Моб.Банковские приложения и их безопасность
Аноним (Microsoft Windows 10: Chromium based)
30/08/20 Вск 17:17:50
№1
Почему в банковских приложениях такие хуевые методы аутентификации вроде входа по отпечатку пальца или СМС-коду, от которого все прогрессивные сервисы уже отказались ввиду его небезопасности. Или все это регулируется законодательством и сделать вход по OTP (и другим способам) не получается именно из-за каких-то запретов?
Как вообще можно максимально обезопасить процесс использования банковских приложений или приложений для торговли на биржах?
Пару советов по безопасности которые юзаю сам:
1) Выбирать либо чистый Android, либо iOS - все остальное нахуй.
2) Все лишние приложухи нахуй, в идеале - отдельная мобила для банковских приложух и больше ничего.
3) Сим-карта привязанная к банку всегда на другом телефоне (например на кнопочной звонилке)
Было бы идеально, Если бы кто-то из банков выпустил десктопной приложение под Linux, сразу отлетает определенный скоуп проблем с безопасностью.
>Выбирать либо чистый Android, либо iOS - все остальное нахуй
Дальше не читал этого комнатного иксперда. Прежде чем пукать, разберись в матчасте.
>Как вообще можно максимально обезопасить процесс использования банковских приложений или приложений для торговли на биржах?
Современная система с патчами безопасности и хотя бы минимальная цифровая гигиена, этого достаточно.
наличку юз, дебс
Какую наличку, у меня брокерские счета на которые ежемесячно доливаю бабло, где ты там наличку видел?
>>2849425
Затем что до определенного уровня всем похуй на безопасность, но когда ты можешь разом потерять десяток млн руб, то эта проблема становится "малость" актуальнее. Лучше ведь перебдеть. Ну и интересно какие существуют варианты.
Блять так речь треда как раз об этом. Как защититься и что делать. О каком защищенном ноутбуке речь вообще, если банковские приложухи в основном только на телефоне, у них нет десктопных альтернатив тем более под "защищенные" ноуты на линуксе и тд. В брокерскими счетами полегче, т.к там есть QUIK.
>>2849461
Извини, не понял твое предложение. Что значит не отрабатывают, типо не пиздят? Я думаю дело не в "жирных рыбах", такие деньги могут быть у ноунейм работяги, без связей и тд, который нихуя не сделает если их спиздят. Ну и прецеденты нам не особо известны, никто не будет писать в новостях что кто-то украл 5млн руб с какого-то там счета. До новостей это просто не доходит.
Я один, как свободный человек, после зачисления денег сразу снимаю наличные и пользуюсь только ими. Видел интервью Сталлмана, он тоже пользуется только наличностью и правильно делает. Зачем отчитываться перед банком об о всех своих тратах и финансовых операциях, если можно этого не делать?
>Если бы кто-то из банков выпустил десктопной приложение под Linux
Этого не будет, т.к. существенная часть бизнеса современных банков - это создание информационных отпечатков анусов клиентов, а со смартфона (вспомни. сколько разрешений требует типичное банковское приложение) можно натаскать намного больше даты, чем с линупса: лист контактов (составляется граф социальных связей, что может повлиять на выдачу кредита, например), геодата (комплементарно с любой оплатой картой), твои пальчики и так далее. Не говоря уже о том, что даже в масштабах крупнейших банков, доля пользователей линя - едва ли выше среднестатистических 2%, в совокупности с предыдущим пунктом - ЭКОНОМИЧЕСКИ НЕЦЕЛЕСООБРАЗНО.
>>2849460
>защищённый смартфон
Был блэкберри, но пидорахам его пыня запретил (гебня не выдала нотификацию на блэкберри, из-за чего его через таможню в страну не ввезти).
>десктопной приложение под Linux
веб-банк есть у некоторых
> Как вообще можно максимально обезопасить процесс использования банковских приложений
Не пользоваться банковскими приложениями на телефоне
> или приложений для торговли на биржах?
Если ты торгуешь с приложения на телефоне, то ты лох последний и тебя не жалко. как и твои жалкие 100к на брокерском счёте
ВТБ, Тиньков Инвестиции, Альфа Банк Инвестиции, если тебя интересуют зарубежные, то Interactive Brokers и многие другие. Никогда не слышал?
>>2849494
>Не пользоваться банковскими приложениями на телефоне
Предлагай иной способ.
>Если ты торгуешь с приложения на телефоне, то ты лох последний и тебя не жалко.
А ты где торгуешь? В чем вообще предъява, ты либо предлагай решение, либо иди нахуй. Либо хотя бы тред почитай и увидь что я уже говорил про QUIK.
>>2849492
Там дохуя ограничений есть
> Предлагай иной способ.
Если тебе нужны какие-то банковские услуги - идешь в отделение и лично решаешь все вопросы.
> А ты где торгуешь?
