Здравствуйте, 0K, Вы писали:

0K>Здравствуйте, мыщъх, Вы писали:

М>>4) приход уведомлений на телефон легко блокируется шквалом sms.
0K>Не оно. Это не поможет заполучить доступ.
если проводится "левая" тракзакция, то, получив уведомление на телефон, жертва тут же свяжется с банком и заблокирует карту. если телефон зафлужен, то этого не произойдет.

М>>5) у некоторых банков номер телефона можно менять через веб без подтверждения от самого телефона после того как залогнились.
0K>Это легко устранимая ошибка реализации. Не засчитываю.
остается вопрос как получить доступ к своему акку при утрате доступа к данному мобильному номеру. надежных и юзабельных реализаций пока не придумали. либо ненадежно, либо неюзабельно. надежно -- заставить клиента тащится в банк, но это неюзабельно (увели телефон за время загран поездки, а нужно "подкормить" карту, перекинув деньги со счета на счет или выпустить виртуальную карту, т.к. вместе с телефоном увели и пластик -- вполне распространенная ситуация).

М>>6) некоторые банки позволяют генерить виртуальные карты. при этом часть номера приходит по вебу, а часть -- на телефон.
0K>Опять-же, ошибка реализации.
на ошибках атаки строятся. и не все ошибки очевидны.


М>>7) да много что можно придумать...
0K>Да не так уж и много на самом деле...
конечно, с вашим подходом "это ошибка реализации" ничего не придумаешь. а вот покажите мне пример платежной системы без ошибок. причем, невозможность доступа к моему счету в случаи кражи телефона это тоже ошибка, т.к. на телефон молиться придется при таком раскладе.

потом вот еще какая проблема. виртуальная клава не защищена от просмотра из-за плеча, а не всегда есть возможность уединиться. при вводе с обычной клавы за пальцами набирающего уже не уследишь (исключая тривальные комбинации или пароль набираемый по бумажке), но тут возрастает угроза перехвата установленным клавиатурным шпионом.

в принципе, есть системы ввода пароля защищенные от того и от другого, причем надежно, но пока они не получили широкого распростанения из-за своей сырости и необкатанности.

к тому же как мне кажется вы подходите к проблемме не с того конца. тут не о защите нужно думать, а о посадке хакерствующих элементов и снижении кол-ва краж до того уровня, когда банк может вернуть украденные деньги за свой счет без угрозы разориться на следующий день.