Здравствуйте, L.Long, Вы писали:
LL>То есть чтобы сделать что-то банальное и примитивное, типа оплатить штраф ГИБДД в 300 руб., надо совершить вот такую вот небанальную операцию?
Невероятно глупая аналогия. Безопасность нужна чтобы от твоего имени не совершлили какие-либо действия типа оформления микро-кредитов. Авторизация по BankID не отличается по сложности от использования СМС.
LL>Послать запрос, получить смс (или что там) с какой-то фразой, забить (а это телефон все же, не клавиатура компа) эту фразу, а потом еще ввести пин? Это сильно затрудняет использование основного функционала, а может и превосходит его по сложности.
Фантазия у тебя При авторизации происходит перенаправление на сайт BankId (тоже самое происходит при авторизации в налоговой с помощью гос.услуг). Там вводится номер телефона и ID (читай, номер паспорта), на портале авторизации показываются случайные слова, на телефоне надо подтвердить, что видишь эти эти же слова в приложении и ввести пин-код. Количество вводов точно такое же как и при использовании СМС: номер телефона, ID и пин-код. (Может при использовании СМС не спрашивают ID, но решение BankID порядки безопаснее.)
LL>Во, еще и СНИЛС всплыл.
Какой-то уникальный идентификатор знать надо, это лучше, чем почта или что-то такое.
LL>Я вот совершенно не помню, какой у меня СНИЛС, да и номер паспорта тоже.
Если это единый идентификатор на всю жизнь который довольно часто используется, то запомнишь без проблем (если совсем плохо с головой, то можно и записать ).
LL>А можно сделать проще? Например, при утрате телефона с этой сим-картой просто откатывать все транзакции с указанного пользователем момента?
Очевидно, что это совсем не проще.
LL>Понимаешь, если я, например, потеряю (или у меня сопрут) кошелек, я буду горевать об утраченных деньгах, но идея приковать бронированный кошелек с сейфовым замком якорной цепью к бетонной тумбе в секретном месте мне в голову все же не придет.
Кривые аналогии такие кривые
Здравствуйте, Skorodum, Вы писали:
LL>>То есть чтобы сделать что-то банальное и примитивное, типа оплатить штраф ГИБДД в 300 руб., надо совершить вот такую вот небанальную операцию? S>Невероятно глупая аналогия. Безопасность нужна чтобы от твоего имени не совершлили какие-либо действия типа оформления микро-кредитов. Авторизация по BankID не отличается по сложности от использования СМС.
надо оформление микрокредитов делать сложным, а не вообще всё подряд типа штрафов.
LL>>Послать запрос, получить смс (или что там) с какой-то фразой, забить (а это телефон все же, не клавиатура компа) эту фразу, а потом еще ввести пин? Это сильно затрудняет использование основного функционала, а может и превосходит его по сложности. S>Фантазия у тебя При авторизации происходит перенаправление на сайт BankId (тоже самое происходит при авторизации в налоговой с помощью гос.услуг). Там вводится номер телефона и ID (читай, номер паспорта), на портале авторизации показываются случайные слова, на телефоне надо подтвердить,
"перенаправление на bankid" и "портал авторизации" будут работать на одном телефоне.
S>что видишь эти эти же слова в приложении и ввести пин-код. Количество вводов точно такое же как и при использовании СМС: номер телефона, ID и пин-код. (Может при использовании СМС не спрашивают ID, но решение BankID порядки безопаснее.)
по сути ты описал google authentificator. на каждый чих его требовать очень задалбывает.
Здравствуйте, aik, Вы писали:
aik>надо оформление микрокредитов делать сложным, а не вообще всё подряд типа штрафов.
Вы тут с кем-то не тем спорите
Авторизация должна быть надежной и удобной. Авторизация по смс — не безопасное решение.
aik>"перенаправление на bankid" и "портал авторизации" будут работать на одном телефоне.
Разговор про веб-интерфейс, точно так же как у гос.услуг и всего прочего. С какого устройства пользователь пытается зайти — неважно.
S>>что видишь эти эти же слова в приложении и ввести пин-код. Количество вводов точно такое же как и при использовании СМС: номер телефона, ID и пин-код. (Может при использовании СМС не спрашивают ID, но решение BankID порядки безопаснее.) aik>по сути ты описал google authentificator. на каждый чих его требовать очень задалбывает.
Какая принципиальная разница с использованием смс если подтверждение действия таки нужно? Подтверждать каждое действие неудобно, но google authentificator и подобные решения хотя бы безопасны в отличии от СМС.
