Тоже безопасность

Давайте тупо ради теории прикинем: приехать в западную часть западного крыма, где еле берёт сотовая связь, организовать операцию по захвату десять-двадцать-сорок с меня. Без единственной гарантии на успех. Там несколько факторов должно сойтись.

Повторяю вопрос: мне надо 6 цыфер в смс, чтоб соседке тыщу за само... напитки переслать?

1. сумма на количество цифр кода не влияет
2. значительно
3. нет

Лаконично и исчерпывающе. Спасибо.

Но заморачиваться на каждого пенсионера имхо избыточные расходы.

Избыточные расходы - это то что ты предлагаешь - разные алгоритмы для разных сумм. Два разных алгоритма дороже сделать и сложнее проверить!
Поэтому все делают 1 алгоритм для любых сумм.

Ещё вариант:

В банке пусть X клиентов. Из них, в период действия кода, операций по карте, требующих СМС подтвежрдения, может совершить Y. Если четырёх цифр (с каким-то запасом на случай «кто-то неправильно несколько раз ввёл», «кто-то сразу верно ввёл», «кто-то до последней секунды не вводил») хватает обеспечить весь Y уникальными кодами — хватит четырёх. Не хватит — 6. Не хватит 6 — будет 8 или вообще 9.

6 цифр тяжелей запомнить. Ты едешь в маршрутке, а условный злоумышленник с тобой. Ты сидишь, а он стоит над тобой. Он вводит твой номер телефона для доступа к мобильному банку, ему приходит подтверждение, ты открываешь и злоумышленнику тяжелей будет запомнить и забить себе 6 цифр, нежели 4, тем более время сколько жертва будет читать смс неизвестна. Как варик просто.

Потому, что 3DSecure штука опциональная и применяется больше для защиты продавца от лёгкого возврата денег клиентом (типа вот он подтвердил, значит точно он, а не кто-то там). Снять деньги могут и без всякого кода чисто по данным карты

Это мне уже в банке объяснили после попадалова.

насколько это повышает безопасность?

/0

есть примеры перехвата

Дубликат симки.

Фемтосота рядом с пациентом или клонированная симка и ты выиграл джекпот.

О, про дубликат тоже интересно. Если кто-то переводит что-то не туда, на оригинал симки тоже придёт оповещение или нет?

Все же получают от банков смс с цыферками для подтверждения операций?

последние почти лет 15, это не цифирки, а формально простая (упрощеная) «цифровая подпись» которая приравнивается к твоей ручной подписи в документе. по крайней мере по законам РФ.

почему одним на крупные суммы хватает четырёх цифр, а другим на маленькие надо шесть?

а на реально крупные только аппаратный токен (штука которая готовит ответные коды после введенных), или ножками топать в банк.

В чом смысл уникальные делать?

Вопрос-2:

насколько это повышает безопасность?

Это не защита. А огромная дыра в безопасности.

Еще одна жертва как бы двухфакторной аутентификации с sms

EFF to FCC: SS7 is Vulnerable, and Telecoms Must Acknowledge That

То же самое с банковской безопасностью. На мелочь (например настраиваемую в лк, до тыщи например) не надо ничего. На крупную 2фа. На особо крупную надо лично позвонить в банк и предъявить что это ты.

Оно вроде приблизительно и работает, во всяком случае у некоторых банков.

Достоверно не знаю. Могу лишь гадать, как и с предположением о «выдать каждому уникальный».
Может в требованиях регулятора есть «…позволяющий однозначно идентифицировать…» или подобное. Надо чтобы кто-то из банка отписался в треде.

Просто вариант «надо как у X, но лучше, а больше — всегда лучше» совсем не нравится.

В основном стоит беспокоиться о перевыпуске сим-карты, ну и не хранить все средства на одном счете. Банально, но вектор SS7 в целом нецелесообразен, если у тебя меньше 9млн. рублей на счете.

Да и банально, есть более дешевые варианты опять же те же сотрудники безопасности которые тебе звонят и предлагают перевести на «безопасный счет»