Transferwise переименовался в Wise, но не поумнел

Apr 21, 2021 15:41

Мы выпили жизнь, но не стали мудрей... Мы прожили смерть, но не стали моложе

Уже несколько лет я пользуюсь системой Transferwise для переводов между различными банковскими счетами (просто потому, что это - одно из самых удобных и дешевых решений).
До недавнего времени у них не было двухфакторной аутентификации (видимо, они не подпадали под действие PCIDSS, так как занималась только переводами, а не платежами).
Но вот TW раздуплился собственной платежной картой, призванной составить конкуренцию Revolut, и писиайдиэсэс пришел к ним.

Возникла необходимость в двухфакторной аутентификации для клиентов. И что же сделали эти товарищи? Не придумали ничего лучше, чем заставить пользователей регистрировать свои номера телефонов для отсылки кодов верификации по смс!
И это при том, что после опубликования официальной статьи NIST в 2016м году, не рекомендовавшей отсылку смс-кодов в качестве 2FA, о проблемах с безопасностью смс не писал только ленивый: от специализированных компьютерных изданий до Forbes и NY Times.

После того, как 2FA в TW стала принудительной даже для тех пользователей, кто не заказывал себе карту, я написала письмо в службу поддержки и спросила, можно ли использовать в качестве 2FA пуш-уведомления или OTP-решения, типа google authenticator.
Да, но только в том случае, если вы сначала привяжете свой номер телефона, - ответили мне.

Копия ответа приведена ниже:
You could follow the steps below to see how to set up a 2-step login:
- Download the Wise app if you don’t have it already, and log in
- Go through the steps to set up 2-step login by SMS
- Go back to Settings
- Click 2-step login, then register the device

Вот мне непонятно, почему нельзя зарегистрировать девайс в обход смс, сгенерировав QR-код в личном кабинете (Transfer)Wise ? Зачем собирать лишние персональные данные о пользователях?
Плюс, нигде в руководстве пользователя нет инструкции по настройке 2FA в приложении, а это значит, что большинство юзеров так и будут пользоваться небезопасной sms2fa.
Зато мы PCIDSS-compliant, блин!

PS Хотела себе заказать эту новую карту, но теперь не буду

security, finances

Previous post Next post
Up