Ваш телефон — ключ к вашим деньгам или о безопасности входа в мобильное приложение Сбербанка
Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.
После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!
Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.
Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.
А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.
Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.
А что Сбербанк?
Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:
Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.
То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.
Источник
Как включить встроенный электронный ключ в Android
Для многих такие понятия, как конфиденциальность и приватность, являются слишком возвышенными даже эфемерными. Ведь если мне правда нечего скрывать, то какой вообще смысл заморачиваться с обеспечением защиты своих данных? Так, во всяком случае, рассуждают очень и очень многие, почему-то не задумываясь о том, что они могут представлять интерес не только для правоохранительных органов, но и для самых обычных хакеров и мошенников, которые получают доступ к почте пользователей, а потом захватывают контроль над банковскими счетами и много чем ещё.
Встроенный электронный ключ защитит вашу учётную запись Google
Как защитить аккаунт Google
Существует много способов защитить свою учётную запись от взлома. Зачастую эффективным оказывается даже создание надёжного пароля. Главное, чтобы он, во-первых, состоял из большого количества символов и включал в себя не только буквы, но и цифры, знаки препинания и другие элементы, а, во-вторых, не использовалсяся больше нигде. Ведь если вы засветите защитную комбинацию от одного аккаунта, которая используется на нескольких, взлом остальных будет лишь вопросом времени. Впрочем, существует ещё двухфакторная аутентификация, которая способна нивелировать риски даже простецких паролей. Она предполагает обязательное подтверждение входа вводом одноразового кода авторизации, который отправляется на телефонный номер пользователя и долгое время считался эталоном защиты. Однако Google пошла дальше и придумала метод так называемой «Дополнительной защиты».
Читайте также: Google вернёт в Android 11 функцию, удалённую из Android 10
Дополнительная защита очень напоминает двухфакторную аутентификацию, поскольку тоже задействует телефон пользователя. Однако она использует не код из приложения или SMS-сообщения, а встроенный электронный ключ, который доступен на Android 7 и iOS 10 и новее. Он работает по Bluetooth (реже по NFC), что исключает возможность перехвата кода, а также предполагает обязательное нахождение обоих устройств (смартфона и компьютера или планшета, с которого производится вход в учётную запись) в непосредственной близи друг от друга. В противном случае установить соединение между устройствами не удастся и вход не произойдёт.
Как включить дополнительную защиту аккаунта Google
Встроенный электронный ключ работает по Bluetooth
Электронный ключ безопасности — не то же самое, что двухфакторная утентификация
После включения Дополнительной защиты каждый вход в аккаунт будет требовать подтверждения со смартфона. Несмотря на то что в условиях использования функции сказано, что верификацию осуществляется по Bluetooth, очень важно, чтобы службы геолокации в этот момент тоже были включены. Это является требованием безопасности, поскольку необходимо, чтобы смартфон находился в непосредственной близи к компьютеру. А если в работе Bluetooth произойдёт сбой, что вполне вероятно, соединения может не произойти, а значит, и авторизация тоже подтвердить не удастся. В целом ничего страшного, но без весомых недостатков тоже не обошлось.
Недостатки дополнительной защиты
Поскольку электронный ключ является встроенным в смартфон, то его утеря будет означать фактически утерю аккаунта, ведь пройти авторизацию без него у вас уже не получится. Конечно, можно заранее озаботиться добавлением запасного физического Bluetooth-ключа вроде тех, что выпускает Google, но обычно этим пользуются только супер-продвинутые или корпоративные пользователи. Однако давайте будем откровенны: потерять смартфон сегодня довольно сложно, учитывая, что все мы тщательно следим за его сохранностью, учитывая колоссальный массив данных, который он хранит, а значит, и переживать, скорее всего, не о чем.
