Сообщений в теме: 5002

[Farmer]

Небольшой FAQ от  Дядя Нортон

Сообщение отредактировал Farmer: 24.02.2017, 17:54:41

[bars_arseniy]

Так что возможно у злоумышленников и не будет 10000 попыток

Согласен, что скорее всего 10000 попыток не будет.

Расчёты и числа я привёл, чтобы показать, что это снижение безопасности, при чём на несколько порядков. А никак не её повышение.

[Doors4ever]

Какой график работы у каспи в эти дни.?

[Dinara_kz]

Какой график работы у каспи в эти дни.?

[kaspi_bank]

Какой график работы у каспи в эти дни.?

Добрый день! Наш банк работает в обычном режиме. То есть в выходные дни с 09:00 до 18:00. (Ваш #KaspiГид Эльмира)

[kaspi_bank]

 

И вы так и не ответили зачем устанавливать код доступа при входе по отпечатку пальца? Какая в этом НЕОБХОДИМОСТЬ?

 

 

 

Добрый день! Считаем, что мы ответили на Ваш вопрос. Как сообщили выше, код доступа обеспечивает дополнительный уровень безопасности. К тому же, наш бесплатный SMS-сервис будет уведомлять Вас о каждой операции по Вашей карте или депозиту. (Ваш #KaspiГид Эльмира)

[Дядя Нортон]

 

 

И вы так и не ответили зачем устанавливать код доступа при входе по отпечатку пальца? Какая в этом НЕОБХОДИМОСТЬ?

 

 

 

Добрый день! Считаем, что мы ответили на Ваш вопрос. Как сообщили выше, код доступа обеспечивает дополнительный уровень безопасности. К тому же, наш бесплатный SMS-сервис будет уведомлять Вас о каждой операции по Вашей карте или депозиту. (Ваш #KaspiГид Эльмира)

 

справедливости ради.

Нет, не ответили.

Нет, не увеличивает.

СМС ваще не про то, о чем спрашивали. То есть он тут ни к селу, ни к городу. 

[shmuntik]

Привет, @kaspi_bank, 

При щелчке квитанция во вкладке платежи→история открывается пустая вкладка.(Хром Версия 60.0.3112.113, 64 бит)

Интернет експлорер тоже самое (версия 11.0.9600.18762, версия обновления 11.0.45, 32 бит)

Win7 pro sp1, 64 бит

Пришлось отправить на емейл затем скачать квитанции.

 

В андроид версии все нормально отображается.

[bars_arseniy]

 

Добрый день! Считаем, что мы ответили на Ваш вопрос. Как сообщили выше, код доступа обеспечивает дополнительный уровень безопасности. К тому же, наш бесплатный SMS-сервис будет уведомлять Вас о каждой операции по Вашей карте или депозиту. (Ваш #KaspiГид Эльмира)

справедливости ради.
Нет, не ответили.
Нет, не увеличивает.
СМС ваще не про то, о чем спрашивали. То есть он тут ни к селу, ни к городу.

 

Согласен. Код доступа не увеличивает, а уменьшает уровень безопасности. Ну не должен ваш отдел безопасности позволять такие высказывания. Это базовые знания о безопасности.

На вопрос ЗАЧЕМ нужено устанваливать этот код и почему без него нельзя вы не ответили

[Dazle]

честно говоря даже жалко Каспи) самая активная ветка, больше всего шишек на гида)

[ESTIVA]

А где он этот код доступа по отпечатку пальца? Я в приложении как и раньше захожу по 4-значному паролю.

[kaspi_bank]

Привет, @kaspi_bank, 

При щелчке квитанция во вкладке платежи→история открывается пустая вкладка.(Хром Версия 60.0.3112.113, 64 бит)

Интернет експлорер тоже самое (версия 11.0.9600.18762, версия обновления 11.0.45, 32 бит)

Win7 pro sp1, 64 бит

Пришлось отправить на емейл затем скачать квитанции.

 

В андроид версии все нормально отображается.

 

 

Добрый день! Спасибо за обратную связь и сигнал. Мы направим Ваше обращение коллегам и проверим информацию.  (Ваш #KaspiГид Айгуль)

[kaspi_bank]

А где он этот код доступа по отпечатку пальца? Я в приложении как и раньше захожу по 4-значному паролю.

 

Добрый день! Если Ваш телефон поддерживает Touch ID, то Вам необходимо в настройках телефона включить функцию Touch ID и повторно пройти перерегистрацию (вход) через мобильное приложение Kaspi.kz.  (Ваш #KaspiГид Айгуль)

[kaspi_bank]

 

 

 

И вы так и не ответили зачем устанавливать код доступа при входе по отпечатку пальца? Какая в этом НЕОБХОДИМОСТЬ?

