Статья интересная, хотя местами очень спорная, есть много довольно неоднозначных заявлений. Но есть ключевой момент, который надо всегда понимать:
Как сотрудники компании, вы являетесь только одними из возможных покупателей информации об уязвимостях и потенциальных утечках данных
Я не самый активный участник программ Bug Bounty, но ко мне регулярно приходят разные люди разной степени легальности, которые тоже хотят покупать информацию об уязвимостях. И зачастую существенно дороже, чем в Bug Bounty, и с предварительной оценкой, а не с подходом "Утром стулья, вечером решим, дадим ли деньги, и сколько". И к другим людям, которые занимаются Bug Bounty более активно и более публично, приходит еще больше таких людей, и тоже соблазняют их интересными условиями
Например, у абстрактной компании есть программа с максимальным негарантированным вознаграждением в 50 тысяч рублей. Есть посредники, которые могут организовать легальную передачу данных об уязвимостях с более гарантированной оплатой в 500 тысяч. И есть черный рынок, где информацию купят за миллион.
Я, например, не продаю уязвимости на черный рынок даже за большие деньги, так как считаю, что это неправильно. Но есть люди, которые так делают
И у многих людей возникает вопрос, зачем сдавать что-то в Bug Bounty, если часто можно получить легально существенно больше, а нелегально - еще больше?
Одна из самых сомнительных вещей, которые делают площадки (началось еще с активного пиара Hackerone), - создают две иллюзии: * Что безопасность - это дешево (зачем платить пентестеру 10X за негарантированный результат, когда можно заплатить за подтвержденный баг Х или сколько захочешь) * Что люди должны приносить уязвимости в Bug Bounty, когда их нашли, и отдавать за те деньги, которые указаны в программе
Bug Bounty - хороший инструмент при правильном применении. Безопасность - это дорого, и убеждая кого-то, что можно сделать ее более дешевой, можно случайно создать ситуацию, когда за кучу красивых футболок будет собрана информация о некритичных проблемах, а в то же время критичные уязвимости продаются за существенные деньги, но уже даже не компании.
Анна Сабадаш: Текучка влияет плохо, другого мнения у нас нет. ... Также, с учетом постоянного роста зарплат, новый специалист нередко обходится дороже ушедшего. ...
Анна Сабадаш: ... Для сохранения сотрудников мы держим «в рынке» зарплатное предложение и вкладываемся в комфорт сотрудников. ...
Если есть такие "противоречия" в специально подготовленном материале, боюсь представить, что происходит в реальности...
Проблема в том, что такой способ требует достаточно большого базового уровня качества продукта, чтобы на него решиться. Например, если взять Мегамаркет, то я бы предположил, что если бы сотрудников заставили использовать только его для всех заказов и доставок, то они бы в лучшем случае голодали неделями. Я давно не видел столько паттернов «Бессильного пользователя», сколько там. А достаточно было всего сделать заказ.
Для большинства компаний проблема не в том, чтобы как-то изменить процесс взаимодействия своих сотрудников с продуктом, чтобы получать больше информации о проблемах продукта, а в том, чтобы исправить уже известные проблемы и заставить сотрудников использовать продукт как обычные пользователи, а не сидеть с лицом «Я получаю бешеные деньги за свою работу, но буду пользоваться другим продуктом, так как то, что я делаю - отстой»
Поэтому у разработчиков нет никаких шансов, что то изменить.
Проблема в том, что часто разработчики не хотят ничего менять. Я встречал довольно много проектов, где разработчики при условно неограниченных бюджетах, доступных архитектурных решениях и очень гибких сроках делали такие поделия, что возникали очень большие вопросы практически ко всему. И ответы на то, почему так получилось, никто не даёт.
И отдельная история в том, что есть компании, где люди специально ищут, что можно улучшить (не опираясь при этом на требования бизнеса), но в итоге при улучшении отдельных показателей общее качество постепенно падает.
Имхо, это миф, что если разработчикам дать волю делать, что они хотят, то они в среднем улучшат продукты. Да, есть примеры-исключения, но винить «жестоких менеджеров и капиталистов» не всегда правильно.