Новости, статьи и анонсы публикаций
Свободное общение и обсуждение материалов
Есть много присказок о том, что ”хочу это, а могу позволить это”. Они сформулированы разными словами, но суть от этого не меняется. Это сейчас в полной мере подходит в отношении Android 12 и подавляющего большинства пользователей, которые хотят Android 12, но могут себе позволить только 11-ую его версию. И это, кстати, не зависит от стоимости телефона. Даже самые топовые и дорогие флагманы пока его не получили. Для Pixel они тоже выходят только начиная с третьего поколения. Но теперь кое-что поменялось, и благодаря усилиям разработчиков чуть больше пользователей смогут установить Android 12 на свои смартфоны, хотя и с некоторыми ограничениями.
Еще совсем недавно Microsoft с надеждой на светлое будущее представляла публике мощную Lumia 950 XL с отличной камерой, инновационным Windows Hello и технологией Continuum, позволяющей подключить Lumia к монитору через специальный док, чтобы пользоваться как настольным ПК. Всё это в 2015 вызывало восторг. Может это и не было практично в повседневной жизни, но Windows Phone до конца боролся со своими демонами, в итоге избавившись от «Phone» в названии и объединив операционную систему в единую Windows 10.
YouTube уже давно перестал быть чем-то редким. Кроме того, что сейчас это самый посещаемый и популярный хостинг в мире, которые стал для многих средством заработка огромных денег, он является и источником информации. Огромная доля пользователей смотрит на YouTube хотя бы 1-2 ролика в день. При этом, у него появляются все новые инструменты для привлечения новых пользователей. Одним из них является не новый, но удобный инструмент ”Смотреть позже”. Часто просто нет времени смотреть все, что попадает в подборку. С этим инструментом можно просто отложить видео и посмотреть, когда будет время. Вот только там скапливается слишком много просмотренного мусора, который надо убирать. Расскажу, как это можно сделать.
А как войти с компьютера, в котором нет Bluetooth?
И кто сказал, что потерять смартфон довольно сложно? Его могут элементарно вытащить в метро или другом транспорте.
Так что очень неудобная защита.
Источник
Регистрация симкарт в 2021 году: что нужно делать и кто рискует потерять номер телефона
Это не требование отдельных операторов, а федеральный закон. Все серьезно.
Курс о больших делах
Что это за требование
Это требование федерального закона, который был принят еще год назад и вступил в силу 1 июня 2021 года. Теперь все корпоративные симкарты должны быть зарегистрированы в специальном реестре через госуслуги. Это касается и тех номеров, что используются сотрудниками, и карт, которые оформлены для устройств — терминалов, шлагбаумов, модемов и онлайн-касс.
Такими симкартами многие пользовались годами, регистрировали на них онлайн-банки, использовали в бизнесе, а иногда — для мошенничества и других преступлений. Государство решило с этим бороться. Сначала ввели обязательную идентификацию абонентов по паспорту, теперь пытаются навести порядок в корпоративных номерах.
Из-за этого прибавилось хлопот у бизнеса. А простые абоненты могут вообще потерять номер, хотя честно использовали его в течение многих лет и ничего незаконного не задумывали.
Что нужно делать фирмам и ИП
С 1 июня по 30 ноября 2021 года всем абонентам с корпоративными симкартами нужно зарегистрировать используемые номера на госуслугах. То есть владелец номеров передает оператору связи сведения о том, кто и какими симкартами пользуется, — с данными конкретных сотрудников. Оператор запрашивает у этих сотрудников подтверждение через госуслуги — и после этого активирует карту.
Если симкарта установлена в устройстве, она активируется сразу после передачи данных, дополнительное подтверждение не требуется. Все это происходит дистанционно.
Вот что нужно сделать организации или ИП:
Заявление отправляется электронно — на портале.
Что делать работникам
Получается, что пользователям симкарт нужно либо ждать инициативы от компании, которая заключила договор, либо знать ее данные и самостоятельно активировать карту. В любом случае сведения о конечном пользователе будут проверяться. Оператор активирует карту, только если данные от корпоративного абонента и физлица совпадут.
Это не будет проблемой для тех, кто на самом деле пользуется корпоративной связью действующих компаний. Добавит немного хлопот, но не более. А вот тем, кто потерял контакт с организацией или когда-то давно купил непонятно какую симкарту, придется столкнуться с проблемами — вплоть до потери номера.
