Неслучайный генератор случайных одноразовых кодов Тинькофф банка
Совершая очередную транзакцию в моем любимом банке Тинькофф, получил уже привычное сообщение:
Никому не говорите код: 3131! Перевод с карты ****. Сумма ***.00 RUB
Если будут спрашивать — я вам его не говорил.
И снова взгляд зацепился за интересное совпадение цифр в «случайном» одноразовом коде (вспомнился Нео с чёрной кошкой). В итоге решил поднять всю историю сообщений, чтобы посмотреть, насколько случаен «случайный» одноразовый код и чем это может грозить.
В телефоне нашлось всего 234 таких сообщения за прошедший год. Все эти операции можно разделить на 2 типа: неслучайный код (190 штук) и случайный (42 штуки).
В категорию неслучайного кода относятся все операции покупки в интернете, операции перевода между своими картами. А на операции оплаты через мобильный банк, установку пин кода, вход в интернет банк, переводы третьим лицам приходят случайные коды.
Итак, были выбраны все неслучайные коды и отсортированы по возрастанию:
0200 0207 0207 0208 0301 0307 0308 0401 0602 0706 0802 0808 0809 0900 0901 0903 0905 1119 1315 1515 1516 1516 1610 1614 1712 1715 1715 1715 1812 1812 1818 1918 2121 2125 2128 2220 2226 2228 2321 2325 2325 2423 2429 2528 2621 2721 2723 2727 2826 2827 2926 2927 3131 3131 3134 3231 3234 3237 3335 3432 3437 3637 3734 3736 3831 3832 3930 3932 3937 3939 4140 4143 4149 4240 4243 4442 4443 4448 4546 4640 4640 4641 4641 4842 4843 4844 4941 4946 4948 5153 5154 5158 5250 5250 5350 5354 5355 5454 5455 5550 5556 5557 5557 5558 5559 5653 5653 5659 5755 5755 5852 5950 5954 5956 5957 5959 6160 6162 6168 6261 6267 6366 6368 6369 6567 6761 6861 6863 6867 6960 7273 7370 7379 7473 7473 7570 7578 7670 7673 7679 7771 7772 7773 7773 7778 7877 7971 8189 8388 8480 8581 8581 8583 8586 8587 8587 8688 8782 8785 8886 8887 8981 8982 8983 8984 9192 9193 9195 9197 9199 9394 9395 9492 9493 9496 9499 9595 9596 9693 9793 9794 9890 9895 9897 9897 9899 9899 9990 9993 9995
Как видно невооруженным глазом случайность этих кодов вызывает сомнения. В каждом коде 1 и 3 цифры совпадают, причем для выборки из 190 штук мы имеем 19 дублей кодов.
Посчитаем вероятность получения двух одинаковых чисел на первой и третьей позиции:
P = 0,1 * 0,1 * 10 = 0,1
Не так уж и невероятно получить код с одинаковыми цифрами в первой и третьей позиции, хотя интуитивно я считал, что это более редкое событие.
Но вернемся к выборке. Какова вероятность получить 190 кодов подряд, в которых первая и третья цифры совпадают при равномерном распределении?
Таким образом четырехзначный код превращается в трехзначный.
Возможно в сообществе найдутся знатоки теории вероятности и смогут вытащить из этих данных больше информации, буду рад почитать в комментариях.
P.S. Возможно такая ситуация наблюдается только у меня и связана с алгоритмом генерации кодов на основании данных клиента, например. Прошу сообщество посмотреть, имеет ли данная проблема массовый характер.
UPD.: вторая цифра всегда больше 0. Таким образом остается 900 комбинаций
- тинькофф банк
- информационная безопасность
- теория вероятностей
Бизнес оценил карту-генератор кодов
Современная бизнес-среда требует мобильности: собственник компании, особенно в сегменте малого и среднего бизнеса, должен контролировать все процессы, успевать на встречу, на объект, на выставку, не отрываясь на банковское обслуживание.
Стационарные компьютеры уступили место мощным смартфонам и планшетам, автомобили превратились в офисы на колесах, вместо дорогостоящего офиса можно просто арендовать переговорные комнаты и рабочие столы.
Мобильность бизнеса банки поддерживают разработкой мобильных приложений. Однако есть они до сих пор не у всех банков, а функционал их часто ограничен. Проблема не в стоимости разработки, а прежде всего в обеспечении безопасности операций в мобильном приложении. И это очень непростая задача. В угоду простоте можно допустить роковую ошибку, которая приведет к потере средств клиента, потере репутации банка.
Большинство российских банков предлагают два варианта подписания документов в мобильном приложении. Первый — клиент должен создать платежные документы или их шаблоны в интернет-банке, «подписать» их ЭЦП, а затем в приложении отправить документ в нужное время на исполнение. Или поменять сумму в шаблоне, но не более. Однако такой механизм практически сводит на нет мобильность.
Второй вариант — передача кодов подтверждения СМС-сообщениями. Это небезопасно, так что банки часто сами ограничивают суммы операций, которые можно подписывать кодами из СМС, избегая риска существенных потерь денег клиентов.
Есть и третий вариант — генераторы одноразовых кодов. Эта технология гораздо более безопасна: одноразовый код для подтверждения операции создается на специальном устройстве, для его генерации используется код запроса, полученный из банка, иногда — в виде СМС на телефон, но затем вводится ПИН-код генератора, созданный самим клиентом и неизвестный больше никому. Поэтому потеря или кража генератора не обернется потерей денег. Но недостаток есть и у генератора кодов: это автономное устройство, чаще всего похожее на калькулятор, носить его с собой неудобно.
