Comments 45
Для банковского приложения вход только после явной аутентификации (биометрия, пароль, ПИН. ...) + авторизация транзакций наружу вторым каналом (возможно с риск моделью). Все остальное - отказать и никогда не пользоваться :)
Для тинькова это нормальная функция — в нём всё удобно.
Хранить деньги в банке где их потрясающе удобно авторизоваться и снять в любой ситуации, спорно, вы же не носите свои миллионы в кармане, а карта тинькоф такая же удобная как наличка.
Традиционный привет Олегу, за мои рублики, которые увели: 5% из-за моей пьянки, а остальные 95% из-за удобства.
На самом деле вполне себе удобная опция: разблокировал телефон и можно спокойно зайти в приложение без дополнительной аутентификации. Насколько это безопасная / полезная фича каждый решает сам для себя. Лично я пользуюсь, и о том, что ее можно трактовать как-то по-другому, задумался только после этого поста.
Ну а кейсы "дал родственнику телефон, а он может посмотреть баланс", как будто высосаны из пальца. Ваш баланс можно узнать так же:
1. В истории СМС от банка
2. В личном кабинете в браузере, если авторизованы
3. Отправив СМС на 2273 с текстом "Баланс XXXX", где XXXX - последние цифры карты
Отключаем функцию и засыпаем спокойно
Потому я и написал, что это моё личное мнение и я прекрасно понимаю, что для других штука удобная. Но так как работает она не так, как в других приложениях, то хотелось бы уточнение
P.S. на такие случаи, многие ставят на смс пароль или отпечаток. А тут заходи пожалуйста
Кстати говоря, протестировал
То есть достаточно ранее воспользоваться сканером отпечатка в любом месте!!
Пробовал открывать заблокированные заметки, заблокированные приложения, и туда и туда входил по Face ID, после этого приложение тинькофф все так же запрашивает Face ID. Почему-то у меня не получилось воспроизвести такое поведение, чтобы при любой разблокировке с тинькофф тоже снимался блок. Вы уверены что блокировка с тинькофф снималась именно из-за разблокировки чего-то другого? Может просто таймер в 5 минут с разблокировки телефона не вышел?
Так вроде это в каждом приложении банка изначально включено. Даже более смешной случай расскажу. В андроид 13 может любое другое приложение запросить отчепяток пальца поверх другого запроса, что тоже смешно.
Приложение постоянно висит в памяти и "читает" вводимые отпечатки.
Десктоп: грандиозный скандал, антивирусы начинают детектить приложение как малварь, разраба распинают, укутывают в ссаные тряпки, закапывают и вбивают осиновый кол в могилу.
Мобилы: ну... странное какое-то дефолтное поведение, я не уверен, что так должно быть, но это лишь мое мнение.
AFAIK, ничего оно не читает. Просто обращается к системному менеджеру аутентификации с запросом типа "а сколько времени прошло после последней успешной проверки юзера?"
Как раз в отличии от десктопов, мобильные приложения даже пукнуть не могут без разрешения от системы.
Чтобы не быть голословным: https://developer.android.com/training/sign-in/biometric-auth#no-explicit-user-action
Да, скорее это я сгустил, но на верности посыла настаиваю.
Как раз в отличии от десктопов, мобильные приложения даже пукнуть не могут без разрешения от системы.
В этом все приложения равны, но "системные" приложения - ровнее ;)
Поведение совершенно неочевидное, соглашусь с автором.
С другой стороны, у каждого, конечно, своя модель рисков - но для меня вот получение доступа к моему телефону критично (поэтому лицом/отпечатком я его никогда разблокировать не буду), а получение доступа к банковскому приложению, коль скоро доступ к телефону как-то получили - вопрос уже не столь принципиальный (поэтому у всех приложений, без вариантов требующих отдельный пин-код, он стоит одинаковый, а если можно отключить - отключаю). Видимо, тут разработчики посчитали, что вход по биометрии в целом и тем более такую настройку в приложении включат только те, кому удобство гораздо важнее безопасности. Хотя написать, что именно делает эта настройка, можно было и поочевиднее, да.
