Похожие записи

Комментариев нет

  1. [quote:11iqu1nm]only the correct combination of a bank card (something the user possesses) and a PIN (something the user knows) allows the transaction to be carried out.[/quote:11iqu1nm] Т.е. номер карточки (something the user possesses) и пароль (something the user knows) есть 2FA. Все банки с которыми я есть практикуют 2FA — TD Canada Trust, CIBC, Simplii financial. Я очень сомневаюсь что есть хоть один банк, в котором такого нет.

  2. [quote="alxlabs":zzr368we][quote:zzr368we]only the correct combination of a bank card (something the user possesses) and a PIN (something the user knows) allows the transaction to be carried out.[/quote:zzr368we] Т.е. номер карточки (something the user possesses) и пароль (something the user knows) есть 2FA. Все банки с которыми я есть практикуют 2FA — TD Canada Trust, CIBC, Simplii financial.[/quote:zzr368we]
    + extra question

  3. [quote="Alexander":1ts4e05c][quote="alxlabs":1ts4e05c][quote:1ts4e05c]only the correct combination of a bank card (something the user possesses) and a PIN (something the user knows) allows the transaction to be carried out.[/quote:1ts4e05c] Т.е. номер карточки (something the user possesses) и пароль (something the user knows) есть 2FA. Все банки с которыми я есть практикуют 2FA — TD Canada Trust, CIBC, Simplii financial.[/quote:1ts4e05c]
    + extra question[/quote:1ts4e05c]
    2FA — two factors authorization. Дополнительный вопрос это есть сверх требований 2FA.

  4. Практикуется еще hardware authorization — это когда вам выдают электронный ключ, который генерирует пароль, который постоянно меняется — т.е. один пароль можно использовать только один раз и второй правильный пароль можно сгенерировать только этим электронным ключом. У меня один раз была история с воровством, мне в банке такую штуку выдали. Банк HSBC.

  5. Тут просто надо помнить что здесь не там, и в случае если ваши деньги украдут из банка, то в Канаде отвечает банка, поэтому по большому счету вам все равно.

  6. [quote="alxlabs":3jyazulb]Практикуется еще hardware authorization — это когда вам выдают электронный ключ, который генерирует пароль, который постоянно меняется — т.е. один пароль можно использовать только один раз и второй правильный пароль можно сгенерировать только этим электронным ключом. У меня один раз была история с воровством, мне в банке такую штуку выдали. Банк HSBC.[/quote:3jyazulb]
    А, да.. Чтобы ключ сгенерировал новый пароль нужно в ключ ввести стационарный (неменяющийся) пароль перед генерацией нового, причем каждый раз нужно вводить стационарный пароль, так что просто ключ воровать бессмысленно. Причем можно ввести любой пароль в том числе неправильный, при этом ключ сгенерирует специальный пароль, который закроет онлайн доступ до выяснения имени матери бабушки по отцовской линии Т.е. есть очень серьезные методы аутентификации но нужно чтобы украли очень много или по крайней мере банк думал что могут украсть очень много для того, чтобы вам такое организовали. Если у вас/у банки не украли тысяч 30 то это незначительная сумма денег для банки, по крайней мере не настолько чтобы связываться с такими шагами. Если же что то такое произошло, то вам скорее всего и так выдадут такой ключ совершенно бесплатно, а если не выдали, значит банке проще вам вернуть деньгу.

  7. В моём понимании:

    — номер карты = юзернейм
    — пароль = пароль
    — любые доп.вопросы, пин.коди и т.п. = продолжение пароля (просто представьте, что вас попросили придумать очень длинный пароль, а потом разбили его на несколько частей, и каждую часть обозвали по-своему)
    — картинки — защита от фишнинга, т.е. от прямого взлома не защищают никак

    Т.е Вы продолжаете использовать связку из двух статичных цифро-буквенных последовательностей.

    Второй фактор не должен быть статическим. Именно поэтому любые номера, пароли, вопросы, ПИНы — не подходят под это определение.

    Это может быть что-то одноразовое для каждого входа в систему: код через СМС, код через банковское приложение на смартфоне, OTP генератор, код через voice call. Еще это могут быть сертификаты на флешках, и прочие аппаратные ключи.