В случае с DLP и расследованием инцидентов (когда его используют уже для анализа того, как утекли конкретные данные, а не для предотвращения утечки путём блокирования запросов - такой способ использования часто рекламируют вендоры) меня всегда интересовал вопрос юридической силы этих доказательств. По сути, это просто текстовые логи, созданные на оборудовании, полностью контролируемом админами компании. Сотрудник при расследовании заявляет, что вообще не в курсе, что это за файл, что он ничего не делал. И «вспоминает», что полгода назад ему админ угрожал, что нечего лезть к его жене, он его засадит. Очень интересно, как применяются DLP в этом направлении.
Я правильно понял, что человек написал отзыв, который боится публиковать от своего настоящего имени (не особо важно даже, почему), с использованием учётной записи, привязанной к настоящей почте, а потом грустит, что произошла деанонимизация? Смелый человек
Не ждите, пока сокращения дойдут и до вас. Объединяйтесь.
Мне очень сильно не понятен смысл этой торговли страхом. Как объединения помогают защититься от сокращений? Если они помогают, то почему этого нет в статье - это самый важный материал был бы. Если не помогают - то зачем в таком виде это подавать?
Пока это выглядит почти всегда как «плохая новость - вступайте в профсоюз (зачем?)», «хорошая новость - вступайте в профсоюз (зачем?)»
Суть новой механики – в тот в момент подтверждения телефонного номера пользователя ему показывается уникальный номер, на который он должен сделать звонок. Сама процедура не сложна, пользователю нужно лишь нажать на кнопку «позвонить» или отсканировать QR-код, звонок произойдёт в автоматическом режиме. Для данной механики стоимость верификации значительно ниже, а вызовы не блокируются со стороны сотовых операторов.
Добрый день,
Подскажите, пожалуйста, как в данном случае пользователь может определить, где конкретно он авторизуется? Условно, вы хотите подключиться к публичному WiFi, вам показали номер телефона, вы на него позвонили. На самом деле оператор этой WiFi точки "под капотом" получил этот номер у сервиса электронной почты так же через процесс авторизации и показал его вам. И вы отдали свой аккаунт левому человеку, вообще не подозревая, что стали жертвой атаки.
Статья, безусловно, интересная и местами спорная. Но есть один абсолютно комичный момент: в статье о том, что разработчики должны иметь возможность получать деньги за работу в разных форматах, автор… наезжает на тех, кто получает деньги за работу и предоставляемый сервис:
Хреново, что Patreon или GitHub (и Stripe) удерживают комиссию от перечисляемых спонсорами средств.
Ключевой момент - "которые им не принадлежат". Имхо, правило хорошего тона и личной безопасности тоже - уточнить, можно ли рассказывать кому-то о том, что относится не к себе лично. Зачастую почти все можно рассказать через отрицания или принцип канарейки без явного нарушения запрета, но это не значит, что так надо делать и что это правильно.
Меня немного удивляет вообще появление этой статьи. Люди не понимают, что не надо разглашать данные, которые им не принадлежат?
Давайте писать статьи, что и код с работы не надо уносить на флешках, и базы публиковать не надо, и пить на рабочем месте, оказывается, это может повлечь ответственность.
Или это история про то, что кто-то что-то увидел, прокомментировал, теперь надо нести на Хабр?
Правоохранительные органы 11 стран глобальном масштабе пресекли деятельность хакерской группировки LockBit в рамках совместной операции, получившей название Operation Cronos.
Хотя сайт LockBit теперь недоступен, другие порталы группировки, используемые для размещения данных и отправки личных сообщений, всё ещё работают. Также перестали открываться сайты LockBit для переговоров о выкупе.
Так пресекли деятельность, либо поломали информационный сайт?
