SMART-LAB
Новый дизайн
Мы делаем деньги на бирже
Информация
Блог им. myaucha
Безопасность при входе в интернет-банк (на примерах Сбера и ВТБ)
- 27 февраля 2025, 16:06
- |
Частенько интерфейсная часть для входа в интернет-банк меняется. В СМИ постоянно упоминаются мошенники. И вроде бы банки должны идти по пути улучшения защиты, но...
Возможно, что я чего-то не понимаю. Вход в ВТБ-онлайн недавно изменился. Теперь система запрашивает дополнительно некий 4-х значный код (по аналогии с ПИН-ом для банковской карточки) и позволяет по номеру телефона, коду в СМС и этому дополнительному ПИН-коду войти в интернет-банк без пароля.
Раньше я входил так. У меня был логин, у меня был пароль, и еще приходила СМС-ка. В интернет-банк я никогда не входил с телефона, так как всегда считал, что двухфакторная идентификация сильнее тогда, когда входишь с одного устройства, а подтверждаешь вход (например, СМС-кой) с другого устройства.
Сейчас ВТБ совсем отменил логины и вместо них предлагает использовать номер телефона. Согласитесь, что сам по себе номер телефона менее конфиденциален, чем логин, который никому, кроме меня, неизвестен. Но это ладно. Идем дальше. При вводе номера телефона, пароля и подтверждающей СМС-ки предлагается в ОБЯЗАТЕЛЬНОМ порядке (не в дополнительном, как например в Сбере) придумать ПИН-код. Часть кодов система считает простыми и запрещает их к использованию, сокращая тем самым количество возможных комбинаций. Ладно, пусть так, придумал, вошел, вышел. Проверяю… при новом входе система запрашивает ПИН-код. Если его ввести, то придет подтверждающая СМС-ка. Вводим ее, и мы вошли. Имея доступ только к телефону и зная 4-х значный ПИН-код (или подобрав его на дурочка) можно войти в клиентский кабинет. Если же на предложение о вводе ПИН-кода ответить отказом (забыли ПИН-код), то мы попадем в окно с вводом номера телефона. Телефон мы знаем (он у нас в руках), вводим его, приходит СМС-ка, вводим ее, и далее опять ПИН-код запрашивается. Если отказаться от его ввода, то потребуется уже ввести пароль. После ввода пароля система предложит в ОБЯЗАТЕЛЬНОМ порядке придумать новый ПИН-код.
В настройках личного кабинета я не нашел как отключить это безобразие с ПИН-кодом. Я также не проверял сколько попыток дается на ввод правильного ПИН-кода и что происходит, если его ввести неверно. Но основное, что я хочу сказать — доступ к личному кабинету с деньгами теперь доступен через телефон и 4-ре невзрачные циферки. И этот механизм входа делают обязательным для всех! Такое впечатление, что банк сознательно снижает уровень безопасности доступа к личному кабинету. Вопрос — для чего?!
Возможно, что я чего-то не понимаю. Вход в ВТБ-онлайн недавно изменился. Теперь система запрашивает дополнительно некий 4-х значный код (по аналогии с ПИН-ом для банковской карточки) и позволяет по номеру телефона, коду в СМС и этому дополнительному ПИН-коду войти в интернет-банк без пароля.
Раньше я входил так. У меня был логин, у меня был пароль, и еще приходила СМС-ка. В интернет-банк я никогда не входил с телефона, так как всегда считал, что двухфакторная идентификация сильнее тогда, когда входишь с одного устройства, а подтверждаешь вход (например, СМС-кой) с другого устройства.
