Сбербанк поспешил обезопаситься после проблемки с TELE2
Сейчас многие услуги через интернет завязаны на телефонный номер, смс для подтверждения быстро и удобно.
При этом почему-то считается что телефонный номер идентификатор круче чем традиционная система "паспорт+фейс".
Однако как недавно всплыло, существуют такие операторы которые при выдаче\замене симки могут вообще паспорт не смотреть, пример на хабре http://habrahabr.ru/post/207858/
И не факт что работники других телефонных контор более разборчивы и требовательны при замене сим-карты.
Рассмотрим систему сбербанк-онлайн, вход в систему где все деньги лежат осуществляется по "логин+пароль", логин кажется дают при подключении, а пароль потом клянчить у оператора... пароль дают несильно сложный (на интернет сложнее обычно), и думаю его мало кто меняет. А дальше идёт та самая авторизация по СМС или по кодам с чеков (кто их вообще использует?!).
Предположим что злоумышленнику стала известна пара логин-пароль от онлайна некоторого лица, номер телефона этого лица узнать не так сложно - его обычно не особо скрывают, значит можно заявится в салон к оператору - и попытаться достать новую симку взамен утеряной\сломавшейся с наличием паспортных данных или без оных - это самый тонкий момент этой истории... а вдруг работник этот последний день работает или устал очень и не будет сильно подозрительным?!
Возвращаясь к своей истории... у меня 23 декабря 2013 ночью отвалилась симка МТС... ну не видит сеть её и всё, после работы сходил заменил, просили паспорт и подписать бумажку, всё.
После чего сбербанк-онлайн работал до сего дня.... я даже напрягся... а вдруг меня не просто так выкинуло из системы, а кто-то вместо меня новую симку получил и пользует?!
То есть сбербанк через почти месяц после смены сим-карты каким-то образом чухнул что симка другая (полагаю что не без ведома того же самого оператора, так как id симки гарантировано можно узнать только у него), впустив меня в сбербанк-онлайн и на втором запросе СМС-пароля вывалился в вот такое сообщение:
Ну OK, лучше поздно чем никогда, надеюсь в новом году такая фишка будет работать сразу после смены сим-карты.... интересно как это технически будет реализоваться у сотовых операторов...потому как в текущей системе авторизации в домашнего клиент-банка самое слабое звено это как раз работник оператора связи который заменяет сим-карту.... для банка как-то не серьёзно.
Звонок оператору со старым чеком и паспортными данными тоже так-себе защита, но и дополнительное палево для злоумышленников )))) хотя чек часто можно в мусорке найти, а паспортные данные могут быть известны...
При этом почему-то считается что телефонный номер идентификатор круче чем традиционная система "паспорт+фейс".
Однако как недавно всплыло, существуют такие операторы которые при выдаче\замене симки могут вообще паспорт не смотреть, пример на хабре http://habrahabr.ru/post/207858/
И не факт что работники других телефонных контор более разборчивы и требовательны при замене сим-карты.
Рассмотрим систему сбербанк-онлайн, вход в систему где все деньги лежат осуществляется по "логин+пароль", логин кажется дают при подключении, а пароль потом клянчить у оператора... пароль дают несильно сложный (на интернет сложнее обычно), и думаю его мало кто меняет. А дальше идёт та самая авторизация по СМС или по кодам с чеков (кто их вообще использует?!).
Предположим что злоумышленнику стала известна пара логин-пароль от онлайна некоторого лица, номер телефона этого лица узнать не так сложно - его обычно не особо скрывают, значит можно заявится в салон к оператору - и попытаться достать новую симку взамен утеряной\сломавшейся с наличием паспортных данных или без оных - это самый тонкий момент этой истории... а вдруг работник этот последний день работает или устал очень и не будет сильно подозрительным?!
Возвращаясь к своей истории... у меня 23 декабря 2013 ночью отвалилась симка МТС... ну не видит сеть её и всё, после работы сходил заменил, просили паспорт и подписать бумажку, всё.
После чего сбербанк-онлайн работал до сего дня.... я даже напрягся... а вдруг меня не просто так выкинуло из системы, а кто-то вместо меня новую симку получил и пользует?!
То есть сбербанк через почти месяц после смены сим-карты каким-то образом чухнул что симка другая (полагаю что не без ведома того же самого оператора, так как id симки гарантировано можно узнать только у него), впустив меня в сбербанк-онлайн и на втором запросе СМС-пароля вывалился в вот такое сообщение:
Ну OK, лучше поздно чем никогда, надеюсь в новом году такая фишка будет работать сразу после смены сим-карты.... интересно как это технически будет реализоваться у сотовых операторов...потому как в текущей системе авторизации в домашнего клиент-банка самое слабое звено это как раз работник оператора связи который заменяет сим-карту.... для банка как-то не серьёзно.
Звонок оператору со старым чеком и паспортными данными тоже так-себе защита, но и дополнительное палево для злоумышленников )))) хотя чек часто можно в мусорке найти, а паспортные данные могут быть известны...