Ошибки в системе безопасности

Добрый день.

Да, вы правы, что мы могли бы ответить поскорей. Не хотели заставлять вас ждать. Планировали не просто ответить на вопрос, но и предложить альтернативу и решить, какие средства защиты мы планируем ввести в будущем.

Начнём по порядку.

Токен работает в прежней версии интернет-банка. Новая версия ещё дорабатывается, мы собираем пожелания клиентов, и реализуем самые необходимые. Токенами пользуются совсем немногие, и мы приняли решение через некоторое время начать работу с другой программой, которая не менее безопасна, у неё широкий функционал, она куда удобней, и создавалась специально для работы с банковскими операциями. В будущем вы наверняка сможете ей воспользоваться. Если она будет платной, вероятно, сможем придумать что-нибудь с возмещением стоимости токена, полной или частичной. Какие сложности у вас возникают с работой токена в прошлой версии?

Если вы используете мобильное приложение. В скором времени при установке приложения понадобится не только логин и пароль, но и код из смс. Можно дополнительно обезопасить себя, установив TouchID (как понимаю, ваш телефон не поддерживает этот способ защиты) или pin для входа в приложение. Плюс, для подтверждения операций свыше 15 тысяч рублей, понадобится вводить код из смс. Номер телефона можно привязать к другому телефону для большей надёжности. И установить pin или пароль для работы с гаджетом.

Никаких проблем с работой токена в старой версии нет, но дело-то в другом: если злоумышленникам стал известен мой логин и пароль, то ВСЕ - они ставят мобильное приложение, вводят мой логин и пароль и имеют ПОЛНЫЙ доступ к моим счетам! А что касается новой версии - то тут чуть сложнее - требуется клон моей сим-карты. Объясните мне ПОЧЕМУ ПРИ НАСТРОЙКАХ В ЛИЧНОМ КАБИНЕТЕ "ПОДПИСЬ ТОЛЬКО ОТР ТОКЕН" в других приложениях можно подписать  документы по коду СМС? Ведь настройки привязаны к моему аккаунту (счетам и т.д.), а не к версии приложения!!! Признайте свою ошибку и, пожалуйста, исправьте. Если приложение не поддерживает возможность ввода кода токена, ну значит ОТКАЖИТЕ В ПОДПИСИ, отправьте к настройкам и т.д. Это ведь очевидно, что ЕСЛИ Я ЗАДАЛ ТОЛЬКО ТОКЕН, ТО Я НЕ ХОЧУ ДЛЯ СЕБЯ ИЛИ КОГО-ТО ДРУГОГО ДРУГОЙ ВОЗМОЖНОСТИ, КРОМЕ КАК ЗАДАННОЙ В МОИХ НАСТРОЙКАХ!

Да, забыл - TouchId проблему не решает никак, ведь я говорю не об утере телефона, а о том, что злоумышленники ставят приложение на своем гаджете, зная мой логин и пароль. Естественно, ИХ отпечаток пальца у НИХ тоже "прокатит"

Чтобы работать с телефона было безопасно, при установке мобильного приложения необходимо будет ввести код из смс. В одну из ближайших сборок мы это реализуем. Дополнительно обезопасить себя вы сможете, указав для смс-кодов другой номер, чтобы коды приходили на другой телефон, вдобавок установив pin для работы с телефоном.

Вероятно, мы не акцентировали внимание на том, что токен работает только с интернет-банком. Скажите, может мы обещали обратное?

Дело в том, что «Подпись только OTP-токен» находится именно в интернет-банке. Интернет-банк и приложение - разные платформы.

Вы можете использовать адаптивную, мобильную версию интернет-банка, если хотите работать только с токеном.

К приложению токен не имеет отношения, как вы уже узнали. И в ближайшее время нет задачи такой настройки.

Как уже писали, есть в планах уже этой осенью начать работу с новой, безопасной и удобной программой, и, судя по всему, она будет доступна как для интернет-банка, так и для приложения. 

С приложением разобрались, замечательно, жду с нетерпением обновления!.

О том, что токен поддерживается ТОЛЬКО в старой версии интернет-банка мне, естественно, никто не сообщил, этого нет и в материалах на сайте Точки!