 

 

 

Добрый день! Считаем, что мы ответили на Ваш вопрос. Как сообщили выше, код доступа обеспечивает дополнительный уровень безопасности. К тому же, наш бесплатный SMS-сервис будет уведомлять Вас о каждой операции по Вашей карте или депозиту. (Ваш #KaspiГид Эльмира)

 

справедливости ради.

Нет, не ответили.

Нет, не увеличивает.

СМС ваще не про то, о чем спрашивали. То есть он тут ни к селу, ни к городу. 

 

 

 

 

Добрый день! Считаем, что мы ответили на Ваш вопрос. Как сообщили выше, код доступа обеспечивает дополнительный уровень безопасности. К тому же, наш бесплатный SMS-сервис будет уведомлять Вас о каждой операции по Вашей карте или депозиту. (Ваш #KaspiГид Эльмира)

справедливости ради.
Нет, не ответили.
Нет, не увеличивает.
СМС ваще не про то, о чем спрашивали. То есть он тут ни к селу, ни к городу.

 

Согласен. Код доступа не увеличивает, а уменьшает уровень безопасности. Ну не должен ваш отдел безопасности позволять такие высказывания. Это базовые знания о безопасности.

На вопрос ЗАЧЕМ нужено устанваливать этот код и почему без него нельзя вы не ответили

 

 

 

Добрый день! Ваши пожелания приняты и отправлены команде развития мобильного приложения. Спасибо за обращение!   (Ваш #KaspiГид Айгуль)

[bars_arseniy]

А где он этот код доступа по отпечатку пальца? Я в приложении как и раньше захожу по 4-значному паролю.

Зайдите в настройки приложения (сразу под именем в левом меню) и там сразу будет "Вход по отпечатку пальца".

Повторную регистрацию в приложунии я не проходил.

Сообщение отредактировал bars_arseniy: 04.09.2017, 15:30:19

[_cafe]

 

 

Код доступа обеспечивает дополнительный уровень безопасности.

Вот ну вообще не правда. Код доступа СНИЖАЕТ уровень безопасности!!

В коде доступа 4 цифры это значит 10^4 = 10 000 возможных комбинаций кода быстрого доступа.

Предположим, в пароле может быть минимум 8 латинских букв (не знаю какие сейчас требования для пароля у kaspi). Это значит возможных комбинаций 26^8 = 208 827 064 576 возможных комбинаций пароля.

Таким образом, устанавливая код быстрого доступа уровень безопасности падает в 208 827 064 576 / 10 000 = 20 882 706 раз. Если же пароль длиннее и/или там используются прописные буквы и специсимволы, то снижение получается ещё более огромным!

Это вы называете дополнительным уровнем безопасности?

 

 

Ваши вычисления не верны.

 

Обычный пароль позволяет любому человеку, знающему его и ваш логин, зайти под вашей учеткой.

4-значный код доступа на устройстве это другое. Такой код будет работать только на устройстве/телефоне, на котором был сгенерирован (в области памяти приложения создается дополнительный секретный набор данных). Т.е. вводится дополнительный фактор аутентификации - теперь злоумышленнику не достаточно просто знать секретный код - ему ещё необходимо будет обладать вашим телефоном.

Переход от однофакторной аутентификации к многофакторной в большинстве случаев - это увеличение уровня безопасности.  

 

В данном случае - это ещё и удобно.

 

______________

Почему нельзя использовать отпечаток без кода можно только предполагать. Например: сначала сделали механизм с секретным кодом, а затем чтобы не реализовывать новых механизмов, просто сохранили этот код в памяти устройства и "вводят его за пользователя" после аутентификации по пальцу. Насколько я помню IOS предоставляет довольно скудное API для работы с сенсором отпечатков пальцев. Вроде как просто просишь аутентифицировать пользователя по пальцу и получаешь результат - прошла аутентификация или нет ()https://code.tutsplu...h-id--cms-21949. На основе этих данных аутентификацию можно произвести только на клиентской стороне - т.е. в приложении. А как сервер должен поверить, что эта аутентификация завершилась успешно??? Вот поэтому обычно применяются следующую схему: в памяти программы сохраняют секретный ключ, с помощью которого происходит аутентификация на сервере, а доступ к секретному ключ в памяти приложения - дозволяют, после аутентификации пользователя в клиентском приложении по пальцу.

Спецы каспи же суда по всему, решили не заморачиваться отдельным ключом для этого механизма, а сохранять в памяти телефоне секретный код, который вводит пользователь и давать к нему доступ по touch id, а далее аутентифицироваться на сервере по уже реализованный ранее схеме. Из профита, не надо ничего дорабатывать на серверной части.

