Форум

Мобильное приложение - генератор одноразовых кодов.

Это безопасно?

  • 1
Безопасно ли использовать мобильное приложение - генератор одноразовых кодов. Приложение однократно активируется смс кодом, после чего работает автономно (без интернета). Мне это удобно, но безопасно ли? Предлагается как бесплатная замена токену.
 
Цитата
hysteresis пишет:
Предлагается как бесплатная замена токену.


Кто Вам предлагает? От этого может зависеть ответ на основной вопрос:
Цитата
hysteresis пишет:
Безопасно ли использовать ...


В общем случае, если все так, как Вы описали:
Цитата
hysteresis пишет:
однократно активируется смс кодом

Цитата
hysteresis пишет:
работает автономно (без интернета)

- в таком случае это наиболее безопасный способ по сравнению со многими другими способами подтверждения.
女性自尊的好處:自己的思想。
 
Итак: кто предлагает, для какой цели (только вход, вход и отдельно подтверждение действий?), каков принцип формирования кодов подтверждения?

От этого зависит надежность и безопасность.
Цитата
Fita55 пишет:
на безопасность влияет не только способ доставки, но и, в гораздо большей степени, способ формирования кода подтверждения.
女性自尊的好處:自己的思想。
 
Предлагает банк для входа в интернет-банк и для подтверждения там всего кроме активации самой этой программы на новом устройстве.

Я поэкспериментировал с этой штукой - коды там привязанные ко времени - меняются каждые 30 секунд. Действуют 3 минуты. (Но один код можно только один раз применить даже если в пределах 30 секунд).

Программу можно установить на несколько устройств - коды получаются одинаковые если их одновременно сгенерировать (и часы точно установлены). Установка на несколько устройств никак в интернет банке не отображается - т.е. нет списка устройств на которых программа была активирована.
 
Цитата
hysteresis пишет:
коды там привязанные ко времени - меняются каждые 30 секунд


То есть это система OTP (one time password) - однора́зовые паро́ли, основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени). Википедия:
https://ru.wikipedia.org/wiki/%D0%9E%D...0%BB%D1%8C

Цитата
hysteresis пишет:
Предлагает банк


Лично я считаю, что банки часто недостаточно внимания уделяют безопасности. Но нам, простым клиентам, часто выбора не остается, приходится пользоваться тем, что банки предлагают, без альтернатив. В данном случае, насколько я поняла, банк предложил выбор: или СМС, или этот генератор паролей. Это уже хорошо.

Цитата
hysteresis пишет:
Безопасно ли использовать


Я считаю что безопасность ничем не хуже чем при использовании СМС или физического токена. Это приложение аналогично гугловскому аутентификатору, безопасность его такого же порядка.

Однако следует иметь в виду, цитирую из Вики:
Цитата
Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа «человек посередине»).


Поэтому и вот от таких случаев этот метод не спасет:
Тема: Безопасность каналов связи при работе с банком #109 09.06.2019 22:13

Но в таких случаях не спасет ни токен, ни цифровая подпись. Хотя есть простое, надежное и дешевое решение, которое банки почему-то применять не хотят.

Цитата
hysteresis пишет:
Установка на несколько устройств никак в интернет банке не отображается - т.е. нет списка устройств на которых программа была активирована.


Это можно считать недостатком. Например Сбербанк и Россельхозбанк не только делают видимыми подключенные мобильные приложения на определенных устройствах, но и позволяют их в интернет-банке отключать.
Изменено: Fita55- 28.07.2019 13:50
女性自尊的好處:自己的思想。
 
  • 1

Все продукты Банки.ру

Показать ещеСкрыть