Теперь остался главный вопрос по интернет-банку: почему вы не можете вообще запретить подпись документов в новой версии, если в настройках указано ТОЛЬКО код с ОТР-токена? ЭТО ВЕДЬ ОДНА И ТА ЖЕ ПЛАТФОРМА ! И настройки авторизации для новой версии можно сделать ТОЛЬКО ИЗ СТАРОЙ ВЕРСИИ интернет-банка

Насколько нам известно, в чате всё же писали, что в новом интернет-банке токен не работает. Вы найдёте в переписке подтверждение, в самом начале.

Более того, чтобы войти в новую версию, необходимо ввести код с токена. А токен находится только у вас. И лишь операции подтверждаются смс.

Бесспорно, недоработка есть, мы не отрицаем этого. Но, может, имеет смысл немного подождать новой программы для безопасности работы с приложением и интернет-банком, и поработать пока с прежней версией интернет-банка?

Конечно, вы не оставляете выбора. Хотелось бы знать, " немного подождать" - это сколько?

Как уже писали - хотим, чтобы всё заработало в третьем квартале года, в начале четвёртого. Постараемся скорей.

Вы пишете "Насколько нам известно, в чате всё же писали, что в новом интернет-банке токен не работает". Конечно, писали, я не спорю. НО никто не сказал, что настройки входа  и подписания работают "наполовину" - вход в новой версии - поддерживает токен, а подписание - нет ???

Расскажите, пожалуйста, что это меняет? Вы можете работать в прежней версии интернет-банка. А чтобы безопасность входа в интернет-банк поддерживалась на уровне токена, мы сделали возможность подписывать вход кодом, а не смс. В остальном токен не работает в новой версии.

Я хочу, чтобы ВСЕ мои и чьи либо действия (в соответствии с настройками в личном кабинете) подтверждались кодом моего токена и только, я не доверяю службе СМС сообщений, не хочу это даже обсуждать. Токен есть, анонсирован банком, доступ должен работать так, как я его сконфигурировал в настройках, независимо от приложений, платформ и т.п. Если я в Сбере указал, что использовать одноразовые пароли, то так и будет, если там же я установил мобильное приложение на другой телефон - оно не получит доступ к моим деньгам до тех пор, пока я не позвоню в банк и не дам подтверждение, что новое устройство действительно мое.

Если вы настроите вход и работу с интернет-банком через токен - так и будет. Мобильное приложение не работает с токеном. Как уже писали, есть логика в том, что и мобильное приложение может работать с токеном, но мы и не предлагали токен для этой цели, речь была об интернет-банке. Услуга не идеальна, но мы и не анонсировали её как способ работы с приложением и новой версией интернет-банка.

Предлагаем дождаться лучшего решения.

Если честно, я устал от переписки с вами и вижу бессмысленность продолжения этого. Вы не хотите понять (или признать), что так делать нельзя! в который раз говорю: если я как клиент банка сказал, что авторизация только по токену, то не важно, с помощью какого приложения я или кто-то пытается работать с моим счетом, используя мои логин и пароль. Если программа не поддерживает токен-скажите, что работа невозможна и либо измените настройки, либо до свидания... НУ В ЧЕМ Я НЕ ПРАВ ?

Вы правы в том, что логичнее было бы дать возможность работать с токеном в обеих версиях интернет-банка и приложении. Прежняя версия интернет-банка поддерживает работу с токеном. Новая версия и приложение - нет. Приложением можно пользоваться по усмотрению, новой версией можно не пользоваться. Никто не попадёт в интернет-банк без токена. Только прежняя версия кабинета работает с токеном полностью, вторая только на вход. Вашего логина и пароля не достаточно, чтобы войти в интернет-банк. 

С приложением, как писали, другая история. Если кто-то захочет, зная ваш логин и пароль, войти в него, нужно будет его сперва установить. А для этого понадобится код из смс, которое придёт на привязанный номер телефона. Если вы не хотите пользоваться мобильным приложением, считая его небезопасным, можно пользоваться браузерной, адаптивной под мобильные устройства версией интернет-банка.

Уверены, вам бы понравилась наша затея, которая заменит токен уже этой осенью.