Авторизация в интернет-банке Сведбанка–2 : всё починили

Вспоминаем этот пост про авторизацию в интернет-банке –  Авторизация в интернет-банке Сведбанка и других

Ситуацию улучшили настолько, что и представить невозможно: Сведбанк внедрил эстонский мобильный аутентификатор SmartID, который меня полностью устраивает (разве что, мог бы быть пошустрей, но тут я уже придираюсь).

Всем, кто делает платежи в Сведбанке (особенно мобильные), рекомендую сразу поставить - мне лично кажется на порядок удобнее кодовой карты.

Осталась одна претензия - поиск в платежах мог бы быть с большим вниманием к деталям. Например, учитывать, что я не знаю, пишется чьё-то имя со знаком долготы, или нет. Или находить в поиске отсылке денег не только тех, кому я уже слал, но и тех, кто слал мне.

Авторизация в интернет-банке Сведбанка и других

Новые европейские регулы требуют, чтобы в скором времени банковские транзакции свыше определённой суммы обеспечивались не только кодом из карты кодов, но более надёжным способом аутентификации. В комментах на Дельфи, где всегда разверзаются бездны ада по любому поводу, сразу начался вой и срач, мол, заставят всех покупать калькуляторы кодов, бла-бла-бла.

Калькулятор кодов (коробчка с экраном) мне тоже  носить не улыбается. Я считаю, что в век смартфонов и биометрики это анахронизм, как и карта кодов, от которой я постоянно плююсь. Мало того, что вводишь код для логина, так ещё будь добр для каждой операции. Я понимаю, что мои деньги же берегут, но вот пейпал же как-то обходится меньшей кровью? Пейпал сам по себе – тот ещё кал, но это тема другого разговора.

Калькулятор кодов

В итоге большие шишки Сведбанка решили, что аутентификация там будет псевдо-двухфакторной, с помощью СМС. Многие я думаю, с такой сталкивались в гуглопочте и других сервисах. Всё бы ничего, но это недостаточно безопасный способ, см. ниже.

https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/

Если коротко, то захватчик может перехватить и перенаправить ваши СМС на другую симку, уговорив оператора, что он – это вы, или же с помощью сложных технических средств типа фальшивых вышек. Такое неоднократно проделывали в России и других странах с гражданскими активистами и просто ради бабла.

Какое же решение? Приложение типа Google Authenticator на телефоне, которое даёт нам настоящую двухфакторную аутентификацию. К сожалению, надежды мало – даже если Сведбанк созреет, они выпустят своё, менее удобное, более кривое и самое главное – ещё одно, хотя Гугль Аус позволяет добавлять сколько угодно чужих сервисов. В конце-концов выйдет так, что на каждый чих надо будет своё приложение.

Тем более, что с точки зрения безопасности у Гугля хорошая биография, и мне не кажется, что в Сведбанке сделают лучше.

Ещё там прикрутили аутентификацию по электронной подписи из ID карты, которая у нас как паспорт, но с ней пока не разбирался. Описание выглядит как издевательство – сначала инсталлируешь гос. сертификаты, а потом постоянно надо вводить шестизначный ПИН. По крайней мере это уже лучше, чем случайные коды из карты.

 

Image result for latvia id card reader

e-ID card reader

Магия! (Для программистов)

Кто считает, что очень просто быть программистом, вот такого не видел.

image

SSL

Включил SSL в блоге, но пока не форсирую, слишком много ещё надо подточить.

Всё благодаря организации https://letsencrypt.org , которая раздаёт сертификаты всем желающим, и удобная софтина инсталлирует их на виндоус сервер (на линуксе поддержка родная). Про софтину прочитал у известного чувака http://weblog.west-wind.com/posts/2016/Feb/22/Using-Lets-Encrypt-with-IIS-on-Windows

Jawbone

Браслет, который следит за вашей физической активностью, сном и питанием, записывает всё и показывает графики:

http://jawbone.com/up

Давно о таком мечтал, но у меня же новый телефон Ведроид будет, и на него софта пока нет. Ждём и копим деньги.