Подтверждение по PIN vs подпись

У меня есть история успеха неработы подписи под Linux. Нужна винда, определённая версия браузера (то есть не просто firefox, а firefox нужной версии) и крипто про нужной версии (я про elbrus.raiffaisen.ru). С смс проблем нет, ну иногда они не успевают дойти за 2 минуты и приходится заново высылать, но это проблема МТС, скорее всего, и она не критичная.

сейчас вообще по NFC без подтверждений мелкие суммы, а ты про какие-то устаревшие практики спрашиваешь

С смс проблем нет, ну иногда они не успевают дойти за 2 минуты и приходится заново высылать, но это проблема МТС, скорее всего, и она не критичная.

В роуминге критично. У меня (тоже МТС, но сейчас нахожусь за пределами России) симка перестала регистрироваться в сети местного оператора, несмотря на то, что денег достаточно. Теперь придется срочно возвращаться, чтобы не попасть на штраф за непредоставление документов по валютным операциям :(

почему устаревшие ? У банка Авангард нпирмер ЛЮБЫЕ транзакции без ввода PIN кода по умолчанию, требует только подпись ручкой.

имеется ввиду обычная подпись ручкой

А по Apple/Android/Samsung Pay — и не только мелкие. Уже много раз делал покупки в несколько тысяч с телефона (Apple Pay) без PIN (и верхнего порога явного еще не нащупал), в отличии от тех же покупок с карты, где ограничение в районе 1000 где-то. Видимо, биометрическая аутентификация считается банками достаточно надежными, чтобы упростить процесс.

(что, в принципе, неудивительно — биометрика как минимум круче обычного PIN: ее нельзя «подсмотреть», а чтобы скопировать отпечаток или лицо с достаточной точностью нужно приложить нетривиальные усилия, поэтому таких кейсов должно быть на порядки меньше)

Это где такой архаизм?

У тинькоффа и авангарда по дефоулту.

А вообще насчет анархизмов: например в Израиле до сих карты проводят по магнитной полосе с польностью отключенной авторизацией по коду ...

определённая версия браузера

С поддержкой NPAPI, поди? Так это не «определённая», это любая до повышения концентрации мочи в мозгах мозилловцев.

Да хрен знает, я не разбирался, там ещё джава нужной версии нужна была и специально в инструкции было сказано не обновлять джаву. Я давно уже смс пользуюсь, даже пока не обновил подпись (истекает в сентябре).

Ну дык с 9-й версии жабы жабоплагин выкинули вообще, не мудрено.

Apple/Android/Samsung Pay

Оно не работает без вороха анальных зондов (для Android Pay вроде как есть полурабочие костыли).

биометрика как минимум круче обычного PIN: ее нельзя «подсмотреть», а чтобы скопировать отпечаток или лицо с достаточной точностью нужно приложить нетривиальные усилия, поэтому таких кейсов должно быть на порядки меньше

Отпечатки можно снять со свежеукраденного смартфона, а вот сменить их — и впрямь нетривиальная задача.

Так я не хочу разбираться с версиями жабы, я хочу деньги переводить без геморроя. А виртуальная машина, лицензия на винду, старый фаерфокс, старая жаба, отказ от обновлений, проброс токена в виртуалку - это на без геморроя никак не похоже.

я хочу деньги переводить без геморроя

Так дуй в кассу, как нормальные люди, а то ишь удумал — с компьютерами пердолится на свою голову. Вы, заднеприводные, все такие?

Напиши мне через кассу распоряжение о переводе средств с транзитного счёта, справку о валютных операциях и справку о подтверждающих документах для валютного контроля. И не забудь предварительно записать на бумажке номер и дату уведомления о поступлении средств на транзитный счёт, да, если это в тот же день, то тебе надо формировать в личном кабинете выписку, чтобы номер уведомления увидеть, если не можешь, то надо убедить девочку, почему ты не можешь, чтобы она тебе номер назвала. Потом ещё отработай просранный день =) И тщательнее следи за своим задним приводом =)

Отпечатки можно снять со свежеукраденного смартфона, а вот сменить их — и впрямь нетривиальная задача.

И как часто в реальном мире, а не в теории, это происходит и биометрику ломают? Как часто при этом скиммят обычные карты? Какая вероятность, что у человека подсмотрят пин (например, на кассе) и украдут карту?

Я слышал, что скиммеры ставят на банкоматы пленки для считывания пина, я пока не слышал о взломе биометрики хоть в каком-то значимом масштабе за пределами теоретических единичных экспериментов.

просранный день

Ну а так ты его на пердолинг с компуктером просрал. Только один. И ещё жалуешься.

И тщательнее следи за своим задним приводом =)

Гы, гомоугрозы.

