... Не вижу для себя практического применения. Ладно, видимо это из другой жизни, не моей :)

[Sergey Gilfanov]

10 минут назад, Andrei сказал:

Хм... Не вижу для себя практического применения. Ладно, видимо это из другой жизни, не моей :)

Так оно средство массовой защиты. Если принудить банки пользоваться подобными штуками - то целая куча мошенничества, включая "вам звонят из службы безопасности", существенно затрудниться.

[straus]

6 часов назад, LostSoul сказал:

Человек с рождения будет рождаться в кредит у корпорации и потом отрабатывать пол жизни

Всю жизнь. А оставшиеся долги повесим на детей.
 

[fhunter]

В 18.09.2020 в 19:11, Sergey Gilfanov сказал:

Ну, тогда eInk еще во все дырки, которые можно, пыталась пролезть и рекламировалось. Я его в качестве ключевого слова для поиска использовал. Понятия не имею, как оно правильно называется, чтобы более новые варианты найти.

Может быть не eInk, а бистабильный ЖК. https://en.wikipedia.org/wiki/Cholesteric_liquid_crystal

https://en.wikipedia.org/wiki/Liquid-crystal_display#"Zero-power"_(bistable)_displays

 

В 18.09.2020 в 20:40, Andrei сказал:

Хм... Не вижу для себя практического применения. Ладно, видимо это из другой жизни, не моей :) 

Полный уход от кодов из СМС (которые и перехватываются и не всегда нормально доходят), как минимум. Динамический CVV, и много чего ещё.