Comments 68
Кстати, а кто-нибудь пользуется магазином приложений от Xiaomi? Раньше через него обновлял все то, что вырезали из Play Market, а в последнее время обратил внимание, что обновлений на те же банковские приложения там нет. Само приложение можно скачать, а обновления как будто не публикуются.
А рустор не тестили для этого? А то обычно в AppGallery и рустор разработчики банковским мобилок после санкций стараются как минимум обновления добавлять.
В русторе есть все обновления - сбер/альфа/тиньков обновляются через него.
Пользуюсь, но не обращал внимания, если честно
В нём встречаются поддельные приложения достаточно часто, надо быть максимально осторожным. Одно дело, если обновлять уже установленное ранее через Play Market, а другое дело устанавливать с нуля. К слову, AppGallery от Huawei можно без проблем скачать и установить в том числе, и на телефоны Xiaomi, и оно будет нормально функционировать. И доверия ему поболее, и больше там официально размещаемых самими разработчиками приложений.
Если есть например наушники или фитнес браслеты от Huawei, софт для которых проще всего взять именно с AppGallery, то отпадает необходимость ставить еще какой то маркет.
"В нем" это в магазине Сяоми, Хуавей или нашем Русторе?
В магазине Сяоми. Я отвечал на комментарий пользователя @Evgenym, который выше спрашивал именно про него.
В магазине Xiaomi десяток поддельных приложений, имитирующих RuStore.
А некоторое время назад в топе скачиваемых там висел форк Telegram, который выдавал окошко "вы выиграли денежный приз".
Самим магазином - нет, обновления приходят через "Обновление компонентов" в настройках. Банковские программы сами себя обновляют при этом.
Пользуюсь APKPure. Там всё вроде есть и обновляется.
Не пользуюсь. Выпилил его вообще с телефона при помощи ADB.
Есть Play Market и есть RuStore. Хватает на все. Ну плюс через обновление компонентов что-то прилетает, но там системное в основном.
MirPay не пользую - AlfaPay в банковском приложении стабильнее работает (само приложение через RuStore обновляется).
СБП тоже не пользую (соотв. СБПэй нет). Привет ставил, но потом снес - не увидел там ничего для себя интересного.
В целом, российские приложения (яндекс, банковские, платежные 2ГИС и т.п.) практически все уже в RuStore переехали, так что выпиливание их из PlayMarket мера скорее для демонстрации "лояльности генеральной линии партии", нежели реально на что-то влияющая.
У гугла вызывает недоумение отказ в обновлении платных приложений, которые были куплены достаточно давно (еще когда можно было). Ну хорошо - платить нельзя. Ладно. Понимаю. "Так надо". Но почему не обновляется приложение, которое оплачено еще когда можно было? Т.е. бесплатная версия (с урезанным функционалом) его будет исправно обновляться, а платная - нет... Вот тут логики совсем не вижу.
Посмотрел сейчас GetApps называется от mi.com все приложения банков есть...
А причина известна?
В плане это гугол исполняя санкции выпилил приложение, или разработчик (НСПК) ушел из вражеского магазина приложений?
Я за всю историю российского банкинга помню единственный кейс с OTP - у ВТБ24 был, но хардварный. Выдавали девайс, куда вставляешь карту с чипом и он генерил коды. Но тема продышала не долго. В остально банки упорото не хотят в OTP.
Там был не совсем токен в классическом смысле. Это был кардридер, который использовал криптопроцессор на вставляемой карточке.
До этого у ВТБ были пластиковые карточки с одноразовыми кодами.
После этого некоторое время еще была приложенька-токен на андроиде. Потом все прикрыли.
Сейчас, по слухам, один или два банка в Мск могут работать с аппаратными токенами.
Что такое токен в классическом смысле? Это криптографический ключ, который по определенному алгоритму выдаёт коды. Где находится этот ключ: в приложении Google Auth на телефоне, в файлике KeePassXC на компе, в отдельном девайсе или в чипе пластиковой карты - это уже вторично.
Что такое токен в классическом смысле?
