Со вчерашнего вечера имею продолжительный, но бесплодный секс со службой поддержки банка одной великой среднеазиатской страны, который возомнил себя круче ведущих мировых банков, и намутил такую развесистую "конфигурацию безопасности", которой я даже близко не видел ни в одном из банков, с которыми имел дело.

Вся проблема проистекла из того, что их приложение при входе запросило "номер паспорта", и я ввел его целиком, как и указано в соответствующем поле загранпаспорта, озаглавленном "Номер паспорта". Приложение ответило, что номер неправильный, я ввел еще раз — ответило то же самое. Я открыл в справку, там было сказано, "номер вводится без серии" (что само по себе безграмотно). Ввел только цифры после пробела — приложение заблокировало доступ.

И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?

Странный ты какой-то. Был тикет, сделать проверку номера паспорта. А думать головой тикета не было.

Здравствуйте, Pzz, Вы писали:

Pzz>Был тикет, сделать проверку номера паспорта. А думать головой тикета не было.

Так я и спрашиваю — они хоть где-то бывают, эти "тикеты думать головой"?

Здравствуйте, Евгений Музыченко, Вы писали:

Pzz>>Был тикет, сделать проверку номера паспорта. А думать головой тикета не было.

ЕМ>Так я и спрашиваю — они хоть где-то бывают, эти "тикеты думать головой"?

Нет, конечно. Там, где думают головой, тикеты нужны не для KPI, а чтобы ничего не забылось случайно.

Здравствуйте, Pzz, Вы писали:

Pzz>Там, где думают головой, тикеты нужны не для KPI, а чтобы ничего не забылось случайно.

Ну так где можно увидеть результаты того думания? Не томите уже.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Ну так где можно увидеть результаты того думания? Не томите уже.
Интересно, как там дела в VAC с этим?

Здравствуйте, pva, Вы писали:

pva>Интересно, как там дела в VAC с этим?

Почему именно в VAC? Ситуация "с этим" в каком-нибудь Notepad Вас тоже интересует?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Почему именно в VAC? Ситуация "с этим" в каком-нибудь Notepad Вас тоже интересует?
Меня это не особо интересует поскольку косяки встречаются везде и люди имеют право на ошибку. Но ты не написал же им feature request, а пришел наябедничать на форум какие они тупые.
Но если уж ты такой дотошный, то наверняка у тебя все стройно и логично.

Здравствуйте, pva, Вы писали:

pva>ты не написал же им feature request

Сколько Вы знаете банков, предоставляющих формы для feature request? Покажите хоть один.

Пока я им несколько раз высказывал это в чатах поддержки, но эти чаты ведут, судя по всему, люди с невысокими умственными способностями. Если в диалогах с операторами различных российских и американских сервисов я обычно получал ответы вида "да, мы видим несоответствие, сообщим профильным специалистам", то эти тупо долбят практически одни и те же формулировки. Если б не паузы между ответами, и не сообщения о передаче диалога другому оператору, я б не сомневался, что это ИИ.

pva>пришел наябедничать на форум какие они тупые.

Это Вы так интерпретировали мое сообщение. Если прочитаете его более внимательно, то обнаружите, что там заданы вполне конкретные вопросы, ответов на которые пока никто не озвучил.

pva>если уж ты такой дотошный, то наверняка у тебя все стройно и логично.

Что именно у меня может быть "стройно и логично", если ни в каком моем софте вообще нет функций проверки идентичности?

"Бобер, выдыхай!"

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?

Несколько последних цифр номера паспорта меня однажды действительно где-то спросили. Не помню, где именно. Но именно их и проверяли. Точным сравнением.

А запрашивать полный номер и сравнивать несколько последних (или начальных) цифр — как-то все же странно.

Ну хотя бы из того соображения, что при проверке N последних цифр получится, что первые можно ввести с ошибкой. Кто-то это однажды заметит и растрезвонит на весь Интернет.

-Я ввел номер паспорта с ошибкой на сайте банка ABC, а мне все равно доступ дали. Смотрите, какое дырявое в плане безопасности ПО у банка ABC! Бегите прочь из этого банка.

Другие проверят — а ведь и правда! Бежать отсюда надо.

А в итоге ущерб репутации банка и потеря клиентов. И никому потом ничего не докажешь — не будешь же обшаривать весь Интернет и рассказывать про вероятность.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>И вот возник вопрос — а на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения? Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Значит, они считают вероятность случайного совпадения пяти- и даже четырехзначного кода достаточно низкой для целей безопасности. Тогда что им мешает проверять на совпадение 4-5-6 последних цифр в номере любой длины? На этот счет были какие-нибудь идеи, оценки, рекомендации, или все тупо повторяют один и тот же тупой метод?