Когда-то интересовался темой. Понял, что без пары миллионов залезать бесполезно и делать это нужно точно не через российские брокерские конторы. У тебя в России никаких прав на брокерский счёт нет, а покупаешь ты не акции NASDAQ, а через цепочку посредников какую-то хуету, в стиле 0.1 акции из пакета, розданного в продуктовом наборе в стиле пятёрочки. Если какая просадка или крупный доход - брокер с тебя спишет комиссию три раза, а потом ещё двойные налоги заплатишь. И хуй ты что докажешь. Про говно, называемое акциями эпла/боинга, во всяких типа торговых приложениях в телефонах даже говорить не хочется. Наёбка для маминых трейдеров, а ты и уши развесил.
>Никогда не слышал?
Нет. Я думал, что если заниматься этим серьёзно и профессионально, то только на ПК. Телефон это прежде всего мобильная платформа и брокерские счета на нём выглядят как какое-то баловство. А может быть просто мир за последние 5 лет так сильно изменился, что даже я не успеваю понимать, что происходит
>Понял, что без пары миллионов залезать бесполезно
В чем разница между 100к и парой миллионов для тебя? Вкладывайся в те же ПИФы или просто акции которые стоят дешевле чем 100$
>а через цепочку посредников какую-то хуету, в стиле 0.1 акции из пакета
Можешь даже не писать. Сначала разберись что такое ETF и зачем их сделали, потом придешь расскажешь нам.
>Если какая просадка или крупный доход
Какие двойные налоги, какая комиссия. Все комиссии указаны в тарифах. Налог 13% с дохода, можешь вообще 3 года акции держать и избавиться от налога.
Не очень понимаю нахуя ты зашел в тред если вообще не при делах
Плодить миллион сущностей это признак шизофрении. Тебе кто провёл в палату интернет?
Ты долбаеб, у меня уже около 10млн ₽ и 5% годовых валюте. Хуле мне хвастаться если я об этом сразу сказал, зачем вообще пытаться что-то высирать если ты сам и сказал что "Понял, что без пары миллионов залезать бесполезно". Не залезай тогда ни на биржу, ни в этот тред.
>>2849543
Еще один долбаеб загулявший. Какие сущности? Причины по котором это делается - очевидны. От прямого доступа телефона к симкарте, до перевыпуска симкарта по нотариальной доверенности.
>аутентификации вроде входа по отпечатку пальца
Почему ты считаешь что аутентификация по отпечатку пальца не безопасна?
Потому что многие телефоны при определенном уровне задроченности "взломщика" разблокируются слепком, да и вообще отпечаток это какая-то идеалогически жиденькая защита, мне кажется OTP или физический токен по определению лучше
>>2849568
Окей, только вот веб-терминал Тиньков в некоторые моменты пиздец лагает из-за каких-то перегрузок видимо. Не знаю как сейчас обстоят дела, видимо нужно тестить.
>при определенном уровне задроченности "взломщика" разблокируются слепком
При определенном положении твоих пальцев в дверном косяке и закрывающейся дверью, ты сам расскажешь пароли, долбоеб тупой. И вероятность такой ситуации сильно выше, чем что кто-то будет твои отпечатки собирать или делать модели лица для faceid.
>Что такое ОТР
https://en.wikipedia.org/wiki/One-time_password
OTP - одноразовые пароли, например из Google Auth или любой другой альтернативы.
Физические токены - ну в моем понимании это всякие Google Titan и Yubico. Например какой-нибудь менеджер паролей вроде KeePass можно настроить так, что при входе в него кроме мастер-пароля потребуется определенное кол-во раз ввести одноразовые пароли (обычно это по 4-6 цифр)
При чем здесь дверной косяк, клоун. Никто не знает сколько у меня денег и следовательно не заламывает мне пальцы. А вот когда у тебя по рандомной причине в связи с софтверной уязвимостью улетают данные в сеть - это уже другая история. Но тебе этого видимо не понять, да вероятно оно тебе и не надо.
Т.е банковские данные никогда не сливают, понимаю, червей не существует - это все проделки Обамы.
>>2849622
Ну и, твои действия? Речь ведь не о бездарных долбаебах с двачей которые все равно ничего не сделают, а о тех с кем я пересекаюсь в ирл и на работе.
Не очень понимаю зачем все эти рассказы про дверной косяк, про SSL (в котором уязвимости и который заменяют на TLS), и как это связано с тем что данные могут быть скомпроментированы на устройстве клиента, а не при передачи по каналу связи. Если вам нечего сказать по и лишь бы что-то высрать, пиздуйте в /b или куда-нибудь где вас сочтут за "шарящих".
Пока единственный адекватный ответ по теме треде >>2849488
Прости что я тебе нагрубил, на самом деле ты хорошую тему поднял. Просто тебе надо понять от чего именно ты хочешь защититься и понять как именно митигировать эти риски. Общие слова типа «устройство скомпроментировали» мало о чем могут сказать в твоём случае, так как ты там напираешь на использование отр, которое не поможет с протрояненым андроидом.