Но это лишь предположения )

[bars_arseniy]

Ваши вычисления не верны. Обычный пароль позволяет любому человеку, знающему его и ваш логин, зайти под вашей учеткой. 4-значный код доступа на устройстве это другое. Такой код будет работать только на устройстве/телефоне, на котором был сгенерирован (в области памяти приложения создается дополнительный секретный набор данных). Т.е. вводится дополнительный фактор аутентификации - теперь злоумышленнику не достаточно просто знать секретный код - ему ещё необходимо будет обладать вашим телефоном.

 

Согласен, что в расчётах не учтена необходимость завладеть телефоном.

Однако, я не знаю как это учесть. То есть во сколько раз повышается безопасность, если код действует только с телефона. Безопасность в этом случае должна повышаться минимум в 20 882 706 раз, чтобы она равнялась безопасности входа по паролю.

 

Есть идея как посчитать, но не могу найти количество клиентов у Каспи банка в абсолютных величинах(хотя бы приблизительно). Если кто даст ссылочку с инфой - буду благодарен.

 

Переход от однофакторной аутентификации к многофакторной в большинстве случаев - это увеличение уровня безопасности.

 

При входе коду доступа нет многофакторной аутентификации. Здесь запрашивается только один фактор - моё знание кода безопасности.

 

Однако хочу заметить у каспи есть двухфакторная авторизация при входе с нового бразуера, устновке приложения и совершении новых/редки платежей. При входе запрашивается фактор - моё знание. И второй фактор - фактор владения номером телефона (высылают смс и код вводится на сайте).

 

Почему нельзя использовать отпечаток без кода можно только предполагать.

У меня Android. С этого начались мои вопросы - когда добавили вход по отпечатку пальца в приложении на Android.

Чтобы не делать предположения, я решил узнать у представителя, ЗАЧЕМ установку кода безопасности сделали обязательной.

[_cafe]

Безопасность в этом случае должна повышаться минимум в 20 882 706 раз, чтобы она равнялась безопасности входа по паролю.

 

на самом деле нет. вы рассматриваете вероятности взлома по конкретной атаке - прямой перебор возможных комбинаций. при этом второй фактор аутентификации полностью отсекает некоторые виды атак: вроде как если кто-то подсмотрел ваш пароль (запись на камеры или через плечо).

 

При входе коду доступа нет многофакторной аутентификации. Здесь запрашивается только один фактор - моё знание кода безопасности.

 

зная код доступа, но не обладая телефоном - вы не сможете зайти в учётку. и наоброт имея телефон и не зная кода доступа вы также не сможете войти в учтеку. Именно по этому признаку здесь выделяется второй фактор аутентификации.

[Арстан]

Что-то СМС не все приходят по карте Kaspi-gold... Возврат был за отмену покупки. СМС не пришло, на сайте каспи.кз видно, что вернули деньги.

[bars_arseniy]

При входе коду доступа нет многофакторной аутентификации. Здесь запрашивается только один фактор - моё знание кода безопасности.

 
зная код доступа, но не обладая телефоном - вы не сможете зайти в учётку. и наоброт имея телефон и не зная кода доступа вы также не сможете войти в учтеку. Именно по этому признаку здесь выделяется второй фактор аутентификации.

Согласен, двухфакторная аутентификация есть. Хотя сомнения у меня всё таки остаются.

Безопасность в этом случае должна повышаться минимум в 20 882 706 раз, чтобы она равнялась безопасности входа по паролю.

 
на самом деле нет. вы рассматриваете вероятности взлома по конкретной атаке - прямой перебор возможных комбинаций. при этом второй фактор аутентификации полностью отсекает некоторые виды атак: вроде как если кто-то подсмотрел ваш пароль (запись на камеры или через плечо).

Я не рассматриваю прямой перебор. Я описываю количество возможных комбинаций пароля.
Да, прямой перебор тут не работает, т.к. есть количество попыток.
Однако, телефон могу украсть. Телефон можно оставить на работе, в кафе, дома, у "друзей" и отойти на 5-10-60 минут.
В случае кражи угадать код безопасности проще, чем пароль в эти самые 2 * 10^6 раз. В эти же самые разы его проще угадать, если оставить его где то.
Чтобы безопасность в этом случае не падала, второй фактор - телефон должен повышать её в 2 * 10^6 раз.
У меня недостаточно данных чтобы посчитать во сколько раз повышается безопасность в случае использования телефона как второого фактора в описываемой ситуации.

[Фикус Бенджамина]

Все грустнее и грустнее. В обед сберовский пос-терминал не воспринял карту вообще - "ошибка карты", после этого банкомат Фортебанка отказал в выдаче наличных - "данная операция сейчас невозможна".   В отделении Каспи к банкомату в предбаннике очередь и духота.