Здравствуйте, Skorodum, Вы писали:
LL>>То есть чтобы сделать что-то банальное и примитивное, типа оплатить штраф ГИБДД в 300 руб., надо совершить вот такую вот небанальную операцию? S>Невероятно глупая аналогия.
Каково невероятно глупое предложение — такова и невероятно глупая аналогия.
S>Безопасность нужна чтобы от твоего имени не совершлили какие-либо действия типа оформления микро-кредитов. Авторизация по BankID не отличается по сложности от использования СМС.
Стоп. То, что ты описал, ни фига не похоже на авторизацию по смс. Какие-либо действия типа оформления микрокредитов — это такая страшилка, про которую все слышали, но ни у кого нету ни одного знакомого, кто бы с этим столкнулся. У микрокредитных организаций все вполне хорошо и без такого жульства, дураков и пьяни для них еще на сто лет вперед припасено. Кроме того, на госуслугах микрокредитов пока не выдают.
LL>>Послать запрос, получить смс (или что там) с какой-то фразой, забить (а это телефон все же, не клавиатура компа) эту фразу, а потом еще ввести пин? Это сильно затрудняет использование основного функционала, а может и превосходит его по сложности. S>Фантазия у тебя При авторизации происходит перенаправление на сайт BankId (тоже самое происходит при авторизации в налоговой с помощью гос.услуг). Там вводится номер телефона и ID (читай, номер паспорта), на портале авторизации показываются случайные слова, на телефоне надо подтвердить, что видишь эти эти же слова в приложении и ввести пин-код.
Чтобы подтвердить, что я вижу ЭТИ ЖЕ слова, я должен набрать ЭТИ ЖЕ слова. Как иначе я потвержу, что они ЭТИ ЖЕ?
S>Количество вводов точно такое же как и при использовании СМС: номер телефона, ID и пин-код. (Может при использовании СМС не спрашивают ID, но решение BankID порядки безопаснее.)
Да какое, нафиг, то же? Вот я открываю Сбер Онлайн. Я набираю свой пароль — и всё, я там. Номер телефона заведомо известен — я с него звоню. Вопрос встанет только в том случае, если он не совпадает с записанным. А в твоем случае кроме пары логин-пароль нужно пройти какую-то суперзаумную капчу, да еще ввести свой СНИЛС и пин-код. Ну а чего еще не добавить непременное и обязательное введение номера паспорта, даты и места выдачи, и опознование по селфи заодно? Ну а вдруг супостат зайдет на госуслуги и незаконно врача на дом вызовет? Или, боже упаси, штраф оплатит (а это самая частая причина посещения госуслуг).
LL>>Во, еще и СНИЛС всплыл. S>Какой-то уникальный идентификатор знать надо, это лучше, чем почта или что-то такое.
Уникальный идентификатор — это логин-пароль. Этого достаточно. На самом деле достаточно даже одного пароля — логином служит номер телефона.
LL>>Я вот совершенно не помню, какой у меня СНИЛС, да и номер паспорта тоже. S>Если это единый идентификатор на всю жизнь который довольно часто используется, то запомнишь без проблем (если совсем плохо с головой, то можно и записать ).
А он никогда не используется, этот идентификатор, никем, кроме особо хитродрюченных казенных контор. Я вот его не использовал ни единого раза, а карточка с ним валяется где-то в шкафу у жены, среди прочих документов, которые никогда не используются.
Вообще — как-то я прожил первые свои 30 лет жизни, не нося в кармане паспорта и не имея никаких снилсов с ИННами. А вот во вторые 30 лет, когда настала свобода, только концлагерный номер на лбу еще не вытатуировали, все остальное уже сделано.
LL>>А можно сделать проще? Например, при утрате телефона с этой сим-картой просто откатывать все транзакции с указанного пользователем момента? S>Очевидно, что это совсем не проще.
Совершенно не очевидно.
LL>>Понимаешь, если я, например, потеряю (или у меня сопрут) кошелек, я буду горевать об утраченных деньгах, но идея приковать бронированный кошелек с сейфовым замком якорной цепью к бетонной тумбе в секретном месте мне в голову все же не придет. S>Кривые аналогии такие кривые
Абсолютно прямая аналогия — ты предлагаешь хрен знает какие сложности для юзера, когда вопрос чаще всего касается полной ерунды. При таком гиморе для юзера самое логичное решение — не юзать эту приблуду вовсе. Точно так же, как с бронированным кошельком, прикованным к бетонной тумбе.