Как оператор проверяет данные пользователя
Рассмотрим вариант, когда абонент передает данные на госуслугах сам за себя. Например, если организации уже нет, он уволился, покупал симку в переходе или не дождался запроса на активацию. Вот пользователь заполнил данные на госуслугах, оператор их получил.
А дальше оператор проверяет:
И если хотя бы что-то не совпадает, карта не будет активирована. А после 1 декабря есть риск остаться без номера.
Что за реестры передают организации
Если юрлицо или ИП ликвидируется, абонентские номера могут быть переоформлены на конечных пользователей.
То есть уже три года корпоративные абоненты и так сообщают данные конечных пользователей. Или, по крайней мере, должны это делать.
Но кто-то из них мог не передать информацию или сообщить недостоверные сведения. Или директор просто везде указывал пользователем себя, а карты раздавал менеджерам. Кто-то уже и не помнит, кому передали симкарту. Некоторые пользователи получили корпоративный номер не от работодателя, а от какой-то посторонней компании, с которой давно нет связи. Раньше об этом никто не задумывался.
Теперь это будет серьезной проблемой. Даже если вы честно сообщаете, что пользуетесь номером такого-то юрлица, нужно, чтобы это юрлицо передало о вас сведения. Только тогда карта будет активирована. В противном случае после 1 декабря вас ждет неприятный сюрприз в виде блокировки, даже если вы самый честный на свете абонент.
Что можно сделать, чтобы сохранить номер
Если точно знаете, что сведения о вас не передадут или они будут недостоверными, можно попробовать переоформить корпоративный номер на себя без участия второй стороны — организации, которая заключала договор.
Для этого у операторов связи есть услуга — обычно платная, но недорогая. Проблема не в стоимости, а в самом процессе: он не дает гарантии, что заявку на переоформление точно одобрят.
Алгоритм переоформления обычно такой:
При положительном решении нужно заключить договор на свое имя. Тогда вся эта история с активацией уже не будет вас касаться, так как абонентом станет физлицо. Правда, до декабря переоформить карту можно и не успеть.
А еще бывает, что организация реальная и до сих пор работает, но передавать симкарту не хочет. Хотя человек пользуется ею много лет в личных целях и сам платит за связь. Тут ничего не поделать.
Что делать, если переоформить номер не получится
Нужно подготовиться к возможной блокировке. Приостановка услуг связи по неподтвержденным корпоративным номерам может произойти 1 декабря или позднее. Может, переходный период и продлят, но пока об этом ничего не известно — надеяться не стоит.
Вспомните все, что зарегистрировано на этот номер: личные кабинеты, доступы, подтверждения, платежи, интернет-банки, маркетплейсы, мессенджеры, доставки, скидочные карты, государственные сервисы. Измените номер, где возможно, на новый — зарегистрированный на вас.
Сообщите новый номер своим контактам. Перенесите историю в мессенджерах. Заново настройте приложения, если потребуется.
Это будет большая работа, но деваться некуда.
Как узнать, на кого оформлен номер
Эта информация есть в личном кабинете вашего оператора. Туда можно попасть через приложение или войти с компьютера — но симкарта должна быть доступна. На нее придет смс для подтверждения. Или нужно знать пароль.
Проверьте на всякий случай эту информацию, если не помните, на кого оформляли карту, или меняли данные при увольнении.
Источник
Что такое двухфакторная аутентификация и как ее использовать
В наши дни, скорее всего, уже у каждого есть по крайней мере одна или две учетные записи для хранения огромного количества конфиденциальной информации и личных данных, от электронной почты до биометрических и банковских данных. В связи с этим, защита этих учетных записей должна быть в приоритете у каждого пользователя мобильного устройства. В дополнение к надежному паролю одним из самых безопасных и все более распространенных способов защиты ваших учетных записей и устройств является двухфакторная аутентификация.
В этом материале мы разберемся в том, что такое двухфакторная аутентификация, что нужно для ее использования и как настроить для ее работы ваш Android-смартфон. Прежде чем начать, хочу сразу предупредить, что вам потребуется доступ к устройству, которое вы хотите защитить, а также рабочий номер телефона, чтобы на него могли приходить текстовые сообщения.
