Очень нравится Ваш банк, но хотелось бы усилить безопасность входа.
Так как SMS не очень безопасный протокол (есть достаточно много статей про уязвимости SMS через SS7) хотелось бы иметь возможность использовать ПО типа Google Authenticator
Добрый день, Мария!
Внимательно изучил материал и он немного не по теме, там описана как можно БЫЛО раньше обойти 2ФА и получить доступ к аккаунту Google, а не уязвимость самой модели Google Authenticator.
Покупать OTP-токен это конечно хорошо, НО это дополнительно устройство, которое нужно всегда носить с собой, и можно потерять, а Ваш банк отличается максимальной удобностью для пользователя.
Так что я все таки убежден, что было бы очень хорошо если будет возможность выбирать вариант получения одноразовых паролей.
Хорошо. :) Давайте я вынесу это предложение на обсуждение. Посмотрим на возможности реализации и её необходимость (и для других клиентов тоже, конечно же).
Дмитрий Петрович, добрый день!
Понимаю ваше беспокойство, только вот двухфакторная аутентификация с помощью логина и пароля - это общепринятая и даже утверждённая практика во многих банках и сервисах. Про уязвимости того же Google Authenticator есть немало статей. Сходу нашлись вот такие: https://habrahabr.ru/post/171037/, https://xakep.ru/2016/06/13/fake-google-alert/. Проще говоря, двухфакторные аутентификации даже в некотором смысле равны и похожи. И, создавая приложение, мы просто будем множить сущности. :)
Если же всё-таки нет доверия смс-кодам, возможно заказать OTP-токен, просто написав нам в чате интернет-банка. Стоит такой токен 2000 рублей. С помощью кодов, которые генерируются на таком токене, можно заходить в интернет-банк и подписывать любые платежи.