Часто так называемая «технофобия» - это не боязнь технологий, а опасение, что технологии будут очень криво и неправильно реализованы. Например, за последнее время много сервисов, которыми я пользуюсь, стали работать существенно хуже в плане предсказуемости, стабильности и скорости. Доходило даже до того, что я не могу просто оплатить заказ, хотя это ключевая задача для интернет-магазина
Считаю ли я, что эти же разработчики способны создать что-то хорошее и стабильно работающее? Вряд ли
Технофобия ли это? Возможно, что фобия технически некомпетентных разработчиков
Забавно то, что возвращение в офис даёт явный положительный эффект на первые месяца 2-3. Люди общаются вживую и доделывают какие-то зависшие не очень важные задачи, что создаёт иллюзию возросшей эффективности. Через какое-то время запал пропадает, люди устают ездить, и продуктивность снижается до предыдущих значений или даже ниже. Поэтому эффективно помогает вернуться на удаленку не нытьё в интернете, а смена работы с явным комментарием, что это связано с удалённой работой, и явное снижение производительности труда из-за усталости от дороги и невозможности отдыхать в это время или что-то полноценно изучать. Процентов 20-40 весьма заметны.
Естественно, если знать суть проверки её можно будет обойти.
В этом и вопрос. Если бы система описывалась как "Некая система, которая анализирует большое число параметров и ее сложно обойти" у меня не было бы никаких вопросов, кроме того, почему настолько рискованную технологию используют. А тут прямо сказано, что обойти ее невозможно: "Она исключает возможность подделки видеозвонка с помощью дипфейка, фото или видео с камеры."
Для видеозвонков с клиентами работает технология liveness. Она исключает возможность подделки видеозвонка с помощью дипфейка, фото или видео с камеры.
Меня очень сильно пугает такое утверждение, хотелось бы услышать технических специалистов Тинькофф.
По своей сути, любое видео - это некий набор точек разного цвета. Возможно, точек не в явном виде, но с камеры сложно вытянуть что-то больше, и сложно передать что-то не дискретное. Это в любом случае довольно конечный набор бит. В видео нет каких-то других волшебных характеристик и особенностей.
Дипфейк - генерация того же видео, то есть, набора точек разного цвета. То есть, тоже конечного набора бит.
Предположим, что есть некий достаточно хороший генератор фейковых видео. Условно, просто анатомически правильная модель головы человека, его кожи и рендеринг освещения. С довольно большой долей вероятности такая модель сгенерирует очень похожий набор точек с точностью до помех эффектов от влажности и окружающей среды. И разработчики утверждают, что у них есть технология, которая позволяет это гарантированно отличить?
Далее, начинается самое интересное. Предположим, есть модель, которая генерирует видео 1 в 1 с реальным человеком, которое не отличается от эталонного видео. То есть, там тот же набор точек для каждого кадра. Я не вижу причин, почему такая модель не может существовать. Передаем их на вход этой системе, по утверждению разработчиков она должна сказать про одно из двух одинаковых видео, что это сгенерированный фейк. По сути, это значит, что система может извлекать из одинаковых объектов разную информацию? Я не очень большой специалист в формальных областях математики, но мне кажется, что есть теорема, которая формально не дает это сделать. Я бы очень сильно хотел знать, кто из инженеров под таким заявлением подпишется.
Слово "исключает" крайне категоричное, у него нет дополнительных трактовок.
Мне несколько лет назад было интересно, как устроена работа колл-центров банков, когда человек туда звонит и хочет провести какую-то операцию, а не просто проконсультироваться. Я позвонил в один из модных известных банков, попросил сменить сначала кодовое слово, потом - номер телефона вторым звонком. И у меня спросили что-то элементарное, вроде ФИО и даты рождения. В итоге за два звонка я свой привязал аккаунт к новому номеру, успешно зашёл в него с другого устройства из другой страны. И отправил описания проблемы в программу вознаграждений за уязвимости. Сотрудник банка сначала взял время подумать, потом сказал, что они по голосу определили, что это был я, и злоумышленник не смог бы так сделать. Проблема была только в том, что это были мои первые два звонка в банк, у них либо не было образца голоса, либо они его купили в странном месте.
И вторая ситуация тогда же была великолепна, я в колл-центре попал на нового сотрудника, который по ошибке меня сразу отправил менять кодовое слово без подтверждения. Просто забыл про проверку и перевёл на другую линию.
