Sim. Fora do aplicativo, a situação descrita aqui na postagem é só no caso da troca do e-mail pela selfie mesmo.
Desculpe, eu me equivoquei e acabei comentando errado.
Sim. Fora do aplicativo, a situação descrita aqui na postagem é só no caso da troca do e-mail pela selfie mesmo.
Desculpe, eu me equivoquei e acabei comentando errado.
Não deveria permitir a troca da senha de 4 dígitos após a troca do e-mail, precisaria esperar N dias pra realizar ações mais perigosas
Uma opção que talvez possa ser viável, é utilizar o app do NuInvest pra validar a alteração do Nubank, caso o cliente tenha conta em ambos
Também concordo que segurança é algo que deve ser levado muito a sério, principalmente dados bancários.
Sei que o Nubank têm feito um ótimo trabalho para que possamos manter a nossa conta segura e protegida.
Mas na minha opinião realmente temos pontos que precisam melhorar, como segurança em dois fatores, um processo mais minucioso de aprovação e uso da conta.
Essa é claro uma opinião minha, e todos têm o direito de deixar a sua opinião, temos desde usuários avançados que conseguem proteger a suas informações de maneira satisfatória, até mesmo pessoas leigas que estão tendo acesso a tecnologia pela primeira vez, e precisamos pensar nesses casos também onde o usuário é mais leigo e não têm muito conhecimento.
Uma pergunta besta,não entendo muito de tecnologia, essa foto fraudada a que você se refere seria minha ou de quem está tentando fraudar?
Alguns hackers conseguem obter nossas fotos indevidamente, isso inclui banco de dados do próprio governo. A principal tática é pegar uma que tenha seu rosto e eventualmente segurando o RG.
Com a posse dessa imagem, o resto do processo qualquer um pode fazer.
A senha de 4 dígitos não dá pra trocar sem a reemissão do cartão. O problema da senha de 4 dígitos nesse caso é a questão de que ela fica disponível pra conferência caso o golpista ganhe acesso à conta… Ou você tá falando da senha da conta mesmo?
Seria possível realmente. Minha tristeza com a NuInvest é que eles usam autenticação por SMS pra instalar o EasyToken, mas essa é outra história hehe
É o que o @brezegue falou, dados super sensíveis, incluindo fotos com documento oficial, estão disponíveis para crimonosos. Não é mais uma questão hoje em dia de saber se cuidar na internet, e sim de ter sorte de não ser um alvo…
Acho que o ponto todo sobre essa discussão não é nem considerar como um sistema de reconhecimento facial pode ser fraudado. Pode ser inclusive um sistema muito eficiente, afinal quase todo banco tá usando hoje. Só que esse fator não tá no controle do cliente. Hoje você precisa depender de um modelo que você não conhece, que tem uma taxa de falha, e você não poder fazer nada em relação a isso.
Acho que a validação com foto/rg faz sentido, é um das etapas. Acredito que poderia ser incrementado um segundo fator: tanto 2FA quanto geolocalização. Pra fazer a alteração, seria necessário ativar o GPS e ai faria um de-para com o que está cadastrado no app.
Não lembrava que a senha de 4 dígitos podia ser consultada. Acho estranho isso, pensava que a senha passava por hashing ao salvar no banco, assim sendo, não poderia reverter o processo pra obter a senha
Então, não pode consultar a senha por N dias em vez de consultar
Hehehe essa senha de 4 dígitos é uma porteira de celeiro. Assim, quando eu descobri que pra invadir uma conta o golpista precisava apenas fraudar um modelo de reconhecimento facial, eu acabei concluindo que não era tão grave pois ainda faltaria a senha de 4 dígitos. E o aplicativo deve ter alguma forma de evitar que a pessoa teste todas as senhas de uma vez, então daria tempo de tomar providências.
Aí eu lembrei que tinha essa conferência. Dessa forma a senha de 4 dígitos só serve pra evitar que uma pessoa faça transações sem a senha da conta (pois essa senha é necessária pra consultar a de 4 dígitos), o que não é o caso aqui.
Seria possível. Às vezes isso inclusive tá implementado e a gente não sabe. A tristeza é ter que ficar usando essas heurísticas pouco transparentes e não resolver o problema logo eliminando essa coisa do rosto e/ou adicionando 2FA pra troca de email.