Закрытая сферическая коробочка в вакууме, которая генерит коды.
Сабжевый аппарат от ВТБ на самом деле не токен от ВТБ, а обычный картридер (который можно заказать с али, например). Вся магия там работает в самой карточке.
Вы про такие (Страница с CNews, 2012 г. промотать вниз - там картинка есть) говорите? Оно же, все-таки не обычный картридер, а специализированный. Про возможность заказать прямо с али есть некие сомнения.
Но токеном тут нужно считать карточку, это я согласен.
Да, именно такой.
Про возможность заказать прямо с али есть некие сомнения.
Я читал на форумах в то время, что народ заказывал и все работало. Сам подумывал заказать на поиграться, но в самом ВТБ оно стоило чуть дешевле.
В ВТБ оно стоило "бесплатно". Оплачивать надо было абонентскую плату за интернет-банк. Можно было выбрать помесячно с СМС или единоразово - тогда давали девайс. Опции "дайте мне ИБ бесплатно я со своим девайсом" не было, на сколько я помню ) То есть формально оплачивался не девайс, а услуга.
В ВТБ мне его именно что продали, емнип, за 1к рублей (или не за 1к, не помню вот совсем, но точно списали что-то с карточки). А вот абонентки конкретно за него не было (ну или оно было включено в уже работающее информирование по смс).
Я получал его в первый день, когда их начали выдавать. Кажется 400 рублей за год с меня сняли (СМСками стоило вроде 60 руб/месяц). Выдавать слетелось всё отделение, как на обучение. Чё-то там не смогли привязать существующую карту - выдали неименную, чисто для девайса. Правда оказалось, что ей можно платить и расплачиваться и тролить кассирш, когда они требовали паспорт на имя CARD HOLDER )
Потом пошли с женой в это же отделение получать на неё, чтобы миновать этот цирк с обучением на пациенте. Веселые были времена.
То есть здесь вы пишете про некий народ, у которого всё работало с алишными девайсами, а в соседней ветке пишете мне про некий seed, который надо было привязывать в отделении? Не хорошо, не хорошо )))
И в чем противоречие? Приходите в отделение и привязываете.
ВТБ не стал бы привязывать левый девайс.
Ну ок, значит эти люди на форумах, скажем так, приврали. Я свечку не держал.
Я думаю, что они не привирали. Работало, потому что ключи и криптооперации производились на чипе карте, а на калькуляторе должно было быть то единственное, чего на карте нет - текущее время, которое прописывалось в девайс на заводе. И, возможно, существовала какая-то процедура установки этого времени после замены батарейки. А привязывать этот гаджет к клиенту не нужно было.
А как же тогда рекомендация что если сели батарейки и дивайс отключился - заменить и придти в отделение для перепривязки? Я не думаю что в таком случае там можно было поставить время прямо в отделении.
Плюс еще такой момент, что алгоритмы на основе времени довольно чувствительны к уходу часов - я не думаю, что там стояло RTC, в котором уход был лучше +-5 секунд за все время работы (хотя хз).
На пару лет хватает точности часов. вот пример - одноразовая ОТР железка с привязкой по времени, батарейка несменная.
А как же тогда рекомендация что если сели батарейки и дивайс отключился - заменить и придти в отделение для перепривязки? Я не думаю что в таком случае там можно было поставить время прямо в отделении.
Почему вы считаете, что в отделении не могли установить время? Наверняка, у них была инструкция на этот счёт.
Плюс еще такой момент, что алгоритмы на основе времени довольно чувствительны к уходу часов - я не думаю, что там стояло RTC, в котором уход был лучше +-5 секунд за все время работы (хотя хз).
Ну обычный TOTP обновляется раз в 30 секунд, при этом старый код можно ещё в течение 30 секунд ввести.
И вы упорно игнорируете то, что мы с супругой использовали эти калькуляторы взаимозаменяемо. Я думаю, что если вы прекратите свой confirmation bias и попробуете объяснить этот факт, то у вас отпадут все домыслы о привязки гаджета.
