Уверен, вы обращали внимание, что сейчас на каждом более-менее серьёзном сайте предлагают авторизоваться с помощью одного из сервисов авторизации. Таких сервисов очень много, кажется, что их предлагает любая крупная компания — Сбербанк, Т-Банк, Яндекс, Альфа-банк, Ростелеком, МТС, Озон…
Далеко ходить не нужно — если вы читаете этот текст в Дзене, то, скорее всего, авторизовались в нём с помощью Яндекс ID или VK ID.
Такие сервисы удобны для пользователя — вместо того, чтобы придумывать имя и пароль для каждого сайта, можно просто подтвердить вход с помощью существующей учётной записи.
Но возникает вполне естественный вопрос — насколько это безопасно? Не узнает ли сайт о вас чего-то лишнего, не получит ли доступа к конфиденциальным данным, если для входа вы воспользуетесь учётной записью банка? И наоборот?
Сервис авторизации или ID-сервис — это удобный способ войти на сайт или в приложение, используя существующую учётную запись.
Такие сервисы стали появляться довольно давно. Просто раньше наиболее распространены были сервисы от популярных социальных сетей и сервисов, не связанных с банками — Google, VK, GitHub и т.д.
Когда банки стали интересоваться другими областями деятельности — оказывать комплексные услуги по подписке, создавать собственные маркетплейсы, то универсальные сервисы авторизации оказались очень полезны.
А когда заработал закон о запрете использования иностранных сервисов авторизации, стали подключать для авторизации несколько сервисов, включая банковские.
В соответствии с законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» российские сайты для авториизации пользователя должны использовать идентификацию по номеру телефона, ЕСИА, биометрию или российский сервис авторизации.
И, конечно, если сайт оказывает какие-то финансовые услуги, например, помогает подобрать кредит, то тут сервисы авторизации от банков оказались очень кстати.
Важно понимать: сайт, на котором вы авторизуетесь через универсальный идентификатор, не получает доступ к вашему банковскому кабинету, паролю или счетам. Вы входите через окно сервиса авторизации — с паролем, отпечатком или QR-кодом — а сайт получает лишь результат: авторизация прошла или нет.
При этом сайт может получить и часть информации из вашего банковского профиля.
Сайт может узнавать о вас достаточно широкий объём данных. Базово — это некий идентификатор пользователя в системе, а также номер телефона и/или адрес электронной почты. Но в зависимости от типа услуг, который оказывает сайт, перечень может очень сильно отличаться.
Например, с помощью Сбер ID сайт может получить различный объём информации в зависимости от выбранного уровня доступа. В базовом пакете (Light) передаётся уникальный идентификатор пользователя, адрес электронной почты и номер телефона. Пакет Standart дополняется данными о дате рождения, ФИО и поле. В расширенном пакете (Professional) могут передаваться паспортные данные, ИНН, СНИЛС, сведения о водительских правах, заграничном паспорте, гражданстве, месте рождения, адресе регистрации, фактическом и рабочем адресе, семейном положении, образовании, месте работы и должности. Также возможно получение признака самозанятости или статуса сотрудника Сбербанка.
Какой объём данных будет передаваться, определяется при регистрации сайта в сервисе авторизации. Например, если это сайт отзывов, то достаточно будет передать электроную почту и номер телефона, а если это финансовый маркетплейс, где можно оформлять кредиты, то здесь потребуется уже максимум информации.
Если не рассматривать то, что сайт и банк связывают некие партнёрские соглашения, в рамках которых для оказания услуг банку передаются сведения о вас, то самое главное, что узнает о вас банк при авторизации — это то, что вы решили воспользоваться услугами конкретного сервиса.
В ответ на это банк может выполнять какие-то действия. Например, после авторизации на сайте бюро кредитной истории банк может подумать, что вас интересует кредит, и будет присылать персональное предложение.
Самое забавное, с чем я сталкивался — после того, как человек зарегистрировался на сайте отзывов, чтобы оставить жалобу на банк, этот же банк предложил ему написать положительный отзыв за небольшое вознаграждение.
Если посмотреть документацию к сервисам банковской авторизации, то окажется, что установить такую авторизацию не так-то просто. Для этого владелец сайта должен выступать в качестве предпринимателя или юридического лица, и заключить договор с банком.
Проще всего подключить авторизацию на Яндексе — её может сделать любой желающий. Но, если он не прошёл идентификацию в качестве юридического или физического лица (с помощью Госуслуг), то пользователям будет выводиться предупреждение об этом.
Таким образом, уже сам факт наличия на сайте банковского идентификатора, можно отнести к факторам, которые должны повышать доверие.
Тем не менее, риски, связанные с ID-сервисами, остаются.
Если злоумышленники получат доступ к учётной записи банка, то они смогут получить доступ или регистрироваться на множестве других сервисов.
Некоторые сайты запрашивают больше, чем нужно, при этом подписывая вас на персонализованные рассылки или услуги.
Окно авторизации каждого сервиса уникально и узнаваемо. Этим могут воспользоваться мошенники — на фишинговых сайтах они могут выводить поддельные окна авторизации.
При использовании таких сервисов не всегда понятно, кто и какие данные получил. Кроме того, не все ID-сервисы предоставляют удобный способ управления разрешениями. Также не везде можно отключить возможности использования своего аккаунта для авторизации на сторонних сайтах.
Универсальная авторизация , безусловно, упрощает процесс входа на сайты, и делает его более удобным для пользователя. Однако, как и любая технология, она несёт в себе определённые риски. Если вы выбрали такой способ авторизации, то вы должны понимать, какой объём информации получит сайт, а также помнить, что если кто-то получит доступ к вашей учётной записи, последствия могут затронуть сразу множество сервисов.
Каждый раз, когда читаешь об очередном случае мошенничества, связанных с кредитами — когда жертва мошенничества…
Поводом к этой публикации стал комментарий, который был оставлен к статье о «банковских абьюзерах»: Таких…
Недавно консультировал старого знакомого, чья мама оказалась в неприятной ситуации. «Мою маму пытались обмануть мошенники»…
Цифровой рубль в России — дело ближайшего будущего. Сейчас проходит тестирование платформы, проверка осуществления типовых операций,…
Депозит в буквальном переводе с латинского означает «хранение», и фактически в этом знанчении это слово…
Согласно анализу компании Frank RG, 43% клиентов готовы переводить свою зарплату или пенсию в банк…
This website uses cookies.