Репутація українського ІТ. Пройти опитування Асоціації IT Ukraine
×Закрыть

Приват24 и цифровой одноразовый пароль

Всем привет.
Хотелось бы услышать мнение знающих людей.

Всем хорошо известна система авторизации приват24. На сайте логинимся через номер телефона и пароль, затем на введённый номер приходит цифровой код, вводим его и получаем доступ. Аналогично пароли подтверждения приходят и для операций перевода средств.

С определённой версии мобильного клиента, одноразовые пароли стали приходить через push-уведомления. Тоесть система пробудет сперва отправить пароль через push и если не получилось отсылает посредством SMS.
Тут всё понятно, экономят на спичкахSMS.
Но у меня например клиент стоит на планшете, с него просто удобнее работать. Оставил планшет дома — в приват24 не зашёл.
Но это не такая уж и проблема — сделать на форме логина галочку — принудительно отправить через SMS.

А вот на прошлой недели, коллега рассказал ещё об одном «улучшении».
Если у Вас установлен Viber, то одноразовый пароль будет отослан на его (Viber) мобильный клиент. В качестве номера отправителя выступает «обычный» номер киевстара.

Вот здесь, описан способ доставки паролей.
conditions-and-rules.privatbank.ua/...​tent-199/?lang=ua&bank=PB
п. 3.8.1.5.
Но это не так важно, договор всегда можно переписать.

Вопрос к специалистам, насколько такая активность привата обоснована с точки зрения безопасности и разглашения персональных данных.
Ведь пересылая через Viber, приват косвенно разглашает номер телефона своего клиента (справедливости ради, тоже происходит и при отправки SMS).
Да и увеличение количества каналов распространения информации и делегирование доставки через push-уведомления третьих сервисов увеличивает количество точек для взлома (взломать публичный сервис проще, чем систему доставки SMS мобильного оператора, наверное).
Ведь по этим каналам передаются пароли входа в систему.

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Я например вообще выпал из бизнеса уехав за границу. МТС не обслуживает меня и значит никогда не войти мне в приват24. А приват морозится не хотят внести новый телефон, говорят скажи код на старом, который здесь не может работать))))))))))

У меня нормально за границей приходили СМС от привата, на МТС. Зависит от страны видимо.

Для этого и есть авторизация через мобильный privat24, подтверждение приходит в приложение ан е через СМС.

прошлой осенью поменял в екаунте привата основной номер телефона на американский +1 от т-мобайл. Все работало прекрасно. Вот недавно хотел залогиниться. И что — же, теперь Приват шлет смс с короткого номера, T-Mobile эти смс с Украины не пропускает (общался с поддержкой банка и мобильного оператора).

Ни дать ни взять — ангина во время месячных...

Если пароль из СМС не вводить некоторое время, то система предложит, что бы Вам позвонили для подтверждения входа

Одноразовый пароль не является персональными данными, № телефона сам по себе или в сочетании с одноразовым паролем не является персональными данными. В чем проблема?
Как по мне, большей проблемой является содержание СМС-уведомлений о движении по счету, особенно когда они отправляются через агрегатора по простому http каналу. Как правило в таких СМС передается место снятия средств, текущий остаток, № и даты контрактов или другое назначение платежа и т.д.
А как иначе можно безопасно осуществить вход в клиент-банк, отправить деньги без СМС-подтверждения и сделать это так, чтобы приложить минимум затрат, максимум безопасности и удобств для большинства клиентов?
Цена токена насколько я помню 7-15$.

№ телефона сам по себе или в сочетании с одноразовым паролем не является персональными данными. В чем проблема?
Прямо нет, но третий сервис содержит информацию сопоставляющую телефон и принадлежность к клиентам привата, вот вам и база для рассылок рекламы другого банка.
А как иначе можно безопасно осуществить вход в клиент-банк, отправить деньги без СМС
Вопрос не к СМС, а насколько «безопасно» делегировать это третьим сервисам.