Почему вы считаете, что в отделении не могли установить время? Наверняка, у них была инструкция на этот счёт.
Я вот сходу не помню, что в интерфейса калькулятора была возможность ввести время, или что там была возможность подключиться без разбора аппарата.
И вы упорно игнорируете то, что мы с супругой использовали эти калькуляторы взаимозаменяемо. Я думаю, что если вы прекратите свой confirmation bias и попробуете объяснить этот факт, то у вас отпадут все домыслы о привязки гаджета.
Я просто пытаюсь увязать ваши слова и слова сотрудников в отделении банка и ту инфу что я тогда читал в интернетах.
Я вот сходу не помню, что в интерфейса калькулятора была возможность ввести время, или что там была возможность подключиться без разбора аппарата.
1) Интерфейс может быть беспроводным, потому что почему бы и нет. Как электромагнитными волнами так и каким-нибудь писком.
2) В эфире уже с давних пор полно всяких сигналов времени, на которые можно синхронизироваться.
3) Оно вообще могло времени не требовать? Там в какой-то момент ничего вводить не надо, что сайт банка показывал? Клавиатура же для чего-то есть? Вот тут, например, сначала в генератор что-то вводят, а уже потом он код для сайта генерирует.
В общем надоела мне эта угадайка. Порылся в закромах, нашел свой аппарат и разобрал (кстати, на одноразовых защелках оно).
Антенн там не видно (на другой стороне платы только контакты кнопок), но видно два кварца, один из которых, похоже, часовой.
Там в какой-то момент ничего вводить не надо, что сайт банка показывал? Клавиатура же для чего-то есть?
Клавиатура там еще для ввода пинкода карты.
Да, вот именно такой аппарат как в видосике, и именно так и работало.
3) Оно вообще могло времени не требовать? Там в какой-то момент ничего вводить не надо, что сайт банка показывал? Клавиатура же для чего-то есть? Вот тут, например, сначала в генератор что-то вводят, а уже потом он код для сайта генерирует.
В статье, ссылку на которую вы дали в фото девайса, видно, что на клаве есть две кнопки - режим А и режим Б. В первом режиме просто выдавался код. В втором режиме надо было вводить код с сайта, а он выдавал ответный код. На сколько я помню, для входа, например, использовался режим А. А для подписи транзакций - режим Б.
На сколько я помню, для входа, например, использовался режим А. А для подписи транзакций - режим Б.
Интересно. У меня всегда давало код и спрашивало ответ.
В первом режиме просто выдавался код.
Я ссылку на ролик дал. Там видно процесс входа. Режим A, да. И какой-то сhallange вводят. (51-я секунда - прямо пальцем читают)
А режим B -- еще и сумма.
Привязывать что? Этот "калькулятор"? А карта тогда для чего?
Впрочем, я могу представить, что ридер был совершенно стандартный, а процедура привязка заключалось в том, что в карту заливали приложение и ключики для авторизации.
Хочу, кстати, чтобы оно так по умолчанию со всеми банковскими картами работало (в смысле - чтобы такое приложение в картах по умолчанию было) и не понимаю, в чем великая проблема это сделать.
Закрытая сферическая коробочка в вакууме, которая генерит коды.
Вы сами это определение родили? Потому что, например, есть такой токен для хранения ГОСТ-ключей под названием Rutoken ЭЦП 3.0 в виде смарт-карты. Да, без кардридера он не работает, тем не менее это токен.
Я всё же настаиваю на том, что токен - это в первую очередь ключевая информация.
Сабжевый аппарат от ВТБ на самом деле не токен от ВТБ, а обычный картридер (который можно заказать с али, например). Вся магия там работает в самой карточке.
Что вы привязались к аппарату от ВТБ? Я говорил про практику автономного OTP в российском банкинге, а не про её конкретную реализацию.
Что касается "самого обычно кардридера", то и это неправда, потому что этот кардридер выполняет вполне конкретную функцию. Кроме того, если я не ошибаюсь, то он был TOTP, потому что на одни и те же входные данные он генерировал разные коды в первом режиме. То есть в нём есть RTC, который сбрасывается, если батарейка сдохнет совсем.