Авторизация по входящему звонку (Call Password - маркетинговое название) - вам звонят, вы указываете сколько-то цифр позвонившего номера, чтобы показать, что вы получили звонок.
Авторизация по исходящему звонку (Call Password ID - маркетинговое название) - вам дают номер, вы на него звоните, показывая, что вам принадлежит номер, с которого вы звоните.
В первом случае вы не знаете, кто на самом деле звонит (это может быть как сервис, где вы пытаетесь авторизоваться, так и сервис, куда ваш номер телефона пробросили: авторизовывались в публичной WiFi-сети - отдали доступ к мессенджеру). Номер телефона не содержит информацию об отправителе.
Во втором случае вы не знаете, кому на самом деле звоните, номер телефона тоже не содержит эту информацию.
А чем эти способы в плане безопасности лучше, чем СМС?
Тогда можно дойти до того, чтобы обязать сотрудника выдавать документально обоснованную причину увольнения, с указанием нового места работы и зарплаты, и получать справку от руководителя, что он действительно не считает нужным и возможным предоставлять такие условия в текущей компании. А то постоянно «Мне предложили больше», а на самом деле - токсичный коллега был. А кто-то вообще отдохнуть решил, недопустимо.
А если серьезно, это очень похоже на попытку принуждения к заключению договора. Представитель работодателя говорит «Мы не хотим с вами работать», а кандидат «А на каком основании? Предоставьте документы, либо принимайте на работу». Имхо, обычно довольно странно ломиться туда, где человека не хотят видеть.
Плюс, очень во многих компаниях мнение СБ носит рекомендательный характер, и фразы «СБ не пропустила» читаются скорее как «Принимающему решение о найме сказали, что человек потенциально ххххххххх, он решил, что не хочет рисковать».
А в худшем случае - никакой СБ не будет, от резюме до собеседования месяц, на собеседовании вопросы-гробы, через час - сухой ответ «Результаты собеседования показали, что у вас недостаточно компетенций для данной позиции»,
Пользователю выдается номер телефона для звонка, который для него бесплатен. В течение определенного периода времени клиент звонит на указанный номер (звонок на данный номер осуществляется по кликабельной кнопке или через QR-код) и сразу же попадает в систему.
У этого метода есть одна существенная проблема: а как человек вообще понимает, куда он звонит? Условно, вы хотите войти в не очень известный интернет-магазин, интернет-магазин показал вам какой-то номер телефона, на который надо позвонить. А на самом деле перед этим сервер сходил на условный сервис электронной почты, где указал ваш номер, ему выдали номер для звонка, интернет-магазин его показал вам. Вы позвонили, звонок с вашего честного номера, теперь у этого мошеннического магазина есть полный доступ к вашей почте. И со стороны почты вопросов нет, ваш номер указан, ваш звонок пришел на нужный номер.
Человек должен иметь возможность понять, где он авторизуется. Тут же буквально реализуется страшилка - "позвонил по номеру - тебя взломали". Такие схемы авторизации опасно использовать.
Статья интересная, хотя местами очень спорная, есть много довольно неоднозначных заявлений. Но есть ключевой момент, который надо всегда понимать:
Как сотрудники компании, вы являетесь только одними из возможных покупателей информации об уязвимостях и потенциальных утечках данных
Я не самый активный участник программ Bug Bounty, но ко мне регулярно приходят разные люди разной степени легальности, которые тоже хотят покупать информацию об уязвимостях. И зачастую существенно дороже, чем в Bug Bounty, и с предварительной оценкой, а не с подходом "Утром стулья, вечером решим, дадим ли деньги, и сколько". И к другим людям, которые занимаются Bug Bounty более активно и более публично, приходит еще больше таких людей, и тоже соблазняют их интересными условиями
Например, у абстрактной компании есть программа с максимальным негарантированным вознаграждением в 50 тысяч рублей. Есть посредники, которые могут организовать легальную передачу данных об уязвимостях с более гарантированной оплатой в 500 тысяч. И есть черный рынок, где информацию купят за миллион.
Я, например, не продаю уязвимости на черный рынок даже за большие деньги, так как считаю, что это неправильно. Но есть люди, которые так делают
И у многих людей возникает вопрос, зачем сдавать что-то в Bug Bounty, если часто можно получить легально существенно больше, а нелегально - еще больше?
