Мы все знаем, как неприятно, когда большая система перестает работать как надо. И чем больше система, тем сложнее её потом бывает запустить. С СМС проблема сегодня минимум с утра, и, наверняка, инженеры компании это время не сидят сложа руки — вот только сотням и тысячам людей, которые не могу войти в сервисы (потому что у них включена 2FA), не могут произвести оплату в интернете (потому что используется «3-D Secure» и иже с ней), могут не получить уведомления о переносе рейса в аэропорту, или оповещение от собственного Zabbix-а — этим людям хочется произнести тихое незлое слово, а то и несколько.
Но пишу я не только, чтобы обвинить в чем-то Билайн. СМС-ки они починят, как только смогут, в этом я уверен. Мне куда интереснее сама ситуация: мы с вами так сильно надеемся на 2FA и вообще «проверки по другому каналу», что забываем о том, что этот канал должен быть надежным, и, в идеале, также дублированным. Иначе мы просто добавляем в систему еще один не абсолютно надежный компонент, и вероятность отказа системы с 2FA оказывается большей, чем того хотелось бы. Да, 2FA — это безопаснее, но (как показывает эта ситуация), нет, не надежнее.
Кажется, сотовым компаниях подумать бы о резервировании доставке СМС еще и через пуши, или еще как-то (кроме отправки через Почту России, конечно). Кстати, интересно, что войти в ЛК Альфа-банка у меня не получилось (не дождался СМС), а вот в ЛК Сбербанк прекрасно вошел (СМС пришла). Возможно, повезло, конечно. Характерно, кстати, что в Альфе и в Тинькове (например) у меня включены пуши, но 3-D Secure при попытке проверить платеж их не использовала — только СМС.
На фото — «полосатый мух, вид сзади». Лично для меня ситуация выглядит сегодня именно так.
UPD: Билайн сообщил, что «только что» с проблемой поборолись. Но очередь на отправку будет еще некоторое время разгребаться, и только потом уже новые СМС будут отправляться без задержки, а пока — лучше набраться терпения.
UPD2: По поводу ответов вида «Если у вас есть претензии к работе банка или другого сервиса вы можете обратиться в поддержку этого сервиса или прекратить им пользоваться» могу сразу уточнить: проблема не в одном банке, а в том, что один элемент (сотовый оператор) может (си смог) поломать работу очень многих людей, т.к. при выходе его из строя подтверждение никак не передается другим методом. И конкретный банк здесь виноват не сильно, они используют СМС как данность, веря в их надежность — так же, как и многие другие компании, не только банки.
Комментарии (29)
viordash
20.09.2019 15:48+2А упоминание почты России это сродни «толерантности киноиндустрии»?
achekalin Автор
20.09.2019 23:55Что вы имеете в виду? Я про ПР только из того, что у них почта бумажная, и смс, распечатанная оператором связи и отправленная таким способом мне, придет ко мне сильно после того, как сессия ожидания ввода кода из смс в банковском ЛК истечет.
А что за толерантность вы имеете в виду, интересно же!
viordash
21.09.2019 01:00у меня сработал «сигнализатор» на, уже практически возведенного в степень интернет мема, сравнения почты с чем-то медленным. И поэтому сравнил с кино, имхо где ради шумихи/хайпа, подменяют актеров на «других».
А если вы имели ввиду простую классическую почту, то пардон.
D1abloRUS
20.09.2019 16:12Приехал сегодня на заправку, а тут такой сюрприз, ладно чет в кармане завалялось
tvr
20.09.2019 16:23У меня сейчас вообще концерт на работе по этому поводу.
Налоги не могут отправить. Альфа+Билайн.
Вместо того, что бы тащить бумажные платёжки ножками в банк — идет выяснялово кто виноват. Агррх.
