Про SmartID Приватбанка
Попались на глаза материалы Приватбанка о его новой любимой погремушке, SmartID. Облачная цифровая подпись, настоящая КЭП, все дела. "Новий сервіс дозволяє відмовитися від необхідності носіння і зберігання секретних ключів на токенах, flash-носіях або smart-картах". Мир никогда не будет прежним, короче. Презентация сервиса и сессия ответов на вопросы здесь.
Что мы видим? Для начала, мы снова видим предоставление КЭП всякому, у кого есть возможность зайти в Приват24, т.е. имеющему возможность аутентифицироваться в BankID Приватбанка. Должен напомнить, что BankID обеспечивает всего лишь средний уровень доверия и вовсе не случайно. Полгода назад я лично столкнулся с тем, что для получения ключей суррогатной КЭП Приватбанка достаточно располагать номером телефона, который несколько лет назад был ассоциирован с учётной записью Приват24. Подробности найдёте в этом материале в разделе "BankID и "одночасна идентификация".
В прошлом году мне встретились два свидетельства о том, как владельцы свежеприобретённых номеров мобильной связи при попытке зарегистрировать на них Приват24 сталкивались с тем, что эти номера уже были использованы для этого ранее. То есть предыдущие владельцы по каким-то причинам отказались от финансового номера, который продолжил жить своей жизнью вместе с доступом к уже существующим учётным записям.
Сегодня, изучая творчество Дениса Зикеева, обнаружил пересказ его доклада, в котором он как эксперт по риск-менеджменту на рынке финансовых услуг утверждает об устойчивой практике завладения учётными данными BankID/Приват24 именно за счёт "прочёсывания" поступивших в продажу номеров мобильной связи.
Таким образом, вся вообще идеология использования BankID Приватбанка как "практически надёжной" и "проверенной временем" замены полноценных KYC-процедур скомпрометирована не только теоретически, но и на практике. Соответственно все эти SmartID, что самого Приватбанка, что анонсированная в рамках мобильного приложения Дия, а также BankID и собственно Дия - всё это оказывается построенным на песке. Как и было предсказано ещё на этапе запуска.
Должен сказать, что меня не перестаёт изумлять эта тупая настойчивость, с которой некоторые люди снова и снова испытывают окружающий мир на прочность. Уж сколько раз твердили миру - двухфакторная авторизация это про использование двух факторов различной природы. Различной, чёрт побери, что неясно?!!
Например, в качестве одного из факторов используется некий артефакт, которым вы обладаете, физически его контролируете, а фактором номер два - некие сведения, которые знаете только вы и провайдер услуг авторизации. "Мы так и сделали", - квакают в ответ вроде бы квалифицированные представители вроде бы больших и вменяемых учреждений, - "у нас используется номер мобильной связи и пароль". Опа! "Что будет, если пользователь забыл пароль? - Он может восстановить его по номеру мобильного". И глазками так хлоп-хлоп, типа, а шо такое?!
Что мы видим? Для начала, мы снова видим предоставление КЭП всякому, у кого есть возможность зайти в Приват24, т.е. имеющему возможность аутентифицироваться в BankID Приватбанка. Должен напомнить, что BankID обеспечивает всего лишь средний уровень доверия и вовсе не случайно. Полгода назад я лично столкнулся с тем, что для получения ключей суррогатной КЭП Приватбанка достаточно располагать номером телефона, который несколько лет назад был ассоциирован с учётной записью Приват24. Подробности найдёте в этом материале в разделе "BankID и "одночасна идентификация".
В прошлом году мне встретились два свидетельства о том, как владельцы свежеприобретённых номеров мобильной связи при попытке зарегистрировать на них Приват24 сталкивались с тем, что эти номера уже были использованы для этого ранее. То есть предыдущие владельцы по каким-то причинам отказались от финансового номера, который продолжил жить своей жизнью вместе с доступом к уже существующим учётным записям.
Сегодня, изучая творчество Дениса Зикеева, обнаружил пересказ его доклада, в котором он как эксперт по риск-менеджменту на рынке финансовых услуг утверждает об устойчивой практике завладения учётными данными BankID/Приват24 именно за счёт "прочёсывания" поступивших в продажу номеров мобильной связи.
Таким образом, вся вообще идеология использования BankID Приватбанка как "практически надёжной" и "проверенной временем" замены полноценных KYC-процедур скомпрометирована не только теоретически, но и на практике. Соответственно все эти SmartID, что самого Приватбанка, что анонсированная в рамках мобильного приложения Дия, а также BankID и собственно Дия - всё это оказывается построенным на песке. Как и было предсказано ещё на этапе запуска.
Должен сказать, что меня не перестаёт изумлять эта тупая настойчивость, с которой некоторые люди снова и снова испытывают окружающий мир на прочность. Уж сколько раз твердили миру - двухфакторная авторизация это про использование двух факторов различной природы. Различной, чёрт побери, что неясно?!!
Например, в качестве одного из факторов используется некий артефакт, которым вы обладаете, физически его контролируете, а фактором номер два - некие сведения, которые знаете только вы и провайдер услуг авторизации. "Мы так и сделали", - квакают в ответ вроде бы квалифицированные представители вроде бы больших и вменяемых учреждений, - "у нас используется номер мобильной связи и пароль". Опа! "Что будет, если пользователь забыл пароль? - Он может восстановить его по номеру мобильного". И глазками так хлоп-хлоп, типа, а шо такое?!