Плохая проработка сценария аутентификации. Или нет?

На глаза попалась статья о том, как молодой банк запустил веб-приложение для обслуживания клиентов. Я — директор по маркетингу RooX (специализируемся на аутентификации и авторизации внешних пользователей), так что мне стало интересно, как банк реализовал вход. Я не являюсь клиентом этого банка. Этот факт стал катализатором исследования.
-
В веб-версии логин — это номер телефона.
-
Проверка на формат мобильного номера отрабатывает нормально — клавиатура откликается только на цифры, код +7 предпроставлен, больше 9 цифр ввести нельзя, при недостатке цифр появляется подсказка «Введи мобильный телефон» (можно было бы «Не хватает цифр в номере»).
-
Форма принимает номер не-клиента как должное. Кнопка «Продолжить» активна. Ведет на страницу ввода кода.
- При вводе нескольких случайных номеров телефона капча ни разу себя не проявила.
- Пришло sms c кодом подтверждения.
- Блокировка перебора кода сработала после 6 или 7 неправильных комбинаций, отправили «на скамейку запасных» на 5 минут.
- После ввода правильного кода перебросило на девственно белую страницу. Пожалуй, это был первый намек, что я не клиент )
-
Некоторое время на любую попытку «а давайте снова войдем» сразу, без промежуточных просьб ввести телефон и код, показывалась девственно белая страница. Куда-то меня всё же залогинило )
-
Сотрудник банка перезвонил довольно быстро: «Вы оставили номер телефона, но не указали данные о компании». Обсудили, как такое произошло )
Казалось бы, сценарий «пришел не-клиент» недостаточно отработан: при вводе номера телефона не-клиента не отреагировали, на смску потратились, залогинили в никуда. Однако...
-
Кейс «Потенциальный клиент логинится в личный кабинет, минуя регистрацию» не самый, честно скажем, частый случай поведения ЦА. При запуске MVP ресурсы на реализацию этого сценария можно не тратить.
-
Информировать при вводе телефона «ой, вы же не клиент» плохо с точки зрения инфобеза. Злоумышленник может, зная телефон, точечно его проверить. А если капчи нет, может перебором составить базу телефонов клиентов.
-
Отправить sms-код для входа не-клиенту — вполне рабочий ход. Человека можно залогинить в зону «уже-почти-клиент» и дальше прогревать его до клиента. Этого не произошло, но могло бы.
-
В никуда логинить нехорошо, да. Скорее всего, это произошло следующим образом. Система аутентификации проверила OTP (код по sms) и выдала токен с номером телефона. В ДБО не было такого пользователя, но это уже, как говорится, не проблемы шерифа. Но есть и светлая сторона. В описанном поведении сайта есть косвенные признаки того, что система аутентификации отделена от системы ДБО, что круто с точки зрения дальнейшего развития и поддержки обеих систем.
-
Сотрудник позвонил. И если бы я была странным человеком из п. 1, меня бы отловили и попытались сделать клиентом.
-
Личному кабинету не хватает зоны для приземления не-клиентов.
-
Текущая реализация входа может быть уязвима в случае, если кто-то очень хочет разорить банк на sms.
- Если и дальнейшие операции проводятся с подтверждением по одному фактору (тем более, по sms), то это уже противоречит требованиям безопасности ЦБ.
Источник: VC.ru
iTrend начал работу с одним из лидеров российского рынка разработки решений на базе нейросетей — компанией «Наносемантика»
20 сентября 2023«Наносемантика» входит в ТОП-10 российских компаний, занимающихся нейросетями, по версии CNews.
Стоп-фразы, или Что никогда нельзя писать в текстах - разбираем на VC
20 сентября 2023Вот лишь поверхностным взглядом слова и фразы-мусор, которые мы стараемся не допускать в текстах.
Маркировка рекламы создаст новую профессию? Комментируем тему для Ъ
13 сентября 2023Рекламщикам понадобились маркировщики: новые правила создали новую специальность
Как мемы и юмор помогают бизнесу. Комментируем для "Делового Петербурга"
29 августа 2023Digital–директор iTrend Ася Шабалина поделилась своим мнением об использовании мемов и юмора в маркетинге.
Открыта вакансия "PR-менеджер в iTrend"
23 августа 2023Мы в поисках любопытного, активного и общительного PR-менеджера для работы с ИТ-проектами.