Функция то удобная, но я считаю любые новые настройки безопасности должны быть по умолчанию выключенны и включаться только с явным согласием пользователя. Мало что может быть так же неприятно как непредсказуемость в вопросе безопасности.
Какой то хайп на ровном месте. А давайте лочить на запуск приложения в RDP сессии, если они не запущены сразу же после логина, например. Ну а чо, вдруг пользователь перед экраном уже не тот, что ожидался системой и пусть авторизуется по новой. В Тинь нашли хороший баланс между удобством и безопасностью, пинать за это- только портить продукт.
А давайте лочить на запуск приложения в RDP сессии, если они не запущены сразу же после логина, например. Ну а чо, вдруг пользователь перед экраном уже не тот, что ожидался системой и пусть авторизуется по новой.
В системах удаленного доступа сложнее ларька шиномонтажа - так и работает. Еще и безопасность за тобой в камеру ноутбука глядит
В Тинь нашли хороший баланс между удобством и безопасностью
На фоне последнего угона 200к из Тинькова - конечно, отличный баланс.
какой в итоге телефон то ? Проверил на афоне - разблокировал, запустил тинь, он еще раз проверил faceId, открылся. Сворачиваю и тут же открываю снова: приложение открывается без проверки. Свайпаю, чтоб удалить его из памяти, запускаю снова и снова запрос faceid.
В настройках быстрый вход включен. О каком «разблокировать телефон» вы говорите?
Ровно так же работают и любые другие приложения с включенным требованием faceid.
Что там на андроидах я к счастью не знаю с 2014 года.
Если я дам ребёнку посмотреть ютуб [...]
Если я дал кому-то из родственников посмотреть фото с телефона [...]
если я дам кому-то ключ от квартиры где деньги лежат ...
если я дам кому-то ключ от квартиры где деньги лежат ...
Нет, не так.
Если Вы дали ключ от квартиры родственнику/другу, который приехал погостить на недельку, то это не значит что ключ вместе с входной дверью должен открывать и сейф с деньгами.
ушлый родственник сам откроет сейф или наймет специалиста на открытом рынке, сейчас есть и такие услуги. разумеется спишет все на неустановленных крадунов.
Все можно взломать, но значит ли это что вообще никакая защита не нужна и деньги и ценности стоит просто в вазочке на виду складывать?
меня поняли с точностью до наоборот. такое впервые.
ладно, открытым тестом - ошибкой является предоставление любого физического доступа к смартфону. потому что владелц смартфона обычно не имеет полного контроля над программной и аппаратной частью. в случае системного блока или ноутбука дела обстоят получше. в случае доступа на удаленный терминальный сервер - еще лучше (если это не хостинг у кого-то там).
Включил эту функцию, когда увидел её. Ваш вариант трактовки кажется странным. Для меня очевидно из описания функции, что она делает. Какой-то огромной дополнительной дыры в безопасности не вижу. Если вы разблокировали телефон пальцем только что и сразу полезли в приложение банка, то какой смысл снова спрашивать отпечаток? Но конечно, это при условии, что вы никому не даёте свой телефон. Я вот не даю.
Если же вы так переживаете за безопасность, то для чего включали функцию до конца неразобравшись, как она работает? И вообще, стоит перестать разблокировать телефон по отпечатку пальца, ибо небезопасно. И пинкоды на все приложения...
Совершенно непонятно, в чем претензия?
Функция не включена по умолчанию, при включении описание вполне исчерпывающее. Лично вам не нужно, так не включайте.
Об этой функции знал. Откуда - не помню.
К функции вопросов нет. Есть вопросы к тем, кто разблокирует телефон через отпечаток пальцев или лицо. Ничего, что ваше лицо или отпечаток остается доступен для использования даже если вы в наручниках лежите на полу или с пробитой головой в канаве? Не смущает?
Ничего, что ваше лицо или отпечаток остается доступен для использования даже если вы в наручниках лежите на полу или с пробитой головой в канаве? Не смущает?
нет. Потому что у нормальных приложений есть 2FA. Тиньков к ним не относится, у них 2FA нет
Ну и как это поможет?