Чем совершеннее технически средство, тем более примитивные, никчемные и бесполезные сведения при его помощи передаются.(с)Станислав Лем
Здравствуйте, aik, Вы писали:
aik>как можно скопировать сим-карту без физического доступа?
Можно выпустить еще одну симку на этот же номер. Наверное, не без помощи операторов или органов.
Говорят (тм) что получать чужие смс не такая уж проблема.
Здравствуйте, aik, Вы писали:
aik>Госуслуги всегда были вполне себе сайтом. Кроме лютого гемороя с получением полноценного аккаунта с ЕЦП даже и придраться не к чему, да и это не про сайт так то.
Полноценный аккаунт можно получить и без ЭЦП.
Из косяков с ЭЦП вспоминается только 1, нужно поставить какой-то плагин специально для госуслуг и этот момент не очень освещен в документации.
Но в поиске находится сразу.
Здравствуйте, Mr.Delphist, Вы писали:
MD>Сделать аккаунт вообще не проблема, дальше надо его прокачивать, прямо геймификация какая-то. Я через Почту России подтверждал — вообще не глядя сделали, и вуаля, заработало.
Сейчас как-то через онлайн банков делают.
Правда сам не пробовал, я свой аккаунт 100 лет назад подтверждал, тогда приходило заказное письмо на почту с кодом и других вариантов не было
А если есть ЭЦП, то при привязке аккаунт сразу верифицированный становится.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Не "какой-то плагин", а жуткое угребище под названием Крипто-ПРО. Как и для сайта ФНС (тоже поделие ГНИВЦ).
Нет, крипто-про он по умолчанию. там еще 1 плагин нужен, маленький специально для госуслуг.
И чем крипто про плох. Сколько работал никаких проблем.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Сегодня записывался на прием в региональную префектуру Анси для продления вида на жительство. Еще пару лет назад для записи нужно было, как в стародавние советские времена в поликлинику, ехать с утра в префектуру, стоять 30-40 минут в очереди, но зато гарантировано иметь запись на месяц-полтора вперед.
Это же только для безработных, а остальные могли отдать бумаги в мэрию, а уж они их (бумаги) везли в префектуру... Это теперь тоже отменили?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Она не отсталая, а очень консервативная, здесь принято все делать неторопливо (но таки в среднем быстрее, чем в какой-нибудь Испании). Например, здесь почти все завязано на голосовое общение по телефону
. Даже если удается о чем-то сообщить письменно, и у конторы есть
ваш телефон — норовят позвонить и потрындеть.
А как это, если речь идет о мигрантах и французы не очень чтобы в англицкий язык? Т.е. вот человек едва говорит
по-французски -- что-то там понимает, но вот сказать не очень, -- ему звонит тетенька и начинает с ним по-французски
что-то выяснять. Это нормально? Или же они умеют в англ. яз?
Здравствуйте, Sharov, Вы писали:
S>А как это, если речь идет о мигрантах и французы не очень чтобы в англицкий язык? Т.е. вот человек едва говорит S>по-французски -- что-то там понимает, но вот сказать не очень, -- ему звонит тетенька и начинает с ним по-французски S>что-то выяснять. Это нормально?
О том и речь, что ненормально. Я и по-английски понимаю не слишком хорошо, но переписываться в реальном времени могу свободно. При наличии онлайн-переводчика могу переписываться и по-французски, и всегда ищу такую возможность, но эти странные люди обожают говорить по телефону, и очень не любят переписку.
S>Или же они умеют в англ. яз?
Многие сотрудники и госконтор и коммерческих организаций более-менее умеют, у некоторых контор даже есть специальные номера для разговора по-английски. Но, когда они умеют плохо, мне сложно объяснять им (за много лет регулярной переписки привык строить сложные фразы, многие их не понимают), а когда они умеют хорошо, мне трудно понять их.
При авторизации происходит перенаправление на сайт BankId (тоже самое происходит при авторизации в налоговой с помощью гос.услуг). Там вводится номер телефона и ID (читай, номер паспорта), на портале авторизации показываются случайные слова, на телефоне надо подтвердить, что видишь эти эти же слова в приложении и ввести пин-код. Количество вводов точно такое же как и при использовании СМС: номер телефона, ID и пин-код. (Может при использовании СМС не спрашивают ID, но решение BankID порядки безопаснее.)
).
