Банки и безопасность платежей
В свое время возникла задача обеспечения безопасности личных банковских платежей. Как всегда в сети найти чего то путного и вменяемого быстро не получилось, поэтому решено было использовать принцип разнесения номера для звонков и спец. номера для банкинга.
Самое грамотное было бы использования ЭЦП (электронно цифровой подписи) на отдельном устройстве (типа флешки) для подписи каждой банковской / брокерской операции, НО банки пока не могут = не хотят для физиков такой сервис + совокупить смартфоны с такой ЭЦП тоже экзотика.
Есть отдельные решения по криптографии для смартфона, но они для каждого провайдера сервиса (банка, брокера) свои, общего решения нет. Да и плохой вариант когда у вас 2, 3 ,10 ЭЦП. ЭЦП должна быть одна и на защищенном устройстве.
Конечно банки и брокеры будут заливать вам в уши сказку о великой и неколебимой безопасности их приложений. При этом при 2х факторной авторизации, 2м фактором в общем случае до сих пор выступает СМС. А в сети есть статейки что СМС вообще не безопасный способ передачи информации и может быть перехвачена при должном усердии взломщика. А так же весьма интересно работают и сами банковские приложения «заботливо перехватывающее» входящую авторизационную / платежную смс и предлагающее тебе ее вставить сразу в окно подтверждения. Интересно: а на смартфоне могут быть другие приложения маскирующееся под добропорядочные, но так же могущие перехватить смс-ку и отправить ее кому другому?
Вообщем было решено на смартфоне оставить приложения, а симку с номером для авторизации / платежах в банке использовать в простом кнопочном телефоне. При этом этот номер должен был знать только банк(и) (ну и понятно мобильный оператор) и он должен быть использован только для смс-кодов. НО, как всегда, оказалось «есть нюанс»
Какая то умная голова придумала в свое время СБП (система быстрых платежей) в которой зная только номер телефона можно перевести почти мгновенно сумму денег другому физ / юр лицу. И все бы ничего, только оказалось что банковские сервисы могут использовать только один номер и для СБП и для рассылки авторизационных / платежных кодов. Такими образом ваш телефон для кодов теперь знает каждый кто желает вам денег перевести. И если вы скомпрометируете пароль для приложения банка, то дальше уже дело техники и второй фактор авторизации вам не поможет.
Так вот вопрос в том — почему бы не сделать такое наипростейшее решение, как разрешить добавить в банковские приложения 2 номера — один для СБП, который может быть известен другим, а второй условно «секретный» для кодов авторизации / платежей от банка. И ведь сейчас есть большое число так называемых специалистов по информационной безопасности (в том числе в финансовых учреждениях) с нехилой ЗП, которые видимо не в состоянии оторваться от чисто узко-технических задач и помыслить немного системно-обобщенно и сделать это решение с 2мя номерами.
