Авторизация в интернет-банке Сведбанка и других

Новые европейские регулы требуют, чтобы в скором времени банковские транзакции свыше определённой суммы обеспечивались не только кодом из карты кодов, но более надёжным способом аутентификации. В комментах на Дельфи, где всегда разверзаются бездны ада по любому поводу, сразу начался вой и срач, мол, заставят всех покупать калькуляторы кодов, бла-бла-бла.

Калькулятор кодов (коробчка с экраном) мне тоже  носить не улыбается. Я считаю, что в век смартфонов и биометрики это анахронизм, как и карта кодов, от которой я постоянно плююсь. Мало того, что вводишь код для логина, так ещё будь добр для каждой операции. Я понимаю, что мои деньги же берегут, но вот пейпал же как-то обходится меньшей кровью? Пейпал сам по себе – тот ещё кал, но это тема другого разговора.

Калькулятор кодов

В итоге большие шишки Сведбанка решили, что аутентификация там будет псевдо-двухфакторной, с помощью СМС. Многие я думаю, с такой сталкивались в гуглопочте и других сервисах. Всё бы ничего, но это недостаточно безопасный способ, см. ниже.

https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/

Если коротко, то захватчик может перехватить и перенаправить ваши СМС на другую симку, уговорив оператора, что он – это вы, или же с помощью сложных технических средств типа фальшивых вышек. Такое неоднократно проделывали в России и других странах с гражданскими активистами и просто ради бабла.

Какое же решение? Приложение типа Google Authenticator на телефоне, которое даёт нам настоящую двухфакторную аутентификацию. К сожалению, надежды мало – даже если Сведбанк созреет, они выпустят своё, менее удобное, более кривое и самое главное – ещё одно, хотя Гугль Аус позволяет добавлять сколько угодно чужих сервисов. В конце-концов выйдет так, что на каждый чих надо будет своё приложение.

Тем более, что с точки зрения безопасности у Гугля хорошая биография, и мне не кажется, что в Сведбанке сделают лучше.

Ещё там прикрутили аутентификацию по электронной подписи из ID карты, которая у нас как паспорт, но с ней пока не разбирался. Описание выглядит как издевательство – сначала инсталлируешь гос. сертификаты, а потом постоянно надо вводить шестизначный ПИН. По крайней мере это уже лучше, чем случайные коды из карты.

 

Image result for latvia id card reader

e-ID card reader