Безопасность приложения Райффайзенбанка
Первый пост пишу в попытке повлиять на Райффайзенбанк.
С начала августа Райф заставляет пользователей приложений онлайн банка и инвестиций устанавливать 4-значный код, который будет использоваться для входа. То есть, вместо сочетания "логин + пароль + код из смс", Райф заставляет использовать для входа всего 4 цифры. Если код не установить, приложениями пользоваться нельзя. Если установить код, то для входа в приложение потребуется ввести только его (ни пароля, ни смс-кода)!
Вот ответ разработчиков на просьбу вернуть логин без кода:
На данный момент вход по короткому коду является обязательным.
Короткий код безопаснее входа по логину и паролю. Короткий код хранится только на стороне пользователя.
Для входа по короткому коду обязателен доступ к устройству, необходимо знать короткий вход / иметь биометрические данные клиента (отпечаток, лицо).
Типичная тупая отписка, возникают вопросы:
1. Если код хранится только на стороне пользователя, то есть аутентификация происходит на стороне клиента, можно клиентское приложение взломать?
2. А пароль где хранится, на стороне банка? Они хранят мой пароль в сыром виде?!
3. Для входе с логином и паролем не требуется доступа к устройству? xD
Короче, тут есть представители Райфа? Вы чё творите то?