Одна из самых сомнительных вещей, которые делают площадки (началось еще с активного пиара Hackerone), - создают две иллюзии:
* Что безопасность - это дешево (зачем платить пентестеру 10X за негарантированный результат, когда можно заплатить за подтвержденный баг Х или сколько захочешь)
* Что люди должны приносить уязвимости в Bug Bounty, когда их нашли, и отдавать за те деньги, которые указаны в программе
Bug Bounty - хороший инструмент при правильном применении. Безопасность - это дорого, и убеждая кого-то, что можно сделать ее более дешевой, можно случайно создать ситуацию, когда за кучу красивых футболок будет собрана информация о некритичных проблемах, а в то же время критичные уязвимости продаются за существенные деньги, но уже даже не компании.
Берем два соседних абзаца:
Если есть такие "противоречия" в специально подготовленном материале, боюсь представить, что происходит в реальности...
Проблема в том, что такой способ требует достаточно большого базового уровня качества продукта, чтобы на него решиться. Например, если взять Мегамаркет, то я бы предположил, что если бы сотрудников заставили использовать только его для всех заказов и доставок, то они бы в лучшем случае голодали неделями. Я давно не видел столько паттернов «Бессильного пользователя», сколько там. А достаточно было всего сделать заказ.
Для большинства компаний проблема не в том, чтобы как-то изменить процесс взаимодействия своих сотрудников с продуктом, чтобы получать больше информации о проблемах продукта, а в том, чтобы исправить уже известные проблемы и заставить сотрудников использовать продукт как обычные пользователи, а не сидеть с лицом «Я получаю бешеные деньги за свою работу, но буду пользоваться другим продуктом, так как то, что я делаю - отстой»
Проблема в том, что часто разработчики не хотят ничего менять. Я встречал довольно много проектов, где разработчики при условно неограниченных бюджетах, доступных архитектурных решениях и очень гибких сроках делали такие поделия, что возникали очень большие вопросы практически ко всему. И ответы на то, почему так получилось, никто не даёт.
И отдельная история в том, что есть компании, где люди специально ищут, что можно улучшить (не опираясь при этом на требования бизнеса), но в итоге при улучшении отдельных показателей общее качество постепенно падает.
Имхо, это миф, что если разработчикам дать волю делать, что они хотят, то они в среднем улучшат продукты. Да, есть примеры-исключения, но винить «жестоких менеджеров и капиталистов» не всегда правильно.
В случае с DLP и расследованием инцидентов (когда его используют уже для анализа того, как утекли конкретные данные, а не для предотвращения утечки путём блокирования запросов - такой способ использования часто рекламируют вендоры) меня всегда интересовал вопрос юридической силы этих доказательств. По сути, это просто текстовые логи, созданные на оборудовании, полностью контролируемом админами компании. Сотрудник при расследовании заявляет, что вообще не в курсе, что это за файл, что он ничего не делал. И «вспоминает», что полгода назад ему админ угрожал, что нечего лезть к его жене, он его засадит. Очень интересно, как применяются DLP в этом направлении.
Я правильно понял, что человек написал отзыв, который боится публиковать от своего настоящего имени (не особо важно даже, почему), с использованием учётной записи, привязанной к настоящей почте, а потом грустит, что произошла деанонимизация? Смелый человек
Мне очень сильно не понятен смысл этой торговли страхом. Как объединения помогают защититься от сокращений? Если они помогают, то почему этого нет в статье - это самый важный материал был бы. Если не помогают - то зачем в таком виде это подавать?
Пока это выглядит почти всегда как «плохая новость - вступайте в профсоюз (зачем?)», «хорошая новость - вступайте в профсоюз (зачем?)»
Добрый день,
Подскажите, пожалуйста, как в данном случае пользователь может определить, где конкретно он авторизуется? Условно, вы хотите подключиться к публичному WiFi, вам показали номер телефона, вы на него позвонили. На самом деле оператор этой WiFi точки "под капотом" получил этот номер у сервиса электронной почты так же через процесс авторизации и показал его вам. И вы отдали свой аккаунт левому человеку, вообще не подозревая, что стали жертвой атаки.
