Всё про интернет-банкинг

[BaRsupillamy]

на мобильном устройстве установить программу для осуществления платежей от Беларусбанка.

его делает сторонняя контора... как и для некоторых других, что вроде как и правильно... каждый должен заниматься своим делом... хотя в случае с Интернет-банкингом у ББ не всё хорошо

[Bill Humble]

Для проведения нового платежа на номер телефона приходит СМС

Не вижу ничего хорошего в смс. Лишнее звено в цепи, не зависящее от банка юридическое лицо. Помню включал авторизацию по смс в вебманях. Однажды надо было что-то быстро купить на распродажах, буквально за минуту. Ввел логин, жду смс. Ее нет. Ввел логин повторно, снова смски нет. Вобщем распродажи закончились без меня. И только после этого посыпались смс.

[ILYHAN]

омню включал авторизацию по смс в вебманях.

Вот напрягает меня это когда ты за пределами страны, а в телефоне симка другого оператора (местного). Что хочешь делай - фиг.
Но, зато безопасно. У коллеги не было смс-потверждения операций подключено. Так вот в январе-феврале угнали со счета 200 000 российских рублей.

[BaRsupillamy]

ILYHAN, безвозвратно? я вроде ещё не слашыл жалоб, чтобы угоняли у ББ или там денег никто не держит

[ILYHAN]

ILYHAN, безвозвратно? я вроде ещё не слашыл жалоб, чтобы угоняли у ББ или там денег никто не держит

Речь идет об электронных деньгах.

[Bill Humble]

Так вот в январе-феврале угнали со счета 200 000 российских рублей.

Держать большие суммы на кошельках в электронных платежных системах - это за гранью моего понимания. Особенно у вебманей, которые зарегистрированы непонятно где, непонятно кем, из собственности имеют два домена, три офиса, четыре сервера и одну гнусную привычку блочить экаунты без объяснения причин.

[ILYHAN]

Особенно у вебманей,

Деньги ушли с ЯДа, но не суть.
А когда ты работаешь в интернет-сфере, то постоянно деньги крутятся. У кого-то больше, у кого-то меньше. Те же мероприятия люди проводят платные, где вход по 500 баксов, и люди ведь берут. А что такое 200к рус? Это всего лишь 11-12 участников мероприятия.

[Mirage]

Почта к чему относится? Вот бы там убрали да и не только за мобильные, а вообще все платежи. А то приходишь получить посылку, а там толпа долбо**в неграмотных стоят платят за всякую фигню, хотя рядом стоят пустые терминалы оплаты которые наличку принимают.

Меня больше всего раздражают очереди на почте и в поликлиниках. Нужно заказное отправить - стоишь по полчаса, если повезет. Но, как правило, больше всего времени занимают не те, кто оплачивает телефон/коммуналку/фигню, а те, кто получает пенсию, ну и заодно, раз уж достоялся, всю эту фигню и оплачивает сразу. И посылки долго...но это хоть понятно, что почтовая услуга. Я свою маму перевел на получение пенсии карточкой - удобно, все платежи по интернет-банкингу оплачиваешь, на почту идти не надо, деньги снять можно, где угодно и когда угодно, да еще и процент капает на остаток, хоть и 23,5 - но хоть что-то... Но что мешает остальным так сделать - реально удобно же, да еще и бесплатно!

Для проведения нового платежа на номер телефона приходит СМС

Не вижу ничего хорошего в смс. Лишнее звено в цепи, не зависящее от банка юридическое лицо. Помню включал авторизацию по смс в вебманях. Однажды надо было что-то быстро купить на распродажах, буквально за минуту. Ввел логин, жду смс. Ее нет. Ввел логин повторно, снова смски нет. Вобщем распродажи закончились без меня. И только после этого посыпались смс.

Я написал интернет - банкинги, которыми сейчас реально пользуюсь...и уже не первый год. За все время НИ РАЗУ не было задержки СМС ни в БИБ, ни в БГПБ. Но, согласитесь, безопасность при СМС все же выше, чем одни и те же повторяющиеся коды...да и карточку найти/переписать можно...или по другому отследить. А перехватить СМС...ну, пока не слышал. На карточке лежат МОИ ДЕНЬГИ - и безопасность их для меня очень важна - даже если нужно делать лишний шаг. И пока ничего лучшего в плане безопасности авторизации, считаю, не придумали. (вернее, придумали, конечно, но в массовом порядке внедрять пока это дороговато).