Что такое двухфакторная аутентификация?
В двух словах, для повышения безопасности двухфакторная аутентификация просто добавляет второй шаг к процессу авторизации. Таким образом, простого угадывания или кражи пароля недостаточно, чтобы получить доступ к вашей учетной записи.
После ввода вашего обычного пароля вашему устройству или приложению потребуется второй пароль. Этот второй пароль, который является, скорее, кодом доступа, приходит на указанное вами устройство с помощью текстового сообщения. Только успешно введя оба кода, вы сможете получить доступ к аккаунту, к которому не смогут получить доступ те, у кого нет вашего мобильного телефона с вашим основным паролем в придачу.
Очевидно, такой способ авторизации делает вашу учетную запись более защищенной. Во-первых, пароль двухфакторной аутентификации будет меняться при каждом его использовании, что делает практически невозможным его угадывание или взлом, в отличие от обычного пароля, который вы, скорее всего, редко меняете.
Во-вторых, только человек с устройством, которые было указано в качестве получателя сообщения с кодом подтверждения, может получить доступ к учетной записи. Тот факт, что пароль доставляется посредством текстового сообщения, делает его более безопасным, чем использование электронной почты, поскольку использовать SIM-карту может только одно устройство за раз. Такой пароль из SMS очень сложно достать, как минимум, намного сложнее, чем из электронной почты.
Использование двухфакторной аутентификации для защиты вашей учетной записи Google
Первым местом, где можно начать использовать двухфакторную аутентификацию, может быть ваша учетная запись Google. В таком случае, какие-либо новые устройства не смогут войти в вашу электронную почту, получить доступ к учетной записи Google Play или навести шороху в ваших фотографиях и файлах в Google Drive, даже если ваш пароль будет украден.
В аккаунте Google есть несколько вариантов двухфакторной аутентификации. Можно выбрать получение уведомления в виде SMS или звонка на указанный вами номер, использование специальных подсказок, которые работают быстрее, чем если бы вы вводили код, или использовать электронный ключ. Последний является наиболее безопасным и гарантирует, что вы не потеряете доступ к аккаунту при смене телефонного номера. Однако этот способ не бесплатен, а также может быть немного сложнее в использовании, чем простые SMS с кодами.
Далее я опишу последовательность действий, которые нужно выполнить, чтобы настроить двухфакторную аутентификацию на Android-смартфоне с использованием SMS:
Теперь, оказавшись на странице двухфакторной аутентификации, внизу вы увидите список всех устройств, которые в данный момент подключены к вашей учетной записи. Здесь при желании можно включить Google Prompt, чтобы вторым шагом для входа в вашу учетную запись стало простое уведомление с последующим автозаполнением нужных полей. Это так же безопасно, как SMS, но, как я уже говорил, вы не потеряете возможность войти в свой аккаунт, если смените номер телефона.
Для выбора другого варианта аутентификации нужно пролистать вниз страницы, а там уже выбрать между электронным ключом, SMS или голосовым сообщением. При выборе последнего вас попросят ввести номер вашего телефона. Код подтверждения будет отправлен на этот же номер, и чтобы продолжить, вам нужно будет ввести его в соответствующее поле. Теперь смело нажимайте кнопку «Включить» и тогда двухфакторная аутентификация отныне встанет на защиту ваших конфиденциальных данных.
С этого момента вы станете получать код подтверждения каждый раз, когда будете настраивать учетную запись Google на новом устройстве. Если вы хотите сменить метод аутентификации, например, на «Электронный ключ» или отключить ее совсем, просто вернитесь в настройки безопасности Google и повторите шаги.
Для получения дополнительной информации о настройке двухэтапной аутентификации Google на других устройствах, таких как ПК, вы можете ознакомиться с официальной информацией от Google на ее сайте.
Сторонние приложения
Разумеется, Google – не единственная компания, предлагающая двухфакторную аутентификацию для своих сервисов. Большинство банковских приложений, например, предлагают такие же средства защиты вашей информации, а некоторые даже требуют его. У платежного сервиса PayPal, например, тоже есть такое. Существует также множество приложений, которые работают аналогично Google Authenticator, настройка которого как раз доступна в разделе “Двухэтапная аутентификация”, про который мы говорили выше.
