У меня есть история успеха неработы подписи под Linux. Нужна винда, определённая версия браузера (то есть не просто firefox, а firefox нужной версии) и крипто про нужной версии (я про elbrus.raiffaisen.ru). С смс проблем нет, ну иногда они не успевают дойти за 2 минуты и приходится заново высылать, но это проблема МТС, скорее всего, и она не критичная.
С смс проблем нет, ну иногда они не успевают дойти за 2 минуты и приходится заново высылать, но это проблема МТС, скорее всего, и она не критичная.
В роуминге критично. У меня (тоже МТС, но сейчас нахожусь за пределами России) симка перестала регистрироваться в сети местного оператора, несмотря на то, что денег достаточно. Теперь придется срочно возвращаться, чтобы не попасть на штраф за непредоставление документов по валютным операциям :(
А по Apple/Android/Samsung Pay — и не только мелкие. Уже много раз делал покупки в несколько тысяч с телефона (Apple Pay) без PIN (и верхнего порога явного еще не нащупал), в отличии от тех же покупок с карты, где ограничение в районе 1000 где-то. Видимо, биометрическая аутентификация считается банками достаточно надежными, чтобы упростить процесс.
(что, в принципе, неудивительно — биометрика как минимум круче обычного PIN: ее нельзя «подсмотреть», а чтобы скопировать отпечаток или лицо с достаточной точностью нужно приложить нетривиальные усилия, поэтому таких кейсов должно быть на порядки меньше)
Да хрен знает, я не разбирался, там ещё джава нужной версии нужна была и специально в инструкции было сказано не обновлять джаву. Я давно уже смс пользуюсь, даже пока не обновил подпись (истекает в сентябре).
Оно не работает без вороха анальных зондов (для Android Pay вроде как есть полурабочие костыли).
биометрика как минимум круче обычного PIN: ее нельзя «подсмотреть», а чтобы скопировать отпечаток или лицо с достаточной точностью нужно приложить нетривиальные усилия, поэтому таких кейсов должно быть на порядки меньше
Отпечатки можно снять со свежеукраденного смартфона, а вот сменить их — и впрямь нетривиальная задача.
Так я не хочу разбираться с версиями жабы, я хочу деньги переводить без геморроя. А виртуальная машина, лицензия на винду, старый фаерфокс, старая жаба, отказ от обновлений, проброс токена в виртуалку - это на без геморроя никак не похоже.
Напиши мне через кассу распоряжение о переводе средств с транзитного счёта, справку о валютных операциях и справку о подтверждающих документах для валютного контроля. И не забудь предварительно записать на бумажке номер и дату уведомления о поступлении средств на транзитный счёт, да, если это в тот же день, то тебе надо формировать в личном кабинете выписку, чтобы номер уведомления увидеть, если не можешь, то надо убедить девочку, почему ты не можешь, чтобы она тебе номер назвала. Потом ещё отработай просранный день =) И тщательнее следи за своим задним приводом =)
Отпечатки можно снять со свежеукраденного смартфона, а вот сменить их — и впрямь нетривиальная задача.
И как часто в реальном мире, а не в теории, это происходит и биометрику ломают? Как часто при этом скиммят обычные карты? Какая вероятность, что у человека подсмотрят пин (например, на кассе) и украдут карту?
Я слышал, что скиммеры ставят на банкоматы пленки для считывания пина, я пока не слышал о взломе биометрики хоть в каком-то значимом масштабе за пределами теоретических единичных экспериментов.
Ничего не могу сказать про то, как часто ломают биометрику, но сценарий видится такой: нечистый на руку чиновник, имеющий доступ к базе данных биометрических документов или работник банка (в более-менее цивилизованных странах они уже у каждого первого) может невозбранно сливать их в даркнет. В Индии вон уже утекало.