Доставка одноразовых паролей (ОТР) по SMS — начальная ступень по надежности в мире двухфакторной аутентификации. Большинство сервисов отправки SMS хранят и позволяют увидеть не только номер телефона, но и сообщения, которые были отправлены пользователю. SMS может быть перехвачено, сим-карты могут быть скопированы и т.д и т.п, не говоря уже об увеличении участников в процессе аутентификации, которые могут иметь свои уязвимости.
Еще одной потенциальной уязвимостью может стать генерация ОТР обычным рандомом, вместо использования специальных алгоритмов.
С точки зрения безопасности гораздо надежнее использовать специальные устройства для генерации одноразовых паролей — токены. Они могут быть выполнены как в виде отдельного девайса, так и в виде приложения для смартфонов. Токены никак не коммуницируют с сервером для генерации и проверки ОТР, а некоторые алгоритмы даже позволяют произвести взаимную аутентификацию сервера и пользователя.
Другое дело, что в реализации это сложнее, есть много подводных камней и лучше использовать готовые решения, но они стоят денег.
Некоторые банки выдают токены корпоративным клиентам, но о токенах для простых людей пока не слышал, а жаль. Уже давно хотел бы использовать токен, чтобы защитить свой аккаунт, но, видимо, придется подождать еще. Надеюсь, ситуация изменится в лучшую сторону.

Большинство сервисов отправки SMS хранят и позволяют увидеть не только номер телефона, но и сообщения, которые были отправлены пользователю
По логике, мтс, киевстар и другие операторы должны предоставлять B2B решение с SSL/TLS для отправки SMS или там просто
http://mts.com.ua/send/<phone>/?text=
?

Конечно нет, они работают по соап в большинстве и безопасному транспорту. Скорее всего речь о другом, например о тех поддержке

На счет наших операторов не знаю. Мы смотрели другие SMS-агрегаторы и они используют подобный приведенному Вами метод API .

И еще один камень в огород SMS — они не всегда доходят. А когда начинают приходить пачками — так вообще веселуха )

OTP (который банк) при подключении к их системе OTP Direct выдает токен для генерации OTP (который пароль)

Посмотрел на предлагаемые ими токены, они предлагают RSA SecurID SID 700. У RSA одни из самых высоких цен, как на токены, так и на сам сервис. Цена за токен была от 40 до 60 долларов в зависимости от объема заказа. Б/у токены встречал по $20, но сколько им еще осталось работать и на сколько скомпрометирован их секрет — не известно.
Нашел информацию, что за смену токены ОТР-банк берет 60 и 100 грн в зависимости от клиента. Никто не знает нужно ли платить за выдачу токена?

У меня только карточка у них, когда узнавал за OTP Direct надо было открыть счет ещё и заплатить 100 грн. Только я не помню, это плата за открытие счета или за интернет-банкинг. Я отказался, у них по сравнению с Приват 24 возможностей меньше. Из того что меня остановило — нельзя было покупать доллар через ibank.

Еще в eximb все выглядит технологично и современно (что странно для госбанка, но радует) www.eximb.com/...iladi/#eximpass

Я бы не рекомендовал устанавливать финансовых приложений на планшет или смартфон.

Причина добанального проста:
устройство легко потерять, утопить, помалать, и т.д.

Очумелые ручки (инженера в сервисе или нашедшего) могут получить все данные к Вашим, а иногда и приложениям, а следовательно и к Вашим деньгам.

Например мне крайне неудобно на планшете вводить пароль типа Fl0sMTNlvx что сделает средний пользователь? Правильно сохранит пароль входа....

Дальше додумывайте сами...

Вообще-то в мобильном Приват24 на любую финансовую операцию требуется подтверждение паролем

Я не говорю о Привате.
А писал о подходе :)

Ну тут двояко всё. Удобство vs безопасность.
Безопаснее всего вообще запилить такой счет, с которого можно снять деньги исключительно в отделении банка по предъявлению паспорта. Или в банковской ячейке нал хранить. Но удобство такого способа немножечко хромает :)

Например при оплате приват картой в buycoins подтверждение не надо... Ну хотя да, это не через приват 24.

Я бы не рекомендовал устанавливать финансовых приложений на планшет или смартфон.
Чёрт побери, ну это ж удобно )))
Правильно сохранит пароль входа....
Android клиент привата не запоминает пароли, плюс в настройках можно включить двухфакторную авторизацию и для мобильного клиента.

Вопрос именно в том, что кроме SMS появились дополнительные каналы (push, Viber) по которым могут передаваться пароли.

это тоже причина :)

Стоит отметить, что более важный вопрос не в расспространении личной информации, а именно и безопасности канала доставки кода.

Желание уменьшить количество отправляймых смс, понятно, все таки миллиона 2 смс-ок в день. Но, абсолютно, согласен — UX дизайн у привата слабый.

Всем хорошо известна система авторизации приват24
не всім :)

Двухфакторная авторизация. После введения пароля, просит ввести пароль присланный по смс, на номер указанный при регистрации.

Подписаться на комментарии