Правда адекватного уточнения в чем именно мне нужно разобраться - не было.
>>2849632
>Просто тебе надо понять от чего именно ты хочешь защититься и понять как именно митигировать эти риски
Если я завел речь об аутентификации - то конечно же здесь имеется ввиду защита от физического воздействия чужого человека к твоему устройству с целью получить какие-то данные. А также вероятным палки в колеса от самого производителя устройства. Если я завел речь об удалении сторонних приложений - конечно же здесь речь о том что они могут получать слишком дохуя прав в системе и использовать их в своих неведомых целях.
>которое не поможет с протрояненым андроидом
Именно поэтому одно из решений которые по моему мнению снизят эти риски - это чистый андроид без надстроек от производителя, которые может весьма непрозрачно устанавливать в свою сборку хуй пойми что. Мне показалось это логичным. А тред создан для того, чтобы узнать у анонов похожие предположения и возможные решения.
Активность блога, компьюнити и разработчиков - это одна из причин по которой система либо взлетает, либо умирает уже через год переставая получать апдейты безопасности, устранение багов и тд. В данном случае апрель - это дата последнего билда (могу ошибаться).
>Если нет оф поддержки, обычно кто-нибудь из энтузиастов делает сборку под неподдерживаемое устройство
Я уж больше доверюсь официальному репозиторию на гитхабе, чем буду качать что-то от васянов с 4pda (говорю это понимая что там конечно же есть хорошие разработчики, и это не про них).
>защита от физического воздействия чужого человека к твоему устройству с целью получить какие-то данные.
Ну если говорить о доступных обычным пользователям вещах, а не о всяких секретных смартфонах и прочей дичи, то айфон всегда последней модели с запретом на подключение к компьютеру и естественно самой последней версии iOS.
Да, пока iOS мне кажется одним из лучших вариантов из-за различных удобных сервисов восстановления и чуть меньшего количества критических уязвимостей (по статистике за пару лет).
>>2849768
Какими аргументами, что я утверждаю? Я создал тред с вопросами, а не утверждениями. Логика тех советов по безопасности которые я юзаю сам в кратком варианте описаны в этом посте >>2849643
Возможна ли nfc оплата с модуля не телефона или смарт-часов?
Допустим, какой-нибудь модуль к stm'ке и тому подобное. Или же если так не сработает, то хотя бы как работа смарт-часов, то есть как я понимаю они подключаются к телефону с забитыми картами для транзакций.
iOS использует песочницы, и вроде бы приложения друг с другом сами даже контактировать не могут. Думаю он за это тебя попустил. Хотя попущу тебя и я. Ты шизоид ебаный красноглазый.
Потому что по мнению шизоидов и красноглазиков, чистый андроед и иос это анальные зонды гугла и эпол соответственно. В случае с андроедом красноглазик намажется кастомом без гугла, рутом, и прочим говном, лиж бы никто не узнал что он дрочит. iOS у красноглазиков не пользуется популярностью, но обычно такие шизоиды ставят себе жайлбрейк, и намазывают каждый твик на безопасность, прям по ебалу мажут, по телефону.
гитхуб.ком/PeterCxy/Shelter
>приложение для линукс
Нахуя? Приложение на телефоне делается для удобства. На десктопе используй веб-версию.
У меня тоже брокерский счёт. Оповещения идут на смартфон пушем. Брокерский терминал на линуксе через браузер, либо для него отдельный смарт. Поэтому пуши идут на другой. Если у тебя такого нет, то смени брокера.
Даже просто смс на кнопочник отдельный уже безопасно вполне будет. Иначе тётя должен обворовать оператор.
Что значит серьёзно? Есть у тебя 200к юсд. Ты можешь их серьёзно вложить на говновклад сбера, можешь серьёзно купить недвиж, а можешь серьёзно купить акции и иногда чекать их рост. Для этого всего нужна хотя бы минимальная защита от фишинга и утечки паролей, как второй фактор.
А то что 95% пидораших трейдеров сидят в метатрейде на винде с умными лицом и торгуют 50000 рублей, это нихуя не серьёзно.
Что значит серьёзно? Есть у тебя 200к юсд. Ты можешь их серьёзно вложить на говновклад сбера, можешь серьёзно купить недвиж, а можешь серьёзно купить акции и иногда чекать их рост. Для этого всего нужна хотя бы минимальная защита от фишинга и утечки паролей, как второй фактор.
А то что 95% пидораших трейдеров сидят в метатрейде на винде с умными лицом и торгуют 50000 рублей, это нихуя не серьёзно.
> 3) Сим-карта привязанная к банку всегда на другом телефоне (например на кнопочной звонилке)
За полгода отключенной балалайки жил в другой стране симка от еле2 внезапно стала Ошибка регистрации. К счастью на нее ничего не регал и вот даже не знаю, проебался номер или заморожен. Возможна ли ситуация, когда номер другому продадут, а у тебя какой-нибудь спермбанк привязан?