И? Мы в контексте Whatever Pay говорим, если что. Во-первых, я сомневаюсь, что по отпечаткам собранным одним внешним инструментом можно с достаточной точностью восстановить палец, чтобы использовать на другом инструменте — том же Whatever Pay.
Но даже если так — как ты себе это представляешь? Злоумышленнику нужно будет заполучить телефон, узнать личность жертвы, найти утёкшие биометрические данные, сопоставить их с личностью жертвы, изготовить палец и успеть применить его до того как жертва заблокирует карту и телефон.
Ты серьезно считаешь, что это более вероятно, чем то, что злоумышленник подсмотрит PIN и украдет карту? Я, если что, нигде не писал, что биометрия неуязвима — я писал, что она на порядки безопаснее PIN-а и подписи, да и в целом очень безопасна.
Ты же знаешь, что в Android/Apple/Samsung Pay сопоставление отпечатков выполняется на устройстве, а в банк идёт токен в случае успеха?
Возможность подсмотреть пин компенсируется возможностью его очень просто сменить. А вот биометрию сменить нельзя. При этом отпечатками полны личные вещи человека, так же люди активно любят выкладывать свои фоточки в соцсети (привет, распознание лиц).
Очевидно, биометрия ещё недостаточно популярна, а большинство покупок совершаются постаринке, а злоумышленники ориентируются на массового пользователя. К тому же оборудование для скимминга уже давно разработано и обкатано, а для чего-то нового нужен R&D.
А что насчёт сценария украсть смартфон, снять опечатки пальцев с него, сделать накладку на палец по отпечатку, пойти платить по магазинам? Только надо чтобы серьёзная масса перешла на смартфоны для оплаты (а пока подавляющее большинство платит картой), чтобы вложения в подготовку отбились (так то скиммеры тоже не бесплатны, но их используют, потому что они подходят большинству). А то одними гиками сыт не будешь.
А что насчёт сценария украсть смартфон, снять опечатки пальцев с него, сделать накладку на палец по отпечатку, пойти платить по магазинам?
И сколько времени это займёт? Больше, чем скимминг карты. Современный человек, скорее всего, заметит пропажу телефона очень быстро, потому что телефон используется намного чаще, чем карта. Оплачивал что-то я (для примера) сегодня раза 4 (завтрак, обед, кофе в автомате, чай вечером), а телефон, судя по Screen time, доставал уже 86 (!) раз.
Скорее всего, человек заметит пропажу телефона и заблокирует карту до того, как злоумышленник успеет снять отпечатки, распечатать палец и «пройтись по магазинам».
Кроме того, сколько это оборудование для снятия отпечатков и создания подделки будет стоить? Даже чипы скиммят намного реже (я, по крайней мере, за минуту гугления не нашёл вообще распространённых случаев клонирования чипа, ну кроме «скопировать данные магнитной полосы, но с чипа», а ведь теоретические схемы уже много лет появляются). Если здесь оборудование тоже будет дорогим — не вариант.
Думаю у чипов вопрос скорее в стойкой криптографии, которая делает копирование невозможным без изучения чипа под электронным микроскопом? Разве их вообще скиммят? По-моему, копируют только магнитную полоску и надеяться, что терминал не потребует чип.
Так вот, есть опыты с копированием биометрии и там стоимость поменьше выходит, чем у электронного микроскопа.
Что до блокировки карты. Речь о среднестатистическом обывателе. Я вот знаю кучу людей, которые не помнят ни кодовое слово, ни куда звонить в случае чего. Онлайн банк тоже не все подключают. Так что только если топать ножками в отделение. А между тем телефон самостоятельная ценность. И не каждый сразу сообразит, что у него увели не только девайс, но и карты. Так что они в первую очередь пойдут писать заявление в полицию с надеждой вернуть девайс. А потом уже через пару дней сообразят дойти до банка.
Надо помнить про правило 95%, просто пока оплата смартфоном слишком непопулярна и имеет перевес в сторону гиков. Но если она станет популярна...