Sense Bank

Там же КЕП є. Це крутіше і щитільніше

Чим?

Якщо додаток хакнуть -- то взнають і той КЕП.
А смс, отримувану на якийсь кнопк.телеф -- майже ніяким хаканням не дістануть.

Смс таки надійніша...

ні. сертифікати КЕП зберігаються зовнішньо, на носіях ЗНКІ Гряда, тому через додаток їх не ломануть

А якщо перехоплюють клавіші, коли набираєте код КЕПа?

Та й відсилання грошей назовні, навіть в інші банки -- теж смс не питає...
Хіба це норм, питати смс, коли людина відкриває депо на три дні на 100грв (мізерна сума), і не питати, коли шле десятки чи й сотні тисяч назовні (хай навіть і на свій ІПН).

А якщо перехоплюють клавіші, коли набираєте код КЕПа?

Это не так, чтобы просто. Нужно же это делать тогда, когда КЭП создавался. Ну а вообще, если смартфон совсем взломан, то ничего не спасёт и SMS, если оно на тот же смартфон приходит, секурность не усилит. Зато подтверждение только по SMS уязвимо к атаке на уровне опсоса и говорят, что это куда реальнее, чем смартфон ломать.

Хіба це норм, питати смс, коли людина відкриває депо на три дні на 100грв (мізерна сума), і не питати, коли шле десятки чи й сотні тисяч назовні (хай навіть і на свій ІПН).

Я так понимаю, что в этом случае SMS идёт про согласие с договором депо, а не про перевод денег. Сами переводы всегда без подтверждений. Вроде, нормально. В Привате раньше просило SMS на каждый перевод. Было довольно утомительно. Потом тихонечко просить перестали и ничего страшного не произошло.

Там же КЕП є. Це крутіше і щитільніше

Чим?

Якщо додаток хакнуть -- то взнають і той КЕП.
А смс, отримувану на якийсь кнопк.телеф -- майже ніяким хаканням не дістануть.

Смс таки надійніша...

ні. сертифікати КЕП зберігаються зовнішньо, на носіях ЗНКІ Гряда, тому через додаток їх не ломануть

Це все суцільна маячня. Хакер, або сам банк будь-якої миті заявить, що операцію ви провели і підтвердили власноруч, зі всіма відбитками пальців, розпізнаванням морди обличчя чи пін-кодом. У клієнта немає ніяких навіть теоретичних можливостей це спростувати. Таке було відносно недавно в ПУМБ, коли самі представники банку підтверджували, що для них оспорювана операція -- легітимна і належним чином підтверджена з боку клієнта. Навіть із підтвержденням через СМС-код, геть нічого банку не заважає заявити, що було введено вірний код, хоча це може й не так, і навіть коли взагалі нічого нікуди не вводилося.
А ще раніше, за часів Приватбанку Коломойського повідомлялось про випадки, коли банк змінював отримувача платежу після його підтвердження клієном на свої реквізити буцімто на "погашення заборгованності", хоча клієнт хотів зовсім не цього.

Правильний підхід, який, нажаль, ніколи не застосовується -- це не "підтвердження відбитком пальця" і не "двохфакторна авторизація". Це можливість клієнту підписати платіжний документ своїм цифровим підписом, який згенеровано на його власному комп'ютері, ніколи не передавався до банку, і ніколи не зчитувався ніяким банківським додатком (бо невідомо, що цей додаток з цим кодом зробить). А підписуватись має повідомлення в якомусь відкритому форматі, щоб було вільно видно, що саме підписується і до, і після підпису. І за допомогою якоїсь загальновідомої програми з відкритим кодом, яку перевірено, що вона ніяку інформацію нікуди не передає. У випадку зовсім повної недовіри -- щоб комп'ютер, на якому накладається підпис, взагалі ніколи не підключався до інтернету, а документи для підпису приносились туди і забирались звідти флешкою. Але то вже зовсім незручно. На практиці достатньо було б того, щоб користувач міг сам побачити повний документ, який він підписує і передає до банку. Не у вигляді веб-сторінки з сервера самого банку, а локально, на своєму пристрої.