Что вы привязались к аппарату от ВТБ
Потому что мы в этой ветке обсуждаем собственно аппарат от ВТБ.
то и это неправда, потому что этот кардридер выполняет вполне конкретную функцию
И при этом это вполне обычный картридер, который без карточки не умеет ничего.
Кроме того, если я не ошибаюсь, то он был TOTP, потому что на одни и те же входные данные он генерировал разные коды в первом режиме. То есть в нём есть RTC, который сбрасывается, если батарейка сдохнет совсем.
Емнип, там не время, а какой-то случайный начальный seed хранился в энергозависимой памяти. В сервис мануале писали менять батарейки по одной (там две было). И если таки сбросилось, то нужно было идти в отделение и перепривязывать его заново.
Мы с женой получили по кардридеру, и они взаимозаменяемые были... по крайней мере они валялись в ящике стола и никогда никто не парился тем, какой из них брать. Так что на счёт привязки сомневаюсь - всё уникальное содержалось в чипе карты. Если бы кардридер надо было привязывать к клиенту, то нафига нужна карта с чипом?
Ну, далеко не единственный - например, у Авангарда была карта с аппаратным генератором, у него же были скрэтчкарты с одноразовыми кодами, еще до этого были карты с кодами у Мастер-Банка. Это из того, что я помню, что работало без смс.
Я скрэтчкарты вообще не рассматриваю, ибо тредстартер явно обозначил, что его беспокоит проблема одноразовых кодов в контексте нахождения в другой юрисдикции (в его случае Турция). Вы что будете делать, когда у вас кончится скрэтчкарта в Турции? Поэтому проблема не в СМС совершенно. Само по себе СМС это больше геморрой с тем, что нужно следить за тем, чтобы номер не отключили. Поэтому это такое же рисковое занятие остаться без OTP, как и скрэтчкарта.
Зря не рассматриваете - если память не изменяет, там было около 60 или 80 кодов? Если вы не совершали платежи по три раза на дню именно через онлайн-банкинг, то хватало их надолго. В вашем примере с нахождением в Турции и, в контексте обсуждения карт банка РФ, и платежей в РФ - таких платежей, ну, может, 5 в месяц (коммуналка, платеж сантехнику и т.п.) - на год отпуска вполне хватит, а если экономно их тратить, то еще больше.
Так то и в аппаратном токене тоже батарейка садится, хотя обычно он по сроку действия раньше протухает.
Аппаратный токен еще может просто взять и сломаться.
на год отпуска вполне хватит
А потом?
Так то и в аппаратном токене тоже батарейка садится, хотя обычно он по сроку действия раньше протухает.
Во-первых, это какой-то whataboutism. Во-вторых, совершенно точно батарейка работает дольше года - ВТБшный "калькулятор" только что откопал - работает до сих пор. В-третьих, её можно поменять. У меня был DigiPass одного европейского банка, мало того, что он года 4 отработал, так он заранее стал предупреждать, что батарейка садится, и я её просто взял и поменял, подсоединив на время замены клеммами 3 вольта от двух пальчиковых батареек, чтобы не прерывать питание. В-четвертых, из всех альтернатив упомянутых в моём каменте вы прицепились почему-то именно к аппаратному токену, проигнорировав всё другие варианты.
А потом?
А вам принципиально 10 лет из Турции счетом в РФ оперировать лично? Просто в исходном комментарии звучало "Зачем мне мозг в Турции в отпуске выносить фигнёй?" - тут можно сослаться, что неохота за роуминг платить, лень разбираться и т.п. Обычно если есть планы на долгосрок за границей - люди какие-то другие способы ищут, доверенное лицо, например.
Да и потом - извините, если показалось, что я к вам "прицепился". Это там на вас с ВТБ напали.
С тем, что OTP лучше смс, спорить бессмысленно. Мой посыл в том, что не нужно недооценивать скрэтчкарты - они не так плохи, и в обычной жизни их вполне может быть достаточно. Энергонезависимость это тоже плюс.