[MICH]

безопасность при СМС все же выше, чем одни и те же повторяющиеся коды...

что-то я не видел у меня, что они повторяются....

[Mirage]

что-то я не видел у меня, что они повторяются....

Когда достаточно долго поработаете с карточкой - заметите, что, допустим, код №23 может попросить не раз. Если кто-то знает код 23 и Ваш логин и пароль - достаточно входить и смотреть, какой код потребует до тех пор, пока он не потребует код 23. Ну а потом самое интересное
Это я так, к примеру... Ну а уж троянов, отслеживающих вводимые пароли, у нас достаточно.

[Alexander]

поработаете с карточкой - заметите, что, допустим, код №23 может попросить не раз

с токеном (генератор ключей) совсем по другому - вводить ничего не надо, он сам генерирует 6-и значный код по своему алгоритму. Обновляются коды где то раз в 2-3 минуты. Угадать невозможно даже зная логин, пароль, без самого устройства ничего не сделаешь.

[MICH]

Когда достаточно долго поработаете с карточкой - заметите, что, допустим, код №23 может попросить не раз. Если кто-то знает код 23 и Ваш логин и пароль - достаточно входить и смотреть, какой код потребует до тех пор, пока он не потребует код 23.

нету нигде идентификации кода...

у меня вот такой EMC RSA SecurID девайс

3 раза неправильно ввел и нужно звонить менеджеру банка, просить разлогинить....

[BaRsupillamy]

почитал про него... я, конечно, понимаю, что те, кто это разрабатывал, гораздо умнее меня и продумали всё достаточно неплохо... но всё же... этот мир поглотил маркетинг, как мне кажется...
я пользуюсь интернет-банкингом Беларусбанка и МТБанка... если кому интересно, то второй мне вернул деньги, которые якобы случайно списались... так вот... у первого для авторизации используется логин/пароль и карта кодов... 40 4-хзначных кодов на пластиковой карточке... у второго просто логин/пароль... у обоих нет никаких подтверждений операций через смс... в первом у меня зарплатный карт-счёт, поэтому там денег много не бывает... со вторым чуть сложнее... там деньги ещё и не мои, а овердрафтные, за них я переживаю... но не сильно, потому что сумма тоже относительно терпимая в случае утери... вернёмся к ББ... с вас требуют логин/пароль - логин любой, пароль вы ставите сами и должны как бы отвечать за его сложность... три неверных ввода логин/пароля - вас заблокирует, разблокировка по звонку и секретному слову... после трёх разблокироваок по звонку - разблокировка через заявление в банке с паспортом... потом код - один из сорока, 4 знака, 10000 вариантов... 40 верных... 3 попытки... после трёх неверных попыток ввода кода, вас заблокирует... подсчитывать количество попыток угадать код лень, даже с учётом того, что через соцсети узнаете девичью фамилию матери взламыывемого клиента... есть вероятность угадать, но она мала... и овчинка в целом выделки не стоит... на мой взгляд, безопасности достаточно для обычных людей с обычными зарлпатными деньгами, которыми они потом оплачивают услуги через интернет...
почитал про этото токен... под него нужны серверная часть, клиентская часть, ещё какая-то ерунда - в итоге всё равно всё сводится к вводу 4-значного пин-кода и 6-значного токена... да, засчёт количества цифр вероятность уже меньше... да, токен действует минуту и можно ввести только один раз... но, если я правильно понял, есть две вещи, которые генерируют одинаковый токен - сервер и, собственно, сам токен... они гордятся тем, что всё начинается со 128-значного ключа, приписывается дата, выдаётся ключ... время синхронизируется, если не синхронизировано, то сервер узнаёт, какая разница между ним и токеном и вводит поправку... сколько мозгов и денег вложено, что выстроить такую защиту... но когда есть два предмета, выдающих один результат, явно можно сделать и третий... вообще, всё в этом мире ломается прямо или косвенно - вопрос времени и денег
кстати, наверно, и у ББ, и у МТбанка, есть более серьёзные уровни защиты... у ББ какой-то там внедрён 3D-Secure, которым я ни разу не пользовался, от людей слышал, что неудобно и усложняет процесс пользования... кстати, разблокировать себя в интернет-банкинге ББ поле блокировки сегодня можно также с помощью СМС... ну ещё стоит приложение на телефоне, которое сообщает мне о расходных и приходных операциях по карт-счёту... а баланс.бай следит за картой МТБанка...
к чему так много писал-то мне хватает того уровня защиты, который они мне предлагают для защиты моего количества денег... т.е. к выбору вещей надо подходить из разных соотношений - иногда цена/качество, иногда удобство/скорость, но параметры должны быть какими-то более-менее объективными...а в этом мире всё чаще (не только у нас в стране) кажется, что "понты дороже денег"... я вот тоже, например, езжу на машине, которая явно не соответствует моих доходам

