Народний рейтинг українських банків, страхових компаній і компаній з управління активами і рівень обслуговування в них. Архіви народних рейтингів на Finance.UA.
Optimus_ написав:аблолютно згоден із даними твердженнями. токен RSA - і просто і безпечно ... ну, і заплатити за нього треба порядку 100грн.,
Так цена вообще не вопрос. Банк может ее разбить на год или два и арендной плате учитывать. Либо вообще выдавать смарт-карточки за 10-20 грн, а вот ридир - обязанности клиента купить.
Optimus_ написав:проте ймовірність, що хтось несанкціоновано зайде в твій інтернет банкінг і злиє певну суму коштів, якщо токен при тобі - наближається до нуля.
Несовсем верно. Вероятность существует и реальная. Но! В случае попадения правильно подписанного электроного документа в банк - явна становиться вина клиента, который допустил утерю или несанкционированное пользование его цифровой подписью.
Те токены что есть не гарантируют защиту от теж же троянцев (и та система что сейчас у УкрСиба кстати тоже).
Преимущество в том, что несанкционированое списание средств может быть ТОЛЬКО по вине клиента. Риски у банка почти полностью исключаются.
усе вірно! звісно, ймовірність існує завжди, проте, як я і раніше написав - якщо токен дійсно із тобою - тоді несанкціонований "логін" в твою систему практично неможливий !!!
токен генерує рендомом 6 цифр, як правило щохвилини.
ймовірність - 10*10*10*10*10*10 = 1 млн. комбінацій - на 1 хвилину.
+ припустимо, за 3 невірновведені комбінації - лочити систему на добу чи дві. а розлочка - виключно у відділенні (там перевірять чи то клієнт грався чи ні)
для ще більшого захисту - банк може додати пароль (типу пін-код) на 4 чи 6 цифр із правим змінювати його в будь-який час самостійно клієнтом.
подивимося правді ввічі - таку систему розламати - нереально. (ясно, доля ймовірності є, але дуже ... дуже мізерна. така ж сама, коли Ви йдете по вулиці і на голову Вам може впасти корова - ну є ж імовірність, що її може в той час "перевозити" літак і вона "випаде" )
Optimus_ написав:токен генерує рендомом 6 цифр, як правило щохвилини. ймовірність - 10*10*10*10*10*10 = 1 млн. комбінацій - на 1 хвилину..
....
У нас нет понимания.
Суть в том, что к примеру есть риск мошеничества внутри банков. Реальный риск, даже с учетом всех мер которые банки предпринимали - в прошлом были инцинденты что корсчета отделений украинских банков сисадмины опустошали. Цель НБУ - регулировать банковскую систему так, чтобы снизить до минимума такие риски как у самих банков, так и у клиентов.
В рамках такого регулирования и были приняты постановления, а потом и закон о том, что документы должны быть подписанны ЕЦП и банк безусловно может доверять такому документу.
Более того - это самое доверие распространяется дальше по системе - вплоть до получателя средств. Который может быть уверен - что платеж совершен в рамках закона и несет минимум рисков отзыва.
В случае же пользования системой с именем-паролями - у банка нет защиты (кроме пункта в договоре что именно клиент несет все-все риски связанные с пользованием системой третими лицами). Т.е. платежи, которые вот так вот проведены на основе паролей или СМСки - теоритически могут быть оспоренены.
Потому как клиент прийдя в суд, может потребовать доказательства проведения операции именно им - а банк мало что сможет предоставить. Утверждения что клиент ввел правильный логин, пароль и ему была посланна именно такая СМСка - могут не найти потверждения в ходе разбирательства. Потому как и логин и пин и код из СМСки доступны банку и его сисадминам. А в случае каких-то ошибок в ПО - то даже хакерам.
Вывод какой - система в которой нет ЕЦП не дает гарантии клиенту о сохранности его средств, даже если клиент будет соблюдать все необходимые меры предосторожности. Потому как в системе без ЕЦП появляются риски несанкционированных вмешательст со стороны третих лиц (в т.ч. и сотрудников банка). Т.е. как бы клиент не старался и бережно не относился к своему компьютеру, ПО которое на нем стоит - есть риск что его все-равно обкрадут и сделают крайним (по договору).
Optimus_ написав:токен генерує рендомом 6 цифр, як правило щохвилини. ймовірність - 10*10*10*10*10*10 = 1 млн. комбінацій - на 1 хвилину..
....
У нас нет понимания.
Суть в том, что к примеру есть риск мошеничества внутри банков. Реальный риск, даже с учетом всех мер которые банки предпринимали - в прошлом были инцинденты что корсчета отделений украинских банков сисадмины опустошали. Цель НБУ - регулировать банковскую систему так, чтобы снизить до минимума такие риски как у самих банков, так и у клиентов.
В рамках такого регулирования и были приняты постановления, а потом и закон о том, что документы должны быть подписанны ЕЦП и банк безусловно может доверять такому документу. Более того - это самое доверие распространяется дальше по системе - вплоть до получателя средств. Который может быть уверен - что платеж совершен в рамках закона и несет минимум рисков отзыва.
