Альфа-Банк (2005 - 2021) Sense Bank

Но прежде чем отказываться от логинов - нужно внедрить биометрию в мабе.

Это как? Нах она там нужна?

А как биометрия работает в мобильных аппликухах знаете? Смартфон своим кривым и недоделанным софтом анализирует отпечаток и затем, если установит его идентичность, посылает серверу пароль. Причем для этого ему нужно его запомнить (догадываетесь, к чему это может привести?).

Т.о. со стороны сервера это выглядит так, что пользователь аутентифицировался (входил в аппликуху) по логину и паролю.

А биометрия там прилеплена сбоку и при разборах полетов (если что) на нее никто смотреть не будет и клиенту будут заявлять, что он входил по логину и паролю, которые знает только он.

Т.е. биометрия там такой себе сбоку бантик, ради которого у клиента отобрали возможность нормально и безопасно входить по логину и паролю. При этом в некоторых аппликухах для некоторых девайсов (например, рутованных) вход через биометрию отключают.

Итого в части обеспечения безопасности там ошибка на ошибке и ошибками погоняет. Про OWASP там, наверное, и не слыхали. Ну и правильно, если это ПТУ или палата №6. Кроме того там не только OWASP, но и базовые основы информбезопасности нарушаются.

Раніше виготовляли картки без даних на пластику, але багато з клієнтів були цим дуже не задоволені

А что в Sense сложно реализовать возможность, чтобы клиент сам выбирал какие данные печатать на пластике?
Спарта об этом не задумалась видимо.

наприклад, для входу в sense на новому пристрої/після перевстановлення/зміни користувача треба CVV активної картки.

Можно было связать приложение Google Authenticator с Альфой и вместо CVV2/CVC2 запросить код из указанного приложения.
Хорошая такая двухфакторная аутентификация.

Либо CVV2/CVC2 код запросить в SMS после прохождения гестапо через чат или контакт-центр. Ну это уже может быть менее надёжно.

А как биометрия работает в мобильных аппликухах знаете? Смартфон своим кривым и недоделанным софтом анализирует отпечаток и затем, если установит его идентичность, посылает серверу пароль. Причем для этого ему нужно его запомнить (догадываетесь, к чему это может привести?).

К чему?

А тепер запитання, навіщо!???

И действительно, зачем выполнять требования МПС? Давайте уже требуйте, чтобы банк выдавал клиентам белый пластик. Тем более, что что-то близкое к этому он уже вроде делал.

И логика ведь железная - "т.к. все это есть в cенсе". А спросить сколько в банке клиентов МАБ-only и Sense-only - это лишнее. Действительно, пусть МАБ-only пролетают. Т.к. "2FA ж переместилась на смартфон". Короче, бедные клиенты, которым можно только посочувствовать.

К чему?

Секрет, я ж не грил, что всем буду рассказывать. Если что, то согласно требованиям OWASP на смартфонах (в мобильных аппликухах) не должны запоминаться никакие клиентские данные.

Можно было связать приложение Google Authenticator с Альфой

Та уже сразу предлагайте фейсбучную аутентификацию, думаю, у них руки чешутся ее прикрутить. Фейсбук с гуглом - это ж самые безопасные (и честные) конторы

Чудо сайт висить, шановні хто пам'ятає по тарифам хамелеона оповіщення за операції безкоштовно в будь-якому варіанті СМС,пуш?

А спросить сколько в банке клиентов МАБ-only и Sense-only - это лишнее. Действительно, пусть МАБ-only пролетают.

Похоже, что серьезные, уважающие себя клиенты бывшему банку не нужны. Нужны те, кто готов по чьей-то прихоти раз в пару лет кардинально менять свои привычки, не задумываясь ни о целесообразности, ни о безопасности. Таких проще доить, заманивая призраком шары.
Я долго думал, что такое совершенно неприемлемое для банка поведение вызвано тем, что набрали дешевых маркетологов, которые прошли курсы "представителей канадской оптовой компании" и не понимают, чем должны отличаться методы работы банка, который может торговать только своей репутацией и методы работы на проходняке. Но сейчас это приобрело такие масштабы, что явно выходит за пределы компетенции недоучки- маркетолога. Это стратегия.

ЗЫ Для того, чтобы выглядеть прогрессивно, достаточно вводить новшества, но отказываться от того, что удобно и привычно клиентам, совсем не обязательно.

Чудо сайт висить, шановні хто пам'ятає по тарифам хамелеона оповіщення за операції безкоштовно в будь-якому варіанті СМС,пуш?

І те і те безкоштовно Тарифи по картці можна переглянути і в Sense, до речі

Сьогодні отримав на новійпошті пакетик з хамелиончиком. Перший погляд - достойно і так як треба. Другий погляд - рукожопство і кроки назад в розвитку, це АльфаБанк! ))
Пояснюю що саме шокувало. Надрукований номер картки, дата валідності, і бінго! CVV!!! А тепер запитання, навіщо!??? Навіщо і для кого ви це все надрукували?! всі ці данні є в додатку вашому Сенсі, при потребі все там показується відносно безпечно. Нашо друкувати це на картці? Я перед цим мав Платінум Блек, на візах нічого нема окрім мого Імя та Фамілія. ВСЕ!

А вимогу платіжних систем щодо присутності цієї інформації на картці відмінили? Так, я знаю, що є картки, на котрих нічого немає, але вважав це таким собі порушенням, на яке платіжні системи закривають очі (взагалі вони багато на що закривають очі), але все ж таки порушенням.