А ще раніше, за часів Приватбанку Коломойського повідомлялось про випадки, коли банк змінював отримувача платежу після його підтвердження клієном на свої реквізити буцімто на "погашення заборгованності", хоча клієнт хотів зовсім не цього.

Согласен, что это неадекватно. Но это прописано у них в ДКБО (вроде и сейчас тоже).
И это не единственная неадекватная вещь оттуда

... А підписуватись має повідомлення в якомусь відкритому форматі, щоб було вільно видно, що саме підписується і до, і після підпису...

... а не как, например, в А-банке: текст договора на планшете сотрудника, а подпись ставить на своём телефоне (не видя подписываемого текста)

#вечернийОффтоп

Це можливість клієнту підписати платіжний документ своїм цифровим підписом, який згенеровано на його власному комп'ютері, ніколи не передавався до банку

Но при этом, если приватный ключ подписи лежит у тебя на диске, то это всего лишь УЕП, который по окончании военного положения грозятся вообще перестать принимать, а вот если где-то у дяди в облаке, тогда это КЕП и почему-то гораздо секурнее

А якщо перехоплюють клавіші, коли набираєте код КЕПа?

Та й відсилання грошей назовні, навіть в інші банки -- теж смс не питає...
Хіба це норм, питати смс, коли людина відкриває депо на три дні на 100грв (мізерна сума), і не питати, коли шле десятки чи й сотні тисяч назовні (хай навіть і на свій ІПН).

розумієте, ОТП пароль в смс є ПЕП або УЕП, відкриваючи депо чи картку ви ж підписуєте акцепт, от він і підписується отп паролем як простим електронним підписом. отак в сенсі реалізовано (і не тільки в сенсі)
а платежі це вже інша справа; договори купівлі-продажу ЦП тим більше

На практиці достатньо було б того, щоб користувач міг сам побачити повний документ, який він підписує і передає до банку. Не у вигляді веб-сторінки з сервера самого банку, а локально, на своєму пристрої.

тут підтримую

Це можливість клієнту підписати платіжний документ своїм цифровим підписом, який згенеровано на його власному комп'ютері, ніколи не передавався до банку

Но при этом, если приватный ключ подписи лежит у тебя на диске, то это всего лишь УЕП, который по окончании военного положения грозятся вообще перестать принимать, а вот если где-то у дяди в облаке, тогда это КЕП и почему-то гораздо секурнее

можна не у дяді, а в себе, але на апаратному носії, а не просто файликом (токени алмаз, кристал, автор)
ті файлики всі вже попересилали своїм бухгалтерам, дітям, внукам і так далі, я думаю в тому полягає основна несек'юрність

можна не у дяді, а в себе, але на апаратному носії, а не просто файликом (токени алмаз, кристал, автор)

Да, я в курсе, что на аппаратном носителе тоже будет КЕП. Но казалось бы, что владелец подписи должен бы решать кому её распространять и в идеале никому, а тут вдруг отдал дяде и секурность выросла.

ті файлики всі вже попересилали своїм бухгалтерам, дітям, внукам і так далі, я думаю в тому полягає основна несек'юрність

Я не пересылал. Так что точно не все. А вот подход действительно такой, как будто бы все раздают кому попало, раз возможность есть. Пусть уже и за изнасилование судят

Вже більше двох тижнів не можуть це виправити)

а розстрочка оформлюється правильно чи теж з помилкою?

розстрочка схоже оформлюється правильно, але що в додатку, що в смс приходить сума в 100 разів менша, що трошки напружує. невже ніхто не звертає уваги?

сам спитав, сам відповів

після оновлення додатку сума розстрочки в додатку вказується правильно, але ТАДАМ - в смс все одно з помилкою в 100 разів менше тобто наче й виправили, але не до кінця - чекаємо далі