В случае же пользования системой с именем-паролями - у банка нет защиты (кроме пункта в договоре что именно клиент несет все-все риски связанные с пользованием системой третими лицами). Т.е. платежи, которые вот так вот проведены на основе паролей или СМСки - теоритически могут быть оспоренены.
Потому как клиент прийдя в суд, может потребовать доказательства проведения операции именно им - а банк мало что сможет предоставить. Утверждения что клиент ввел правильный логин, пароль и ему была посланна именно такая СМСка - могут не найти потверждения в ходе разбирательства. Потому как и логин и пин и код из СМСки доступны банку и его сисадминам. А в случае каких-то ошибок в ПО - то даже хакерам.
Вывод какой - система в которой нет ЕЦП не дает гарантии клиенту о сохранности его средств, даже если клиент будет соблюдать все необходимые меры предосторожности. Потому как в системе без ЕЦП появляются риски несанкционированных вмешательст со стороны третих лиц (в т.ч. и сотрудников банка). Т.е. как бы клиент не старался и бережно не относился к своему компьютеру, ПО которое на нем стоит - есть риск что его все-равно обкрадут и сделают крайним (по договору).
Згоден. Ви просто дивитеся на це "більше" зі сторони банку, я - більше зі сторони реального юзера системи, який переживає за те, що ніякий хакер чи той же співробітник банку не перехватив смску і не злив усі мої гроші.
По крайній мірі, якщо я юзаю токен при логіні в систему - ймовірності більше що мої збереження залишаться "цілими", аніж логінюся в систему по смсці, що прийшла на мобільний або по паролю із листочка .
Ризик є завжди у всьому. Тому і аудитори придумали таке поняття "рівень суттєвості"
Optimus_ написав:По крайній мірі, якщо я юзаю токен при логіні в систему - ймовірності більше що мої збереження залишаться "цілими", аніж логінюся в систему по смсці, що прийшла на мобільний або по паролю із листочка .
Згодні зі мною)?
Технологически нет!
Если злоумышленник уже у Вас (в смысле троян уже установлен у Вас на ПК), то стырить у вас ключ, либо воспользоваться вашим токеном для наложения ЕЦП под липовым документом технически не намного сложнее наложения одноразового пароля.
ak написав:Если злоумышленник уже у Вас (в смысле троян уже установлен у Вас на ПК), то стырить у вас ключ, либо воспользоваться вашим токеном для наложения ЕЦП под липовым документом технически не намного сложнее наложения одноразового пароля.
Не занимайтесь самообманом
вот и я о том же. Сейчас мы говори о "если". Таких если есть миллион. При сговоре 2-3 человек в отделении банка можно уводить миллионы без особого хакерства, и не нужно искать какие-то способы защиты, потому что их не существует. Но тут явное самоубийство или идиотизм таких сотрудников, т.к. это выяснится в тот же день.
Ребята, не удалось найти здесь какой-либо информации на эту тему, поэтому изложу ситуацию.
Сегодня мне стало известно, что Укрсиббанк больше не обслуживает карты Маэстро (в семье 4 карты Маэстро открыты к АГ). Это я понял после того, как в магазине по моей карте не прошла оплата. Мне сообщили, что карта не обслуживается.
Позвонив в банк, выяснил следующее - карты Маэстро больше не обслуживаются в пос-терминалах (в магазинах), а также в кассах банка, можно только снять деньги в банкомате (надолго ли это "можно" - неизвестно). Это я узнал во время второго звонка. Во время первого меня заверили, что расплатиться картой в магазине по-прежнему можно. Но, как оказалось, это не так. И в банке это подтвердили уже во время второго моего звонка.
Итого карты по сути больше нерабочие, поскольку я почти всегда расплачиваюсь этой картой. Вынужден был бросить половину продуктов на кассе в магазине, поскольку наличных не хватало.
Мне интересно, как вы оцениваете тот факт, что банк без какого-либо предупреждения, даже на своем сайте, сделал такой шаг? почему нельзя было разместить информацию? чтобы сохранить нормальное отношение клиентов, почему пожлобились на смс-рассылку или на электронную почту или на обычную почту- все равно. Это же масштабная штука, я боюсь предположить, скольких это затронуло!
Самое смешное, что где-то 2 недели назад мне пришла смс-ка от Укрсиба с предложением подойти в отделение и забрать свою карту. Какую карту - непонятно. Прихожу, мне отдают карту Виза к одному из валютных счетов. Спрашиваю - так у меня ж еще действительна моя Маэстро, зачем выпустили еще одну? Ошибки нет?. Мне отвечают - ошибки нет, берите-берите. Ну взял, проверил - работает. Ну оставил дома, пусть лежит.
Поэтому логично задать еще один вопрос: неужели так сложно было сказать мне при выдаче карты, что Маэстро через 2 недели заблокируют, меняйте все карты.
НУ ПОЧЕМУ ТАКАЯ ***? Как может быть такой сервис в крупном банке? Может я не понял чего-то и это нормально?
Ребята не волнуйтесь с мая месяца по текущему счету, который есть у вас будет открыта опция Интернет-банкинга. Обновляются тарифы, объявление с новыми тарифами уже размещено на отделениях и на сайте.
.