А я билеты в кино купить не могу — хотел пойти поплеваться на последнего Рэмбу, и тут такая подстава.Belking
20.09.2019 16:25Нам с банком больше повезло, по одной из организаций не был настроен резервный метод, дак они оперативно поменяли номер для смс-ок.
anton_tereshko
21.09.2019 07:57тестировали же 10 лет назад карточки для CNP транзакций habr.com/ru/post/59807/
почему в свет не пошли — не ясно. Можно было бы использовать для одноразовых кодов как-раз.
VolCh
21.09.2019 13:27Странно, что никто не упомянул о доставке таких сообщений посредством мессенджера. В России это совсем не используется? У моего банка (Украина) СМС для всех паролей и уведомлений лишь резервный канал. Основной — Viber.
slavae
22.09.2019 13:32Похоже, на СМС в Билайн-разработке посадили юниора. Или индусов наняли… Мне тут пораньше, 16 сентября, пришли сразу две одинаковых смс от них
Напоминаем, что null с Вашего счета спишется абонентская плата по тарифу, а также плата за дополнительные сервисы. Рекомендуем заранее пополнить баланс на сумму null руб.
inkelyad
22.09.2019 21:08Вообще говоря, и смарфоны с NFC стали появляться даже в бюджетных сегментах, и карточки банки выдают все чаще с тем же NFC. Поэтому 2FA у банка должна выглядеть как "приложил банковскую карту к смартфону". В конце концов именно для целей аутентификации в банковскую карту чип встроен.
keydon2
22.09.2019 22:13-1Смс не являются и не являлись надежными и/или безопасными средствами доставки. Да ещё и не особо удобные и дешёвые.
Хватит их использовать (ну разве опционально в последнюю очередь).achekalin Автор
23.09.2019 11:04Да, но и Дума наша, которая порывается номер телефона объявить ID гражданина, и сотовые операторы, которые таким образом обретают влияние МВД (передали кому-то номер гражданина без его ведома — «ой, техническая ошибка, но уже ничего не поделать»; в МВД за передачу паспорта не тому гражданину, кажется, отгребут побольше) — у всех разное восприятие.
Впрочем, ни один мессанджер таковым не является. Секрет в том, чтобы при помощи нескольких независимых ненадежных каналов связи получить один надежный канал. Минус в том, что выпадание одного из каналов — и в итоге не можешь никуда войти.
wyp4ik
23.09.2019 13:06Что-то сдает билайн последнее время.
Неделю назад, у них была проблема с сетью, из-за которой по всей стране не работали переносные симочные терминалы сбербанка как минимум… теперь смс… вроде серьезная компания, а косяки…
mm3
У Альфа-банка есть достаточно приличное мобильное приложение, которое готово доставлять авторизационные коды через пуш-уведомления заместо смс.
А если вы вообще не доверяете операторам сотовой связи ищите банки готовые работать с аппаратными OTP ключами, если такие ещё остались.
achekalin Автор
Да, это решение для одного банка. Но при 3D Secure, скажем, пуши не летят. а летит СМС — ведь так?
СМС же не только в банке отправляют. Приведенный 2FA сегодня на каждом втором сервисе есть (и его использование вообще оказывается хорошим тоном). Пока вход в (условно) панель управления провайдера не будет закрываться вместо SMS авторизацией по Google Authenticator — остается уповать только на надежность сотового оператора.
Dreyk
мой банк (моно, Украина) присылает пуши
mm3
Мне правда пока ещё не приходилось использовать пуш-нотификации для 3D Secure, но я сильно удивлюсь если они не сработают.
Каждый конкретный банк, как и любой другой сервис, сам для себя определяет допустимые безопасные методы авторизации клиентов. СМС это только одно из множества существующих сегодня решений и это решение гораздо более безопасное чем просто пара логин\пароль, но оно не является абсолютно безопасным (как и любое другое) и имеет некоторые проблемы с надёжностью.
Если у вас есть претензии к работе банка или другого сервиса вы можете обратиться в поддержку этого сервиса или прекратить им пользоваться.
achekalin Автор
Другой вопрос, что в таком случае каждый, кто мне хочет отправлять клиентам SMS (т.е. каждый банк, и каждый сайт с 2FA) должны а) иметь на моем телефоне свое приложение и б) отвечать за все эти пуши раздельно, каждый за свой канал, правильно? И все это для того, чтобы обойти потенциально ненадежного оператора на пути оповещения.