Сейчас ВТБ совсем отменил логины и вместо них предлагает использовать номер телефона. Согласитесь, что сам по себе номер телефона менее конфиденциален, чем логин, который никому, кроме меня, неизвестен. Но это ладно. Идем дальше. При вводе номера телефона, пароля и подтверждающей СМС-ки предлагается в ОБЯЗАТЕЛЬНОМ порядке (не в дополнительном, как например в Сбере) придумать ПИН-код. Часть кодов система считает простыми и запрещает их к использованию, сокращая тем самым количество возможных комбинаций. Ладно, пусть так, придумал, вошел, вышел. Проверяю… при новом входе система запрашивает ПИН-код. Если его ввести, то придет подтверждающая СМС-ка. Вводим ее, и мы вошли. Имея доступ только к телефону и зная 4-х значный ПИН-код (или подобрав его на дурочка) можно войти в клиентский кабинет. Если же на предложение о вводе ПИН-кода ответить отказом (забыли ПИН-код), то мы попадем в окно с вводом номера телефона. Телефон мы знаем (он у нас в руках), вводим его, приходит СМС-ка, вводим ее, и далее опять ПИН-код запрашивается. Если отказаться от его ввода, то потребуется уже ввести пароль. После ввода пароля система предложит в ОБЯЗАТЕЛЬНОМ порядке придумать новый ПИН-код.
В настройках личного кабинета я не нашел как отключить это безобразие с ПИН-кодом. Я также не проверял сколько попыток дается на ввод правильного ПИН-кода и что происходит, если его ввести неверно. Но основное, что я хочу сказать — доступ к личному кабинету с деньгами теперь доступен через телефон и 4-ре невзрачные циферки. И этот механизм входа делают обязательным для всех! Такое впечатление, что банк сознательно снижает уровень безопасности доступа к личному кабинету. Вопрос — для чего?!
теги блога myaucha
- CNYRUB
- FORTS
- IMOEX
- quik
- акции
- банки
- брокеры
- вечные фьючерсы
- вклад
- вклады
- Владимир Путин
- втб
- втб брокер
- Газпром
- денежная база России
- денежная масса России
- депозиты
- доллар рубль
- Индекс МБ
- инфляция в России
- итоги года
- итоги месяца
- казино
- комиссии биржи
- комиссии брокера
- комиссия биржи
- м.видео
- М2 РФ
- Москва
- накопительные счета
- налогообложение на рынке ценных бумаг
- нкд - накопленный купонный доход
- облигации
- ОФЗ
- оффтоп
- Пенсия
- Продолжительность жизни
- РЖД
- Рулетка
- сбербанк
- сбербанк брокер
- СБП
- СВО
- срочный рынок
- технический анализ
- торговые роботы
- торговый софт
- трейдинг
- Украина
- фандинг
- форекс
- фьючерс MIX
- ФЬЮЧЕРСЫ
Так можно оформить кредит онлайн и стырить его.
Безопасность у них через жопу
Раньше у них уже была огромная дыра в безопасности — года два назад, приходилось отключать личный кабинет, потом исправили - теперь снова дыру делают....
Больше всего денег воруют именно в ВТБ!!!
Тем же, кто смартфоном пользуется для этого, то он же может быть защищен еще входом в него (пароль или отпечаток пальца)--важно только следить, чтобы не потерять или не уперли во включенном состоянии.
Основной капитал, конечно, дополнительно защищен уже тем, что находится на бирже (пусть и ВТБ брокер) и украсть и вывести его не так просто как деньги с со счетов в ЛК… Но все же…
Пин код для ВСЕХ устройств
Кстати, как-то в прошлом году я ткнул в ИБ ВТБ в свою цифру Инвестиции и без какой-либо дополнительной идентификации оказался в вэб-терминале. Мягко говоря, удивился, пароль к инвестициям у меня сложнее, чем в ИБ, где кроме миллиона с кредитки обычно брать нечего
P.s. Сейчас так не получается.
Попыток всего 3. Но все равно идиотизм. Я в свое время в Тинькоффе год мучался, отказываясь устанавливать 4-значный код, при каждом входе задалбывали этим предложением. Потом у поддержки узнал, что в настройках можно это безобразие отменить и продолжать пользоваться паролем, хотя логин не вернуть. А тут без вариантов. Заменили сложный пароль на 4 цифры. Нафига не ясно. Ну разрешили бы использовать дебилам простые пароли. Но нафига это всем навязывать
Законы на стороне мошенников тоже, т.к. по ним смс является средством идентификации. Учитывая дырявость GSM сетей, это полная глупость. Я уж не говорю про перевыпуск сим сторонними людьми. Только некоторые банки блокируют доступ на 1 сутки.
Ну и сам телефон не является достаточно надежным. Миллион различных способов взлома, троянов и прочих вещей делают мошеникам жизнь очень легкой.