А вам принципиально 10 лет из Турции счетом в РФ оперировать лично?
Если вы спрашиваете меня, то мне принципиально вообще такими вещами лично заниматься не важно откуда.
неохота за роуминг платить
Роуминга за получение СМС нет. Да даже звонки с учетом технологии VoWiFi (он же WiFi calling) теперь можно без роуминга делать откуда угодно.
Обычно если есть планы на долгосрок за границей - люди какие-то другие способы ищут, доверенное лицо, например.
У меня тут один знакомый доверенному лицу доверился. Доверенное лицо на какой-то скам попало, и теперь отмазывается от финансирования того, за что в РФ теперь дают срок )
извините, если показалось, что я к вам "прицепился"
Я не писал, что вы ко мне прицепились. Я писал, что вы прицепились к аппаратному токену. Вот на ГосУслугах есть TOTP, получил себе QR-код, а где ты его хранишь и как - это уже твое личное дело, никто тебе не диктует это. В банках же такой свободы нет - тебе навязывают способ, даже если есть альтернативы СМС. Вот о чём я.
Ну, банки по своему защищаются, привязка OTP без личной авторизации в отделении - так себе история..
А так, в целом, согласен - наверное самый интересный вариант - OTP токеном с карты, универсальным ридером, но все равно это на срок действия карты получается, т.е. на 2-4 года. Минус только в том, что еще ридер с собой таскать.
А так, в целом, согласен - наверное самый интересный вариант - OTP токеном с карты, универсальным ридером, ... Минус только в том, что еще ридер с собой таскать.
Это раньше так было. Сейчас смартфон - сам по себе NFC ридер все чаще и чаще. Можно забыть про OTP и прямо картой для авторизации и пользоваться.
Есть, правда, вопрос с тем, доверяем ли мы смарту читать PIN и открывать им чип карты, но если мы про это думаем, то стоит думать и про "а доверяем ли мы смарту запускать банковское приложение"
Можно забыть про OTP и прямо картой для авторизации и пользоваться
Честно говоря, не встречал таких приложений для банковских карт.
Для проездных - полно, а для карт не видел ни разу. От реализации FIDO2 с привязкой банковской карты не отказался бы.
Честно говоря, не встречал таких приложений для банковских карт.
Ну так я об этом давно ною. Могли бы и сделать.
Взяли бы те приложения, что живут в тех токенах/смарт-картах авторизации, что PC/SC, выкинул бы лишнее (генерация ключей, не нужна, скажем - пускай так же как с банковскими картами снаружи вшиваются) и использовали бы. Или те, что в телефонных SIM-ках. Или каким-нибудь слегка нестандартным образом использовали бы банковское платежное (делает же оно подтверждение, что эта та самая карта, а не другая). Или вот это приложение, что 'калькулятор' дергает - существует же оно?Ну или вообще заново разработали.
А то, понимаете, для МИР-а приложение смогли то ли сделать то ли купить, а тут - не захотели. Вряд ли в масштабах платежной ситемы или даже банковской индустрии это уж так дорого.
От реализации FIDO2 с привязкой банковской карты не отказался бы.
Ну вот да, FIDO-ные приложения можно еще использовать.
Честно говоря, не встречал таких приложений для банковских карт.
По-моему вроде тиньков когда-то умел читать чип карты, но только брал из него реквизиты для добавления в приложение. Что-то такое слышал.
но все равно это на срок действия карты получается, т.е. на 2-4 года
А вот кстати нет. У меня карта ВТБ продолжала выдавать коды в ридере даже после протухания. Другое дело, что на стороне банка могут уже и не принимать коды от такой карточки.
А у Авангарда, кстати, вообще вот такое есть:
https://www.avangard.ru/rus/private/cards/card_with_display/
Mir Pay можно было установить только на устройства на базе ОС Android (от версии 7.0 и выше), официально произведённых для России
На глобальные версии тоже устанавливается. Причем безо всяких танцев с бубном.
Приложения Mir Pay, «СБПэй» и «Привет!» пропали из Google Play