Эти вопросы, по-хорошему, надо задавать безопасникам, сопровождая вопросы побоями. Примерно так:

— А на кой ляд все эти "средства безопасности" проверяют подобные номера методом тупого сравнения,...

(говорящий останавливается, и на наносит три удара по голове лежащего на полу безопасника, чтобы голова находилась между дубинкой и полом, затем продолжает говорить)

— Ведь те же самые банки обходятся четырехзначными PIN-кодами и пяти- (а иногда и четырех-) -значными одноразовыми кодами. Повтори, что я только что сказал?

По моему личному мнению, проблема в качестве тех людей. Ментов бывших и тому подобного люда. Им бы землю сохой пахать, скот пасти, и все были бы счастливы — и он, и прочие, кто не сталкивается с работой этих людей. Они находятся не на своём месте.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>А запрашивать полный номер

Если явно запрашивается полный номер, то и сравнивать имеет смысл целиком. Хотя и в этом случае нужно предусмотреть особенности в виде пробелов, дефисов и подобного.

Но проблема именно в том, что идентификатор документа нередко содержит серию — Вы должны это помнить по советским временам, в разных свидетельствах она сохранилась до сих пор. И какие-то регламенты трактуют "номер документа" в смысле "идентификатор", а какие-то — в смысле "только цифровая часть".

PD>сравнивать несколько последних (или начальных) цифр — как-то все же странно.

Почему? Если вероятность ошибки не превышает определенного порога, что это меняет? В номере банковской карты 16 цифр (из которых первые шесть являются идентификатором банка), но для идентификации обычно запрашивают только четыре — последнюю или предпоследнюю группу. Когда запрашивают сумму последней операции, ее тоже сравнивают приблизительно, а не до копеек/центов. Чем номер паспорта в этом плане хуже?

PD>растрезвонит на весь Интернет.

И что, это как-то волнует хоть один банк последние 10-15 лет?

PD>ущерб репутации банка и потеря клиентов.

Я Вас умоляю...

Здравствуйте, Евгений Музыченко, Вы писали:


ЕМ>Если явно запрашивается полный номер, то и сравнивать имеет смысл целиком. Хотя и в этом случае нужно предусмотреть особенности в виде пробелов, дефисов и подобного.

ЕМ>Но проблема именно в том, что идентификатор документа нередко содержит серию — Вы должны это помнить по советским временам, в разных свидетельствах она сохранилась до сих пор. И какие-то регламенты трактуют "номер документа" в смысле "идентификатор", а какие-то — в смысле "только цифровая часть".

Все это я знаю. Действительно, надо указывать в виде подсказки, что именно вводить — полный номер или только часть его. Но сравнивать то, что вводили нужно целиком в соответствии с этими правилами. Максимум что можно — убрать разделительный пробел между серией и номером , который то ставят, то нет, так что лучше его не учитывать.

А еще стоит учесть, что стран на свете более сотни, и нумерация в них различна.


ЕМ>Почему? Если вероятность ошибки не превышает определенного порога, что это меняет? В номере банковской карты 16 цифр (из которых первые шесть являются идентификатором банка), но для идентификации обычно запрашивают только четыре — последнюю или предпоследнюю группу. Когда запрашивают сумму последней операции, ее тоже сравнивают приблизительно, а не до копеек/центов. Чем номер паспорта в этом плане хуже?

Потому что это не технический вопрос вообще. Пользователь должен знать, что только если он введет все правильно (== по указанным правилам), его ввод будет принят.

PD>>растрезвонит на весь Интернет.

ЕМ>И что, это как-то волнует хоть один банк последние 10-15 лет?

Если под "это" имеется в виду репутация банка — да, волнует. Терять клиентов никто не хочет

ЕМ>Я Вас умоляю...

Не надо. Лучше все же понять, что это не технический вопрос вообще.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Терять клиентов никто не хочет

В плане "отсутствия желания терять клиентов", то да. В плане же "не совершать действий, которые могут повлечь потерю клиентов" у любой мало-мальски крупной современной организации очень большие проблемы, поскольку адекватных обратных связей у нее, как правило, нет.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Пока я им несколько раз высказывал это в чатах поддержки, но эти чаты ведут, судя по всему, люди с невысокими умственными способностями.

Если у банка есть приложение из телефонного маркета, то можно поставить там 1 звезду и описать проблему.
В некоторых организациях такие отзывы читают люди повыше 1-2 уровня поддержки (вплоть до продукт менеджеров) и могут сделать такую задачу более приоритетной.

Здравствуйте, steep8, Вы писали:

S>Если у банка есть приложение из телефонного маркета, то можно поставить там 1 звезду и описать проблему.

Ну вот разве что. Придется сделать, если в самое ближайшее время не поправят.