Статья, безусловно, интересная и местами спорная. Но есть один абсолютно комичный момент: в статье о том, что разработчики должны иметь возможность получать деньги за работу в разных форматах, автор… наезжает на тех, кто получает деньги за работу и предоставляемый сервис:
Ключевой момент - "которые им не принадлежат". Имхо, правило хорошего тона и личной безопасности тоже - уточнить, можно ли рассказывать кому-то о том, что относится не к себе лично. Зачастую почти все можно рассказать через отрицания или принцип канарейки без явного нарушения запрета, но это не значит, что так надо делать и что это правильно.
Меня немного удивляет вообще появление этой статьи. Люди не понимают, что не надо разглашать данные, которые им не принадлежат?
Давайте писать статьи, что и код с работы не надо уносить на флешках, и базы публиковать не надо, и пить на рабочем месте, оказывается, это может повлечь ответственность.
Или это история про то, что кто-то что-то увидел, прокомментировал, теперь надо нести на Хабр?
Так пресекли деятельность, либо поломали информационный сайт?
Часто так называемая «технофобия» - это не боязнь технологий, а опасение, что технологии будут очень криво и неправильно реализованы. Например, за последнее время много сервисов, которыми я пользуюсь, стали работать существенно хуже в плане предсказуемости, стабильности и скорости. Доходило даже до того, что я не могу просто оплатить заказ, хотя это ключевая задача для интернет-магазина
Считаю ли я, что эти же разработчики способны создать что-то хорошее и стабильно работающее? Вряд ли
Технофобия ли это? Возможно, что фобия технически некомпетентных разработчиков
Забавно то, что возвращение в офис даёт явный положительный эффект на первые месяца 2-3. Люди общаются вживую и доделывают какие-то зависшие не очень важные задачи, что создаёт иллюзию возросшей эффективности. Через какое-то время запал пропадает, люди устают ездить, и продуктивность снижается до предыдущих значений или даже ниже. Поэтому эффективно помогает вернуться на удаленку не нытьё в интернете, а смена работы с явным комментарием, что это связано с удалённой работой, и явное снижение производительности труда из-за усталости от дороги и невозможности отдыхать в это время или что-то полноценно изучать. Процентов 20-40 весьма заметны.
В этом и вопрос. Если бы система описывалась как "Некая система, которая анализирует большое число параметров и ее сложно обойти" у меня не было бы никаких вопросов, кроме того, почему настолько рискованную технологию используют. А тут прямо сказано, что обойти ее невозможно: "Она исключает возможность подделки видеозвонка с помощью дипфейка, фото или видео с камеры."
Меня очень сильно пугает такое утверждение, хотелось бы услышать технических специалистов Тинькофф.
По своей сути, любое видео - это некий набор точек разного цвета. Возможно, точек не в явном виде, но с камеры сложно вытянуть что-то больше, и сложно передать что-то не дискретное. Это в любом случае довольно конечный набор бит. В видео нет каких-то других волшебных характеристик и особенностей.
Дипфейк - генерация того же видео, то есть, набора точек разного цвета. То есть, тоже конечного набора бит.
Предположим, что есть некий достаточно хороший генератор фейковых видео. Условно, просто анатомически правильная модель головы человека, его кожи и рендеринг освещения. С довольно большой долей вероятности такая модель сгенерирует очень похожий набор точек с точностью до помех эффектов от влажности и окружающей среды. И разработчики утверждают, что у них есть технология, которая позволяет это гарантированно отличить?
Далее, начинается самое интересное. Предположим, есть модель, которая генерирует видео 1 в 1 с реальным человеком, которое не отличается от эталонного видео. То есть, там тот же набор точек для каждого кадра. Я не вижу причин, почему такая модель не может существовать. Передаем их на вход этой системе, по утверждению разработчиков она должна сказать про одно из двух одинаковых видео, что это сгенерированный фейк. По сути, это значит, что система может извлекать из одинаковых объектов разную информацию? Я не очень большой специалист в формальных областях математики, но мне кажется, что есть теорема, которая формально не дает это сделать. Я бы очень сильно хотел знать, кто из инженеров под таким заявлением подпишется.