Билайн, случись ему в свое приложение добавить доставку СМС (при задержке такой доставки через СМС) пушами, мог бы разом обеспечить своим клиентам резервный канал связи.
Но в 3-D Secure пушей нет, там оповещания всегда через SMS, хотя пуши у меня включены. Кстати, не только Альфа, Тиньков (ау, Tinkoff ) точно так же не осилил мне подтверждение операции через пуш организовать, я специально во время этой катавасии проверял, статистики ради.
Судя по минусам статье и мне, идея «пусть все банки и сервисы независимо решают проблемы доставки кода проверки до клиентов» популярна. Только вот беда: я, лично, в ужасе, сколько приложений чисто для приема пушей я должен будут держать на телефоне, а ведь каждое такое приложение — это еще один вектор атаки или просто высаживания батареи, да и просто — еще одна сущность, которых классик не советовал плодить сверх необходимого.
mm3
Именно, каждый банк сам должен занимаеться организацией надёжного и безопасного канала для общения с клиентом, для получения пушей это обязано быть брендированое мобильное приложение от этого банка и это верный путь исключения потенциальной угрозы безопасности банковского аккаунта. Или у банка должен быть резервный способ авторизации пользователя.
3-D Secure только требует от банка авторизовать пользователя для подтверждения платежа, банк сам решает как надёжно это сделать и смс тут не единственный способ.
Что касается мобильного приложения Альфабанка если вы им уже пользуетесь и не получали кода через пуши, то стоит проверить настройки приложения, эта опция там вроде отключена по умолчанию и обратиться в поддержку банка за разъяснениями в случае чего, поддержка там технически грамотная.
Мобильный оператор тоже может организовать резервный канал через брендированое мобильное приложение (ещё одно кстати) и насчёт билайна не уверен, но к примеру у мегафона такое приложение есть. Но тут надо учитывать то, на каком этапе возникли проблемы с доставкой и при некоторых условиях мобильное приложение может быть бессильно.
snp
3D Secure реализуется на усмотрение банка. Например, у Авангарда всегда есть выбор — SMS либо одноразовый код со скретч-карты. Если сумма достаточно большая, то SMS нельзя запросить, можно только ввести код с карты.
Вообще, скретч карты на мой взгляд — отличное решение. Иногда даже лучше токенов с кнопкой.
ProRunner
Кстати, все коды со скретч-карты Авангарда занес в KeePass, при необходимости открываю прямо на телефоне и вношу.
remzalp
а потом РКН забанит сервера Гугла, которые рассылают пуш сообщения, потому что он шлёт пуши телеграмма…
И вся связка приложений с пуш уведомлениями накрывается медным тазиком :)
dartraiden
safari2012
Все верно. Я не смог попасть в госуслуги.
morr
К сожалению помимо авторизационных кодов их приложение вам будет ещё регулярно доставлять пуши с рекламой. Держать эту спамилку на телефоне себе дороже.
mm3
Рассылка рекламы конечно не исключена, но, в отличии от смсок и сообщений со всяких социальных сетей, происходит она пока настолько нерегулярно, порядком пары сообщений в год, что можно простить эту маленькую шалость маркетинговому отделу. Меня больше раздражают рекламные звонки из того же банка, но с этим бороться значительно сложнее.
Schavelev
А чтобы включить push в приложении (если они были выключены), надо… ввести код из sms сообщения.
VMarkelov
Я понимаю, что почти у каждого первого смартфон с гигабайтами на борту, но вот у меня сломался и я купил, чтобы иметь доступ к банку, простую звонилку на замену. На ней ней какая-то своя «ОС» и памяти несколько десятков мегабайт всего. Так что, приложение не всегда выход и доступно только СМС :) Хотя, соглашусь, для сегодня такая ситуация — редкость.