Впрочем, на российском рынке существует компактное и универсальное решение родом из Швейцарии — банковская карта с дисплеем. Генератор кодов встроен в обычную банковскую карту: она не отличается по толщине, но при этом имеет встроенный чип, микродисплей, батарею и миниатюрную клавиатуру. Карты Mastercard Platinum с дисплеем первым в России начал выпускать банк Авангард. Это премиальная платежная карта и одновременно генератор кодов подтверждения. Одноразовыми кодами с карты ее держатель одновременно подписывает все личные операции в интернете, а также операции юридического лица, в котором у него есть право подписи. Срок жизни батареи рассчитан на весь срок действия карты — 3 года. Эти карты выпускаются с 2012 года, а с 2018 года банк выпускает также корпоративные карты с дисплеем Mastercard Business.
Банк, которому плевать на пользователей
После 7 раза, когда мне пришлось менять пароль в МП, я не выдержал и решил написать этот отзыв.
Я не пониманию, зачем настолько усложнять свое приложение. Для входа в приложение я должен ввести пароль и код доступа — ну это еще окей. Хорошо, что хоть FaceId есть. Но я не понимаю, почему для перевода я должен снова вводить свой пароль (которые успешно забываю, т.к. это мне нужно извернуться, чтобы попасть под требования пароля, и я юзаю FaceId) и код доступа? Я же уже себя подтвердил. Лучше уж код из смс вводить, и то надежнее. От кого защита?
У пароля какие-то непонятные требования: 3 цифры подряд нельзя. или же 3 одинаковые буквы. А еще всякие доп. символы, но не все. Понятное дело я буду забывать его, т.к. не пользуюсь им каждый день.
Зато дату рождения — вводи, пожалуйста. Конечно мы пропустим такой пароль. Маразм. Очень хотелось попробовать ввести , жаль в ошибку приложение начало падать. Но я уверен на 90%, что такой пароль прошел бы. Короче, я в шоке.
И сразу вспомнился другой кейс. Когда оформлял продукт, приехал представитель, который зачем-то в свой личный телефон сфотографировал мой паспорт. На мою претензию в КЦ ответа не было, либо просто решили проигнорировать ее.
В общем. Это последний раз, когда я пользуюсь услугами этого Банка.
Ужасные карты и интернет-банк
У меня много карт разных банков, но такое ужасное приложение и интернет-банк вижу впервые. Почти никаких функций. В приложении вообще ужас, постоянно требуется вводить кучу паролей. Сначала основной пароль, потом заданный код. Для чего это нужно? Во всех банках в приложении сразу по коду захожу. И для чего придумали этот генератор паролей? Он ничего не упрощает, наоборот, проще смс получить, чем сначала в приложение заходить и опять вводить всякие коды. Ну это ладно, можно было бы закрыть на это глаза.
Дичайший минус-то, что невозможно перевести деньги на другие карты, банки. То есть можно, но с комиссией. Хотя на сайте написано, что переводы без комиссии за переводы в другие банки! Можно ли как-то это сделать бесплатно я так и не нашла. В других банках таких проблем совершенно нет. А тут я ни через их приложение пополнить не могу, ни через приложения других банков. Как в ситибанке со своей карты деньги получить вообще непонятно, отделение с банкоматами у нас одно на весь город, оно далеко. Пополнить карту через элекснет еще довольно просто, а вот снять их оттуда поди попробуй. В общем, одна морока с их картой, никому не советую.
Администратор народного рейтинга
2020-09-02T09:37:40+03:00
Спасибо за отзыв. Оценку не засчитываем, так как в отзыве идёт речь о заявленных условиях предоставления продуктов и услуг. Они в нашем рейтинге не оцениваются.
2020-08-17T10:03:25+03:00
Спасибо за отзыв.
Дело в том, что аутентификация для входа в мобильное приложение у нас двухэтапная. Такие у нас правила. Это обеспечивает более эффективную защиту от несанкционированного проникновения к Вашему счету. После ввода пароля для дальнейшего входа используется код, который можно создать самому или же получать от банка в смс. “Генератор кодов” – это как раз инструмент для создания кода непосредственно клиентом. Код, который Вы создаете сами, – это удобная альтернатива высылаемым банком в смс одноразовым кодам. Если Вы забудете код, который создали сами, то можно создать новый, и для этого не нужно помнить старый. Если Вам неудобно пользоваться своим кодом, то отключить сервис по использованию своего кода можно в разделе “Настройки”, далее зайдите в меню «Управление генератором кодов» и отключите генератор кнопкой «Отключение генератора кодов». Отключив сервис, Вы тем самым перейдете в режим получения одноразовых кодов от банка в смс. Что касается услуги переводов денежных средств с карты на карту, то, согласно действующим для Вас тарифам, такая услуга платная. Бесплатно есть возможность перевести деньги не между картами, а используя форму переводов со счета на счет. Услуга будет бесплатной, если Вы выполняете условия тарифа. При выполнении этих условий, Вы также можете бесплатно снять наличные денежные средства в банкоматах других банков. Ознакомиться с тарифами и условиями, при которых переводы и снятие наличных в банкоматах других банков могут быть бесплатными, можно на нашем сайте. В июле, например, Вы эти условия выполнили, а, значит, можете бесплатно перевести деньги на счет в другом банке или же снять их в банкомате стороннего банка.
С уважением,
АО КБ «Ситибанк»