Во-первых, даже если все приложения, которые есть смысл защищать, позволяют поставить дополнительный пин-код / пароль (Вы его имели в виду под 2FA?), то если сделать так - телефоном пользоваться будет невозможно. Мессенджеры, почта, СМС, менеджер паролей, доступ к файлам в облаке, браузер (там же залогиненные сессии могут быть), SSH-клиент, ещё дюжина приложений - всё это меня в плане защиты волнует куда больше мобильных банков. И я слабо представляю себе, как я буду работать со смартфона, если буду отдельно авторизоваться в каждой из этих программ. Куда проще поставить пароль (или хотя бы длинный пин) на разблокировку самого телефона вместо биометрии или простого пина.
Во-вторых, даже приложения, поддерживающие дополнительную защиту при входе, всегда какое-то время после открытия остаются залогиненными.
И я слабо представляю себе, как я буду работать со смартфона, если буду отдельно авторизоваться в каждой из этих программ. Куда проще поставить пароль (или хотя бы длинный пин) на разблокировку самого телефона вместо биометрии или простого пина.
Вы вводную прочитали ? Если вы лежите в наручниках на полу, то скорость ввода вами пина - по первой теореме терморектального криптоанализа - зависит только от скорости нагрева
Соотношение случаев "Вас будут пытать, чтобы узнать пин" и случаев "перед Вашим лицом помашут телефоном или пальчик прижмут, а в протокол напишут, что разблокировал добровольно и фиг докажешь обратное" даже в непростой текущей российской действительности - этак один к тысяче. От первого страховаться бесполезно (надо очень постараться, чтобы к Вам проявили такой интерес), от второго - необходимо.
Ну на примере Федорова: перед лицом у него помахали через пару секунд после укладывания на пол, а пин-код он рассказал через неделю. И эта неделя вполне могла использоваться(о чем впрочем не говорилось, но можно догадаться), чтобы доверенные люди удалили что-то, что можно было припаять.
Опять же, ударить человека кирпичом, и пытать - это две сильно разные вещи, как мне кажется.
На айфоне можно обязательный доступ по паролю поставить
Уж не знаю как это работает, но у меня телефон через некоторое время по отпечатку не разблокируется и требует пин код. После включения тоже только через пинкод.
В Андроиде есть функция Lockdown - принудительно заблокировать так, что для повторной разблокировки потребуется пароль / пин, а не биометрия. В зависимости от прошивки её можно даже удобно повесить в быстрый доступ. Но только не всегда можно успеть это сделать, случаи разные бывают...
Вот что грустно - что в последних версиях Андроид пропала возможность (которую раньше можно было реализовать несколькими магическими командами через ADB) поставить разные пароли на расшифровку устройства (запрашиваемый при включении) и на разблокировку.
о у меня телефон через некоторое время по отпечатку не разблокируется и требует пин код.
In terms of how long Face ID lasts before you need to use your passcode again, it depends on a few factors. By default, Face ID will require you to use your passcode if the device hasn't been unlocked for 48 hours, if you have restarted your device, or if there have been five unsuccessful attempts to use Face ID in a row. Additionally, you can manually lock your device or log out of an app to require authentication again.
However, the duration that Face ID lasts before requiring a passcode can also be adjusted in your device settings. You can choose to require authentication more frequently (e.g. immediately, after 1 minute, after 5 minutes, etc.) or less frequently (e.g. after 4 hours).
Хм... Отключил на всякий случай)
Всегда отключаю "быстрые разблокировки".
Три раза тычу пальцем:
разблокировать телефон
разблокировать папку Knox
войти в приложение банка
Андроид, Тиньков 6.3{8332) Не нашел у себя этой настройки. Пофиксили?
В сбере тоже есть такое. Не могу сказать с полной уверенностью, но по моему такая возможность описана самой apple
Hidden text
Складывается впечатление, что тинькофф буквально соткан из подобных уязвимостей. Без шуток, уже страшно с ними дела иметь
Удобство и/или безопасность? Tinkoff edition