ЦБ предложил заранее отказываться от возможных кредитов

Это поможет бороться с мошенниками, считает регулятор.

ЦБ предложил ввести механизм «самозапрета» на выдачу кредитов: он подразумевает, что россиянин может вписать в свою кредитную историю запрет на выдачу кредита на своё имя.

Устанавливать и снимать ограничения можно сколько угодно раз, платить за это не нужно. Они могут быть разными — по виду кредитора (МФО или банк), по способу обращения или на отдельные виды кредитов и займов.

Перед выдачей кредитов банки и МФО должны будут проверять кредитную историю на наличие ограничений. Если они действуют, а банк всё равно выдаст деньги, он не сможет потом потребовать погашения долга.

Механизм позволит снизить риск использования злоумышленниками утечек личных данных граждан, включая копии паспортов, логины, пароли и так далее, считает регулятор. ЦБ уже подготовил необходимые законодательные предложения и направил их на согласование, подробные условия работы такого «самозапрета» определят отдельным нормативным актом.

В мае 2021 года идею заранее отказываться от оформления любых кредитов предложили депутаты Госдумы. Предполагалось, что заявку на запрет можно будет подавать через Госуслуги или банк, а финансовые организации обязаны отказывать в кредитах, пока действует ограничение.

Наконец-то они догадались что так можно, не прошло и 15-20 лет.

> Предполагалось, что заявку на запрет можно будет подавать через Госуслуги или банк

а вот это не правильно, такую заявку подавать только при личном присутствии.

> Так, а что помешаешь помимо данных паспорта своровать вот такое саморазрешение?

Вероятно, ничего, но это еще одна степень защиты, которая сделает мошенничество более сложным и трудозатратным.

> Наконец-то они догадались что так можно, не прошло и 15-20 лет.
>

Наверное дистанционным взятием кредитов уже начали нахлобучивать МФОшки.

> > Почему?
>
> чем проще, тем меньше смысла, подделают, своруют, продублируют.

Отказ от кредита и должен быть простым.

Не надо хранить личные данные ни в каких базах данных, вот и всё. Технологи же существуют, zk пруфы и всякое такое.

> Не надо хранить личные данные ни в каких базах данных, вот и всё. Технологи же существуют, zk пруфы и всякое такое.

ха, наивный

> Почему?

тупанул немного, на снятие запрета при личном присутствии.
Кстати, в сбере что-то эдакое есть, только не по кредитам, а по снятию со счетов. Там в ЛК можно какой-то счет открыть, с которого потом перевести куда-то можно будет только в отделении, правда с этим тоже неприятные моментики были, не во всех отделениях умеют с ними работать.

> Не надо хранить личные данные ни в каких базах данных, вот и всё. Тайга же существует,

> Я всё правильно сделал

А что надо делать?

> О, ещё один вылез из погреба. Ребята, прогресс бежит впереди вас на много световых лет. Догоняйте.

Ну и как твои успехи на поприще применения zero knowlege proof? Или ты как пещерный человек хранишь свои данные в обычных базах налоговой, банков, медучреждений и т.д.?

Ясно. Спасибо.

> а вот это не правильно, такую заявку подавать только при личном присутствии.

Вот, да.

Как при запрете на операции с недвигой.

> Zk пруфы на всю катушку используются в криптовалютных сетях и работают прекрасно.

Объясняю для прогресивного, но недальновидного.

Все эти zero proof привязаны к некой конечной точке, где будут храниться конечные, самые главные ключи.

Если они хранятся не у тебя - ты позволяешь неким гражданам иметь к ним доступ.
Если они хранятся у тебя - то ты и сам можешь их утерять военно-морским способом или подвергнуться насильственному отъему "самого главного токена".

А после того, как злоумышленник завладел некими ключами, "самыми главными от тебя", то опровергнуть то, что это делает мошенник ты не сможешь. И до тех пор, пока ты по старинке с паспортом и челобитными не обойдешь все круги ада и не докажешь, что твоими ключами завладели злодеи, а ты вот он, настоящий, злодей будет ими пользоваться.