Слово "исключает" крайне категоричное, у него нет дополнительных трактовок.
Мне несколько лет назад было интересно, как устроена работа колл-центров банков, когда человек туда звонит и хочет провести какую-то операцию, а не просто проконсультироваться. Я позвонил в один из модных известных банков, попросил сменить сначала кодовое слово, потом - номер телефона вторым звонком. И у меня спросили что-то элементарное, вроде ФИО и даты рождения. В итоге за два звонка я свой привязал аккаунт к новому номеру, успешно зашёл в него с другого устройства из другой страны. И отправил описания проблемы в программу вознаграждений за уязвимости. Сотрудник банка сначала взял время подумать, потом сказал, что они по голосу определили, что это был я, и злоумышленник не смог бы так сделать. Проблема была только в том, что это были мои первые два звонка в банк, у них либо не было образца голоса, либо они его купили в странном месте.
И вторая ситуация тогда же была великолепна, я в колл-центре попал на нового сотрудника, который по ошибке меня сразу отправил менять кодовое слово без подтверждения. Просто забыл про проверку и перевёл на другую линию.
Насколько я вижу, есть два пути:
Авторизация по входящему звонку (Call Password - маркетинговое название) - вам звонят, вы указываете сколько-то цифр позвонившего номера, чтобы показать, что вы получили звонок.
Авторизация по исходящему звонку (Call Password ID - маркетинговое название) - вам дают номер, вы на него звоните, показывая, что вам принадлежит номер, с которого вы звоните.
В первом случае вы не знаете, кто на самом деле звонит (это может быть как сервис, где вы пытаетесь авторизоваться, так и сервис, куда ваш номер телефона пробросили: авторизовывались в публичной WiFi-сети - отдали доступ к мессенджеру). Номер телефона не содержит информацию об отправителе.
Во втором случае вы не знаете, кому на самом деле звоните, номер телефона тоже не содержит эту информацию.
А чем эти способы в плане безопасности лучше, чем СМС?
Тогда можно дойти до того, чтобы обязать сотрудника выдавать документально обоснованную причину увольнения, с указанием нового места работы и зарплаты, и получать справку от руководителя, что он действительно не считает нужным и возможным предоставлять такие условия в текущей компании. А то постоянно «Мне предложили больше», а на самом деле - токсичный коллега был. А кто-то вообще отдохнуть решил, недопустимо.
А если серьезно, это очень похоже на попытку принуждения к заключению договора. Представитель работодателя говорит «Мы не хотим с вами работать», а кандидат «А на каком основании? Предоставьте документы, либо принимайте на работу». Имхо, обычно довольно странно ломиться туда, где человека не хотят видеть.
Плюс, очень во многих компаниях мнение СБ носит рекомендательный характер, и фразы «СБ не пропустила» читаются скорее как «Принимающему решение о найме сказали, что человек потенциально ххххххххх, он решил, что не хочет рисковать».
А в худшем случае - никакой СБ не будет, от резюме до собеседования месяц, на собеседовании вопросы-гробы, через час - сухой ответ «Результаты собеседования показали, что у вас недостаточно компетенций для данной позиции»,
У этого метода есть одна существенная проблема: а как человек вообще понимает, куда он звонит?
Условно, вы хотите войти в не очень известный интернет-магазин, интернет-магазин показал вам какой-то номер телефона, на который надо позвонить. А на самом деле перед этим сервер сходил на условный сервис электронной почты, где указал ваш номер, ему выдали номер для звонка, интернет-магазин его показал вам. Вы позвонили, звонок с вашего честного номера, теперь у этого мошеннического магазина есть полный доступ к вашей почте. И со стороны почты вопросов нет, ваш номер указан, ваш звонок пришел на нужный номер.
Человек должен иметь возможность понять, где он авторизуется. Тут же буквально реализуется страшилка - "позвонил по номеру - тебя взломали". Такие схемы авторизации опасно использовать.