Добавлено спустя 4 минуты 14 секунд:
вот блин... сразу читал не википедию... в ней же и описано, что в целом гарантии на 100% данный вид защиты не даёт и попытки взлома были... успешны или нет, тоже никто не знает, но вроде никто не жаловался...

[Mirage]

40 4-хзначных кодов на пластиковой карточке... вернёмся к ББ... с вас требуют логин/пароль - логин любой, пароль вы ставите сами и должны как бы отвечать за его сложность... три неверных ввода логин/пароля - вас заблокирует,

Я писал именно про Беларусбанк. Подразумевается, что кто-то знает Ваш логин/пароль (неважно, троян или кто-то подсмотрел на работе...)и код 23 (Вы раз его уже вводили).
Соответственно, логин и пароль вводим правильно.

потом код - один из сорока, 4 знака, 10000 вариантов... 40 верных... 3 попытки... после трёх неверных попыток ввода кода, вас заблокирует...

Неверно не вводим - просто ничего не вводим, закрываемся, выходим, и заходим снова, вводя правильные логин пароль - ждем, пока затребует 23 код.

P.S. Это все мои домыслы - сам я так не делал - в банк ехать не хочется. Может и еще какая-то защита есть - не знаю - наудачу набросал схему вскрытия, может, и неправильную. К чему это все пишу - мне доступ по СМС в плане БЕЗОПАСНОСТИ и УДОБСТВА нравится больше. Да и карточку таскать с собой не всегда удобно - а мобильник, я думаю, у каждого с собой.

[BaRsupillamy]

да, действительно, если знаете логин/пароль/код, то попадёте дыра в безопасности... странно, что не устранена...

мобильник, я думаю, у каждого с собой

люди носят фотку карты на мобильнике... у меня она лежит в облаке, доступна из веба и на любом компе моём...

[Паша]

люди носят фотку карты на мобильнике.

Только не в облаке храню, а в специальной программе.

[Bill Humble]

Спорить вообще не о чем. Невзламываемых защит нет. Есть защиты, взламывать которые экономически нецелесообразно.
Для крупного предприятия, ворочающего миллионами долларов, нужен криптомодуль аутентификации плюс неплохо бы уведомление о каждой трансакции.
Для обычного работяги, у которого после оплаты квартплат и кредитов остается на счету миллионов белорусских "на пожрать", хватит и защиты в виде карты кодов. Никто ее не будет ломать. Экономически нецелесообразно.

[BaRsupillamy]

Bill Humble, ну есть же иногда спортивный интерес там не бывает целесообразности

[MICH]

Спорить вообще не о чем. Невзламываемых защит нет.

пальцы в двери и все сам расскажешь.... и ломать не надо

Для крупного предприятия, ворочающего миллионами долларов, нужен криптомодуль аутентификации плюс неплохо бы уведомление о каждой трансакции.

1000 платежей в неделю - запаришься смс-ки стирать

право двойной подписи при осуществлении платежей решает проблему одного взлома...

[Yusg]

У меня подключен "мобильный и интернет банкинг" в БелВЭБ. Все платежи - без проблем. Все операции по карточкам (списания и начисления) - вижу там же в истории платежей. Код от мобильного банкинга (он один) - в памяти, от интернет - на бумаге в спец. месте.