LINUX.ORG.RU
ФорумTalks

Тоже безопасность

 


0

1

Все же получают от банков смс с цыферками для подтверждения операций?
Вопрос:
почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?
Вопрос-2:
насколько это повышает безопасность?
Вопрос-3:
есть примеры перехвата, перебора или иного обхода этих циферок, сколько бы их не было?

★★★
Ответ на: комментарий от massimus

Давайте тупо ради теории прикинем: приехать в западную часть западного крыма, где еле берёт сотовая связь, организовать операцию по захвату десять-двадцать-сорок с меня. Без единственной гарантии на успех. Там несколько факторов должно сойтись.

Повторяю вопрос: мне надо 6 цыфер в смс, чтоб соседке тыщу за само... напитки переслать?

massimus ★★★
() автор топика
Ответ на: комментарий от massimus

Но заморачиваться на каждого пенсионера имхо избыточные расходы.

Избыточные расходы - это то что ты предлагаешь - разные алгоритмы для разных сумм. Два разных алгоритма дороже сделать и сложнее проверить!
Поэтому все делают 1 алгоритм для любых сумм.

sigurd ★★★★★
()
Ответ на: комментарий от massimus

Ещё вариант:

В банке пусть X клиентов. Из них, в период действия кода, операций по карте, требующих СМС подтвежрдения, может совершить Y. Если четырёх цифр (с каким-то запасом на случай «кто-то неправильно несколько раз ввёл», «кто-то сразу верно ввёл», «кто-то до последней секунды не вводил») хватает обеспечить весь Y уникальными кодами — хватит четырёх. Не хватит — 6. Не хватит 6 — будет 8 или вообще 9.

mogwai ★★★★★
()

6 цифр тяжелей запомнить. Ты едешь в маршрутке, а условный злоумышленник с тобой. Ты сидишь, а он стоит над тобой. Он вводит твой номер телефона для доступа к мобильному банку, ему приходит подтверждение, ты открываешь и злоумышленнику тяжелей будет запомнить и забить себе 6 цифр, нежели 4, тем более время сколько жертва будет читать смс неизвестна. Как варик просто.

xwicked ★★☆
()
Последнее исправление: xwicked (всего исправлений: 1)
Ответ на: комментарий от u5er

Потому, что 3DSecure штука опциональная и применяется больше для защиты продавца от лёгкого возврата денег клиентом (типа вот он подтвердил, значит точно он, а не кто-то там). Снять деньги могут и без всякого кода чисто по данным карты

nebularia ★★★
()
Ответ на: комментарий от nebularia

Это мне уже в банке объяснили после попадалова.

u5er ★★
()
Ответ на: комментарий от massimus

Фемтосота рядом с пациентом или клонированная симка и ты выиграл джекпот.

slowpony ★★★★★
()
Ответ на: комментарий от Hg194

О, про дубликат тоже интересно. Если кто-то переводит что-то не туда, на оригинал симки тоже придёт оповещение или нет?

massimus ★★★
() автор топика

Все же получают от банков смс с цыферками для подтверждения операций?

последние почти лет 15, это не цифирки, а формально простая (упрощеная) «цифровая подпись» которая приравнивается к твоей ручной подписи в документе. по крайней мере по законам РФ.

n_play
()

почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?

а на реально крупные только аппаратный токен (штука которая готовит ответные коды после введенных), или ножками топать в банк.

n_play
()
Ответ на: комментарий от massimus

То же самое с банковской безопасностью. На мелочь (например настраиваемую в лк, до тыщи например) не надо ничего. На крупную 2фа. На особо крупную надо лично позвонить в банк и предъявить что это ты.

Оно вроде приблизительно и работает, во всяком случае у некоторых банков.

anc ★★★★★
()
Ответ на: комментарий от MagicMirror

Достоверно не знаю. Могу лишь гадать, как и с предположением о «выдать каждому уникальный».
Может в требованиях регулятора есть «…позволяющий однозначно идентифицировать…» или подобное. Надо чтобы кто-то из банка отписался в треде.

Просто вариант «надо как у X, но лучше, а больше — всегда лучше» совсем не нравится.

mogwai ★★★★★
()

В основном стоит беспокоиться о перевыпуске сим-карты, ну и не хранить все средства на одном счете. Банально, но вектор SS7 в целом нецелесообразен, если у тебя меньше 9млн. рублей на счете.

Да и банально, есть более дешевые варианты опять же те же сотрудники безопасности которые тебе звонят и предлагают перевести на «безопасный счет»

anonymous_sama ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)