Так не просрал, а подключил услугу, где смс присылают. Сэкономил кучу времени.

гомоугрозы

Гомоугрозы у тебя в штанах!

Ничего не могу сказать про то, как часто ломают биометрику, но сценарий видится такой: нечистый на руку чиновник, имеющий доступ к базе данных биометрических документов или работник банка (в более-менее цивилизованных странах они уже у каждого первого) может невозбранно сливать их в даркнет. В Индии вон уже утекало.

И? Мы в контексте Whatever Pay говорим, если что. Во-первых, я сомневаюсь, что по отпечаткам собранным одним внешним инструментом можно с достаточной точностью восстановить палец, чтобы использовать на другом инструменте — том же Whatever Pay.

Но даже если так — как ты себе это представляешь? Злоумышленнику нужно будет заполучить телефон, узнать личность жертвы, найти утёкшие биометрические данные, сопоставить их с личностью жертвы, изготовить палец и успеть применить его до того как жертва заблокирует карту и телефон.

Ты серьезно считаешь, что это более вероятно, чем то, что злоумышленник подсмотрит PIN и украдет карту? Я, если что, нигде не писал, что биометрия неуязвима — я писал, что она на порядки безопаснее PIN-а и подписи, да и в целом очень безопасна.

Ты же знаешь, что в Android/Apple/Samsung Pay сопоставление отпечатков выполняется на устройстве, а в банк идёт токен в случае успеха?

Возможность подсмотреть пин компенсируется возможностью его очень просто сменить. А вот биометрию сменить нельзя. При этом отпечатками полны личные вещи человека, так же люди активно любят выкладывать свои фоточки в соцсети (привет, распознание лиц).

Очевидно, биометрия ещё недостаточно популярна, а большинство покупок совершаются постаринке, а злоумышленники ориентируются на массового пользователя. К тому же оборудование для скимминга уже давно разработано и обкатано, а для чего-то нового нужен R&D.

А что насчёт сценария украсть смартфон, снять опечатки пальцев с него, сделать накладку на палец по отпечатку, пойти платить по магазинам? Только надо чтобы серьёзная масса перешла на смартфоны для оплаты (а пока подавляющее большинство платит картой), чтобы вложения в подготовку отбились (так то скиммеры тоже не бесплатны, но их используют, потому что они подходят большинству). А то одними гиками сыт не будешь.

А что насчёт сценария украсть смартфон, снять опечатки пальцев с него, сделать накладку на палец по отпечатку, пойти платить по магазинам?

И сколько времени это займёт? Больше, чем скимминг карты. Современный человек, скорее всего, заметит пропажу телефона очень быстро, потому что телефон используется намного чаще, чем карта. Оплачивал что-то я (для примера) сегодня раза 4 (завтрак, обед, кофе в автомате, чай вечером), а телефон, судя по Screen time, доставал уже 86 (!) раз.

Скорее всего, человек заметит пропажу телефона и заблокирует карту до того, как злоумышленник успеет снять отпечатки, распечатать палец и «пройтись по магазинам».

Кроме того, сколько это оборудование для снятия отпечатков и создания подделки будет стоить? Даже чипы скиммят намного реже (я, по крайней мере, за минуту гугления не нашёл вообще распространённых случаев клонирования чипа, ну кроме «скопировать данные магнитной полосы, но с чипа», а ведь теоретические схемы уже много лет появляются). Если здесь оборудование тоже будет дорогим — не вариант.

А вот биометрию сменить нельзя.

Это имеет смысл только если охотятся конкретно на меня — а это подавляющее меньшинство случаев. Иначе слишком много мороки.

Ну и к тому же, что мне хорошего, если я могу сменить PIN? Деньги уже увели.

Думаю у чипов вопрос скорее в стойкой криптографии, которая делает копирование невозможным без изучения чипа под электронным микроскопом? Разве их вообще скиммят? По-моему, копируют только магнитную полоску и надеяться, что терминал не потребует чип.

Так вот, есть опыты с копированием биометрии и там стоимость поменьше выходит, чем у электронного микроскопа.

Что до блокировки карты. Речь о среднестатистическом обывателе. Я вот знаю кучу людей, которые не помнят ни кодовое слово, ни куда звонить в случае чего. Онлайн банк тоже не все подключают. Так что только если топать ножками в отделение. А между тем телефон самостоятельная ценность. И не каждый сразу сообразит, что у него увели не только девайс, но и карты. Так что они в первую очередь пойдут писать заявление в полицию с надеждой вернуть девайс. А потом уже через пару дней сообразят дойти до банка.

Надо помнить про правило 95%, просто пока оплата смартфоном слишком непопулярна и имеет перевес в сторону гиков. Но если она станет популярна...