Не надо путать жопу с пальцем, а ИТ-технологии с реальным миром. Потому что в крипте ты можешь расстаться со своим кошельком и не более того, а в реальной жизни - вплоть до жизни своей и близких родственников.

> ... подписанной электронной подписью

Короче, обложили гады!

> Тут твоя безопасность зависит только от тебя

Еще раз - мы, в реальном мире, живем не в сферическом вакууме, а вполне в определенных условиях, в которых твоя безопасность зависит далеко не только от тебя, но и от общества и государства. Даже у нас на форуме половина новостей из страны, в которой миллионы людей вдруг осознали, что их безопасность от них самих вообще мало зависит.

> Всю информацию о тебе сольют админы сервера без твоего разрешения, а ты узнаешь об этом через пару лет, когда на твоё имя возмут в кредит ламборгини.

Ну а в твоем случае, твои ключи достанут с помощью zero-day эксплойта, безграмотности населения (если это будет и в самом деле внедрено на государственном уровне) или с помощью вежливой просьбы передать пароль. Видел же такие видео, где всего с 3-4 просьбы матерые несогласные рассказывают пароли от телефона? А если спрашивать будут злодеи??

Если с твоей точки зрения разницы нет - то я опять же имею мнение, что разница огромна. Вот классическая ситуация - электронная подпись, подпись которой эквивалентна паспорту. С одной стороны - явный прогресс и возможность удаленно подписывать документы. С другой стороны, завладение такой штукой - и можно не париться, чтобы морда была похожа и подпись тренировать или полностью подделывать паспорт. И практика показывает, что среди владельцев таких ЭП, процент пофигистов, раздающих их налево и направо - весьма высок.

> И никаких кругов ада, идёшь в банк с паспортом, тебе генерируют новный сертификат.

И что делает человек, у которого подломили электронную подпись - идет с паспортом (или сначала восстанавливает паспорт) и аннулирует электронную подпись. НО! для того, чтобы выдать новый паспорт, или новую электронную подпись - человек должен быть в базах! Именно этим и отличается реальный мир от крипты, где утеря ключа, означает что ты сам себе злобный буратина и потерял накопленные крипт-фантики. А в реальной жизни такой исход невозможен.

> Например, ключи с мульти-подписью, N из M. Если ты проебал менее M-N ключей, твой аккаунт остаётся доступным только тебе.

Ты пойми старого сисадмина, "не все проблемы решаются техническими методами". Пока человек сам не станет носителем своего идентификатора, который нельзя подделать или использовать без его ведома - будут базы с именем, фамилией, номером телефона и прочей очень важной инфой.

> Сейчас эти базы плодят там, где они не нужны совсем. One stop shopping для кибер преступников.

Но ведь, при массовом переезде неких токенов на клиентские устройства One stop shopping будет не взломом банка, а очередной эксплоит для клиенских ОС.

> Информацию о пользователях сливают регулярно, причём даже крупные компании. Всё из-за лени тупых манагеров и админов, другого оправдания нет. Все технологии, для защиты частной информации есть, но тупизна побеждает.

И манагеры никуда не денутся и дороже/умнее не станут.
Ты понимаешь, что криптоключи невозможно использовать в банковском секторе реального мира, и они никак не защитят от слива баз?

Вот пришел некто в банк и захотел открыть счет. У него запросят паспорт, телефон и занесут в базу, потому что:

- Он может прийти еще раз с паспортом и нужно его как-то связать с его счетом, и для этого девочка на ресепшене должна видеть паспортные данные (этого нет в крипте)
- Через телефон нужно будет его уведомлять и использовать второй фактор аутентификации. Тут единственный вариант, где вместо телефона в базе, можно использовать другое средство связи и 2фактор. Будет ли этот фактор хоть как-то безопаснее при массовом использовании? Тут, пока не попробуешь, не узнаешь..
- Если придет запрос на арест счетов гражданина или взыскания задолженности - банк должен иметь возможность это сделать (этого нет в крипте)
- Если придут наследники с документами о наследовании - банк сможет передать деньги гражданина наследникам (этого нет в крипте)
- Банк может и должен передавать данные о наполнении счетов гражданина в налоговые и прочие контролирующие органы, опять же - гражданина, а не неизвестного токена. (этого нет в крипте)
- Гражданин, кроме вклада, может взять кредит. Это ситуация, кардинально отличающаяся от криптокошелька, где потеря токена влияет только на владельца кошелька. Тут банку и его коллекторам нужно знать все о гражданине, чтобы сначала выдать кредит, а затем и стребовать его. (и конечно, этого нет в крипте)

- ... и куча всего еще, что происходит в реальном мире, и чего не бывает в мире крипты, но я тут не вспомнил.
Итого, гражданин в базе, с которой оперируют все, от менеджера на ресепшене, до сисадминов и служащих контролирующих органов. Можно сколько угодно требовать шифровать и усложнять - но и проверить, как оно там в банке - сложно. Карать штрафами за сливы - имхо, наиболее простой и эффективный путь, если штрафы будут существенными. Пусть владельцы баз с ПДН 10 раз посчитают, дешевле им оберегать ПДН, или выплачивать штрафы за их сливы.

> Но ведь, при массовом переезде неких токенов на клиентские устройства One stop shopping будет не взломом банка, а очередной эксплоит для клиенских ОС.

Ты про аппаратные токены что-нибудь слышал?

> Сам себя ты удалить ниоткуда не можешь.

А какая изначально была громкая заява. Прогресс, технологии. А по итогу пшик.

> Ты про аппаратные токены что-нибудь слышал?

Я же говорю - я старый сисадмин, не только слышал, но и регулярно сталкивался.

1. Единственный реально стойкий вариант - с неизвлекаемым ключом, все остальное можно скопировать и использовать без ведома владельца.
2. Ограничения на подпись даже неизвлекаемым токеном (при его подключениии к компьютеру) - исключительно программные.
3. Получив доступ к компьютеру, троян может ждать неограниченное время для того чтобы дождаться, пока вставят ключ (если пользователь вообще его вставляет).
4. Неизвлекаемые токены, насколько мне известно, существуют только для ПК, для смартфонов такого нет.

5. И самое главное - сделав себе такой токен, ты забираешь на себя ВСЮ заботу о безопасности твоего ключа. Будет что-то подписано с его помощью - ССЗБ, в каких условиях он от тебя утек - твои проблемы. А, если вспомнить первый мой тебе ответ, на самом деле безопасность обеспечить без помощи общества и государства и в реальном мире - очень дорого и совершенно не окупается.

6. По итогу, аппаратные токены на данный момент вещь, безусловно, облегчающая обмен документами между различными структурами и людьми В ОБМЕН на уменьшение безопасности.

> Криптография 100% гарантий не даёт, но даёт на порядок выше безопасность, чем то решето, которое ты сейчас используешь. Перестань уже с фактами спорить.

Что я сейчас использую? Ты вообще в адеквате? Может ты начнешь читать, что тебе пишут? Какие факты ты приводишь, кроме инфоцыганских мантр о всесилии криптографии?

Еще раз, постарайся прочитать написанное, прежде чем отвечать.

1. Электросвязь без криптографии > добавили криптографию = безопасность усилилась
2. Электросвязи нет > добавили электросвязь с криптографией = улучшилось удобство, безопасность УПАЛА
3. Использование криптоалгоритмов для работы с критичными данными парой гиков > масштабирование до уровня государства с вовлечением всех слоев населения = безопасность УПАЛА.

В третьем пункте, для пояснения - стоимость направленных атак на одного/пару человек не стоит свеч, а вот при миллионах вероятных жертв - уже начнут писать инструменты, ковырять протоколы и прочее, потому что выгода окупит эти трудозатраты.