Авторизация с дополнительным подтверждением

Avatar
  • обновлен

Почти все операции делаются без дополнительного подтверждения.

Как вариант его добавить, либо добавить через какой-то Гугл аутондификатор. Как двухэтапная защита дополнительная.

Avatar
Роман Петрович Х.

Спасибо за комментарии. СМС по каждой сделке это ужасно. Потому и отключили. Но пример с выводом денег через вторичку показателен. Такое может случится.


Мы сделаем двухфакторную авторизацию для тех, кто этого желает. Думаю, что для сумм от 1 млн мы будем рекомендовать ее включить. 

Avatar

К принудительной двухфакторке всех людей не нужно принуждать это однозначно. Я думал это уже стандарт во всех финансовых проектах...

Avatar
Цитата от Евгений Михайлович Б.

Google - слово неприличное :)

Лучше на основе открытых стандартов с открытым исходным кодом. Типа такого что-то:

https://f-droid.org/en/packages/com.beemdevelopment.aegis/

Да хотя бы смс прикрутили...

Avatar

У каждого свои тараканы в голове. И  даже если  несколько инвесторов на платформе "параноики", их мнением пренебрегать нельзя. А вот сделать двухфакторку на вход добровольной ,по желанию, мысль хорошая.

Неплохо бы провести опрос мнений, что то вроде голосования. Думаю, администрация может это сделать. А пока все сводится к просто спорам.

Avatar
-3
Марат Ринатович Х.
Цитата от Сергей У.

Двухфакторка нужна, так как, ничего не помешает злоумышленникам и липовые документы сделать и открыть счет в другом банке на якобы такого же человека если сумма будет значительной для вывода с аккаунта и если речь идёт о нескольких десятках тысяч, то да никто не будет этого делать, а вот если несколько десятков миллионов, то поверьте - вполне. 

ради 1% юзеров со "значительной суммой" не нужно мучать 99% остальных юзеров. Вот пусть им и делают единичным аккаунтам с несколькими десятками миллионов руб на счету эксклюзивно +параноикам. А всем 100% юзерам принудительно пожалуйста не надо умоляю прошу)

Avatar
Марат Ринатович Х.

Не надо усложнять авторизацию пожалуйста, было пол года назад подтверждение каждого действия по СМС, это было ужасно. Или если добавляете, то добавьте только тем кто её просит и сам не понимает для чего это ему, а мне не надо усложений в мой акк. Спасибо.

Avatar
Юрий Геннадьевич П.

Голосую за двухфакторку. Тем более, в видео было сказано, что всё уже есть, но отключено.

Предположим, злоумышленник находит на сайте дыру и получает доступ к аккаунтам минимум 2-х человек. Заходит под 1-м и от его имени выставляет заявки на продажу всех активов по 1%. Потом заходит под своим аккаунтом и выкупает все эти заявки. Это легко провернуть, так как ликвидность на вторичном рынке низкая. Деньги со счёта 1-го клиента перетекли злоумышленнику, но у него ещё остались долги. Он выставляет их на продажу по 200%. Потом заходит под 2-м клиентом и выкупает все эти долги. Итого: 2 клиента лишились денег, а они перетекли на счёт злоумышленника, а он тут же выводит их на свой счёт. При этом клиенты 1 и 2 даже не знают, что от их имени совершаются сделки, так как нет никаких уведомлений о входе на сайт и сделках. Это так, наброски идеи кражи.

Впрочем, даже если получить доступ только к одному аккаунту, то сначала можно продать часть долгов за 1%, а потом обратно их же и купить за 200%.

Мне сейчас категорически не нравится, что можно без проблем зайти на сайт по простому паролю, а потом от моего имени совершать какие-то сделки. А у меня даже нет возможности узнать кто и когда заходил.

Avatar
Цитата от Сергей У.

Двухфакторка нужна, так как, ничего не помешает злоумышленникам и липовые документы сделать и открыть счет в другом банке на якобы такого же человека если сумма будет значительной для вывода с аккаунта и если речь идёт о нескольких десятках тысяч, то да никто не будет этого делать, а вот если несколько десятков миллионов, то поверьте - вполне. 

если допустить, что даже банк пропускает поддельные документы и оформляет счет по ним на несуществующего человека, ты думаешь какая-то несчастная двухфакторка спасет? везде где есть двухфакторка есть и процедура ее отключения в случае утери телефона на котором она установлена например, в большинстве случаев это делается через техподдержку. и если банк пропустил поддельные документы при подписании договора на открытие счета, ты думаешь техподдержка их не пропустит при запросе об отключении двухфакторки?

Avatar
Кирилл Борисович С.

Простой вопрос: Вы видели хотя бы один банк, который использует Google Authenticator?

Вопрос со звёздочкой: Почему?

Avatar

Google - слово неприличное :)

Лучше на основе открытых стандартов с открытым исходным кодом. Типа такого что-то:

https://f-droid.org/en/packages/com.beemdevelopment.aegis/