У Google Authenticator есть аналог под названием Authy, который также предоставляет услуги по усилению систем безопасности. Authy работает на нескольких устройствах, а поэтому может синхронизировать данные вашей устной записи между ПК, смартфоном, планшетом и даже умными часами. Еще Authy умеет делать зашифрованное резервное копирование, при котором вся ваша информация будет храниться в облаке, и при потере смартфона, утерянные данные можно будет легко восстановить.
Даже, казалось бы, более безобидные приложения, такие как мессенджеры, предлагают защиту учетной записи с помощью этой технологии. В прошлом году WhatsApp представил такую возможность в настройках учетной записи своего приложения, чтобы обеспечить дополнительный уровень безопасности при регистрации на новом телефоне. Facebook тоже предлагает двухфакторную аутентификацию, которая может отправлять вам оповещения, если кто-то пытается войти в вашу учетную запись. Аналогичная ситуация с Вконтакте и Instagram.
Двухфакторная аутентификация не является заменой сложного пароля, но это еще один уровень безопасности, который поможет защитить ваши данные от чужих глаз и рук.
Делитесь своим мнением в комментариях под этим материалом и в нашем Telegram-чате.
Источник
Dadaviz
Как осуществить активацию Windows 10 по телефону удобно и надёжно
Windows 10 — популярная операционная система от Microsoft — после установки требует от пользователя активации, причём довольно сложной и многошаговой по сравнению с большинством проприетарных программ. В частности, пройти активацию можно через звонок по телефону. Рассмотрим, как это сделать.
Как узнать ключ активации
Первым делом для активации системы нам понадобится ключ активации. Как правило, он записан на задней стороне диска с системой или отправлен вам в письме при установке. В случае если вы его не знаете, рекомендуется воспользоваться простой программой, анализирующей систему и выдающей пользователю «вшитый» в неё ключ — к примеру, с помощью утилиты ShowKeyPlus. Как ею пользоваться? Ничего сложного! Просто запустить — и утилита сама найдёт все данные, которые вам нужны. ShowKeyPlus бесплатна и распространяется с открытым исходным кодом. Скачать её можно здесь.
Впрочем, раз уж система не активирована, значит, ключа у вас может и не быть вообще. В таком случае требуется предварительно получить его у Microsoft и только после этого продолжить активацию.
Видео: где найти ключ
Активация windows 10 по телефону — пошаговая инструкция
После того как вы узнали ключ, можно приступать к основной части работы — активации. Для этого требуется иметь при себе телефон, консоль, права администратора и, желательно, бумажку с ручкой, чтобы успешно записать номер, продиктованный роботом.
Безопасен ли этот способ
Если коротко — да, безопасна. Не опаснее любого другого вида активации. Конечно, желательно соблюдать простую технику безопасности: не показывать никому ключ или код подтверждения, не проводить активацию в людных местах, не записывать звонки или удалять запись сразу после активации. Но объективно худшее, что может случиться — ваш код активации утечёт в интернет и будет использоваться для активации пиратских версий системы. При долгом использовании это чревато блокировкой кода и необходимостью повторного его получения — процедуры не самой простой. Но никакого доступа к личным данным или файлам на компьютере через код активации получить невозможно.
А при соблюдении простых правил, описанных выше, вероятность утечки кода в сеть падает до настолько незначительной, что ею можно пренебречь. Так что активация по телефону безопасна и в некотором смысле проще стандартной.
Когда невозможно активировать ОС
Самая частая причина, по которой не получается провести активацию по телефону, — сообщение робота: «Код не распознан». Из-за чего такое может произойти?
Видео: получение лицензионного ключа Виндовс по телефону
Итак, активация Windows 10 по телефону завершена, и вы можете спокойно наслаждаться системой без ограничений и надоедливых надписей. В случае если вам понадобится активировать систему ещё раз, полученный опыт будет определённо полезен.
Источник