Esse 2FA poderia ser um email de recuperação também, ou um simples código de backup. Ou até mesmo uma demonstração da posse do cartão físico, através da senha de 4 dígitos ou da ida a um caixa eletrônico do Banco 24Horas.
Isso aqui eu passo!
Só não perder a senha e o acesso ao email ao mesmo tempo hehehe
Para todo problema, há uma solução!
talvez ainda não tenha sido encontrada.
Abolir é uma palavra um pouco forte, não precisa ser tão radical a esse ponto!
Poderiam complementar esse reconhecimento facial, que aparentemente apresenta falhas.
Gostei dessa sugestão do post original:
E dessa aqui, por mais que pareça antiquada, e muita gente não vá encontrar quando precisar.
O problema maior aqui, não é “só” o acesso à conta, são as transações totalmente fora do padrão que se sucedem.
Já vi mais de uma vez o Itaú Ligar para confirmar compras suspeitas: valores altos, localizações incomuns- o que também acho válido como método de segurança…
Acredito que uma das primeiras medidas a serem tomadas é retirar a opção de ver a senha de 4 digitos no app. Alias, a senha de 4 digitos não deveria estar exposta nem do lado do nubank, mas criptografada. Caso a pessoa perdesse a senha fazer todo o processo para criação de uma chave nova e reemissão do cartão.
Eu acho que essa foi a solução que o Nubank encontrou considerando custo-benefício. Deve ser barato e efetivo na prática, com pequena margem de erro. Só não queria ser eu nessa margem de erro hehehe
São duas propostas válidas. E, sinceramente, o que vier é lucro, pois hoje o negócio tá triste, ao meu ver. Gosto da ideia da chave de segurança física porque hoje é o que tem de mais avançado em segurança, daria até uma boa campanha de marketing da empresa, mostrando que se preocupa com privacidade e tal.
Acredito que uma das primeiras medidas a serem tomadas é retirar a opção de ver a senha de 4 digitos no app. Alias, a senha de 4 digitos não deveria estar exposta nem do lado do nubank, mas criptografada. Caso a pessoa perdesse a senha fazer todo o processo para criação de uma chave nova e reemissão do cartão.
Se isso fosse feito resolveria o problema, com certeza. Mas será que essa é a melhor opção? Teoricamente, a senha de 4 dígitos só aparece se você tiver acesso ao aplicativo, se não me engano com dispositivo autorizado, e também à senha da conta. Uma pessoa com acesso a isso tudo deveria poder fazer qualquer coisa, afinal não existe nível de confiança maior do que isso. O problema é que o Nubank permite o acesso a isso tudo através de uma vulnerabilidade no processo de troca de email.
Essa senha já deve ser criptografada sim, não imagino o Nubank mantendo essa senha em plain text nos servidores não. Imagino que você esteja se referindo a um hash da senha?
Existem formas de criptografar que nem mesmo o Nubank teha acesso à senha, protegendo os usuário em caso de vazamento. É possível gerar a senha localmente e enviar aos servidores da Nu apenas o hash (o suficiente para validar acessos). Assim em caso de perda da senha pelo usuário a única solução é gerar uma nova.
EDIT: Claro que esse solução geraria um custo maior de reemissão e talvez insatisfação de clientes que simplesmente esqueceram a senha
Esse jeito se chama hash, criptografia, independente de qual, é reversível, hashing não é. Havia comentado mais pra cima que achava que a senha passava por hash
Tanto a criptografia como o hashing protegem a informação em caso de vazamento, se alguém conseguir acessar o banco de dados deles, encontrará um texto “aleatório e sem sentido”, mesmo que tentem descifrar, não conseguiriam ou levariam séculos para conseguir
É possível gerar a senha localmente e enviar aos servidores da Nu apenas o hash
A partir daqui está meio confuso, o problema não é o Nubank ter acesso a conta, todas as plataformas tem acesso as suas senhas, parte da sua segurança está na confiança que tu tem nas plataformas que usa
Sequer é possível fazer o hash no dispositivo cliente e enviar apenas o resultado pro Nubank, como seria validado a informação enviada pelas máquinas de cartão ou caixas eletrônicos? Eles teriam que fazer o hash da senha também? Mas nem é possível. Nesse assunto tem outras questões que fazem parte do processo de hash e criptografia, salt, chave privada ou par de chave pública e privada, isso tudo é com o servidor