    Что-то из этого всего предлагается хоть в каком-то банке "из коробки", без того чтобы иметь на счету миллион, или чтобы тебя предварительно взломали, и тогда тебе что-то выдадут дополнительное?

    Вы же понимаете, что вопрос не только в том, что деньги уведут, но банк вам "поможет" и деньги вернёт. Важный момент — это доступ к вашей финансовой истории. Гугл, амазон и прочие предлагают и советуют активировать 2FA в их системах. И параллельно — банки, делают вид как-будто не понимают, что такое MFA и нахваливают в своих ФАКах секретные вопросы, ПИНы и прочую ересь.

  8. Есть ещё бабы Мани/Тани/Камелы и деды Франсуа у которых буквосочетание 2FA/MFA вызовет инфаркт коленного сустава, но тем не менее они должны пользоваться банком, и тьфу тьфу интернетом. Поэтому и делают так, чтобы не было слишком витиеватой авторизации и было нормально доступно всем. При всем при этом банка отвечает за сохранность ваших денег, поэтому вам вернут все деньги если у вас их сопрут. За это платится некая фии ежемесячно. При всем при этом если сумма потенциального воровства превышает некую величину Х то банки делают очень крутую авторизацию с девайсом который вам безвозмездно выдается, я на своей шкуре проверял. Все достаточно разумно устроено — у тех дедов Франсуа которые обычные пенсионеры не будет в месяц кучи транзакций тысяч на 50-60, и им такое не делают. У других же, у кого есть такое количество транзакций могут организовать достаточно крутую авторизацию, но с другой стороны у человека, у которого такой оборот не будет инфаркта коленного сустава от того, что более сложная авторизация.

  9. ЗЫ крутая авторизация требует крутого саппорта, в том числе электронных ключей и входа в онлайн банкинг. Ключи ломаются, это просто железяка, люди их теряют, держат вверх ногами и вводят или читают данные справо на лево итд — т.е. должна быть отдельная категория саппорта, которая поддерживает таких клиентов, этой категории саппорта нужно платить деньги в виде зарплаты — т.е. это недешево, поэтому так не делается для всех.

  10. Кстати по поводу Гуглов — вы когда нибудь общались с их саппортом? Я вот купил Pixel 3 и у меня частично слегла авторизация — я не могу никому никакое ревью оставить, он гугловская прога начинает просить гугл аккаунт, я ввожу, он опять просит тоже самое. Если я выбираю кансел, то он мои ревью принимает, но они исчезают, равно как и мой оценки. Есть ещё куча глюков авторизации с Google Home Mini и именно с моим аккаунтом — у моей жены например нет таких проблем, тот же андроидный телефон и гугло-аккаунт. Я с Гуглой и их саппортом уже два месяца ругаюсь, причем безрезультатно. Как вы понимаете с банкой такое не пройдет — я нигде и ни разу не слышал, чтобы что — то не решилось по телефону или одним приходом в банку.

  11. [quote="Z":1vsh1yyf]Subj.

    Настоящий 2FA/MFA, а не это "безобразие" с дополнительными вопросами, картинками и т.п.[/quote:1vsh1yyf]

    Именно банк?

    TD имеет такую фичу — "Security Code Login Option". Там есть варианты насколько часто спрашивать.

    Что до брокеров, то, по-моему, самый широкий набор вариантов есть у Interactive Brokers.

  14. Ну.. человеку хочется чтобы было.. Со вторым автономным девайсом лучше в том плане что если ты где-нить в Китае и у тебя роуминг китайский, то все равно можно зайти, так как по смс/телефону ничего не должно приходить. У меня ещё в 2000 году к открытому счёту в Южной Корее дали заламинированную карточку с кучей цифр. И нужно было ввести 4 цифры после 4х показанных при логине.

  15. [quote="Shadow":3lu6j3t4]
    TD имеет такую фичу — "Security Code Login Option". Там есть варианты насколько часто спрашивать.
    [/quote:3lu6j3t4]

    Nice. That’s what I wanted. Thx!

    RBC offers something similar (security code through Android/iPhone app) but only in RBC Carribean =(

Ответить

Сейчас популярно

Котятам исполнился год
kursi po kakoi nibudi spetzialinosti na rodine….nujni li?
Как подать документы в Express Entry?
Продление экстренных выплат жителям Канады