Comments 46
большинство телефонов имеют встроенное оборудование NFC
Не факт.
большинство из нас ежедневно используют Apple или Google Pay
Далеко не факт. Хотелось бы цифр, вменяемой статистики, а не случайно брошенного термина «большинство».
И кто эти «из нас»? Африканский континент хотел бы уточнений на этот счёт.
Заметка интересная, но небрежность автора оригинала к вводным данным сильно настораживает.
Who cares about африканский континент? Автор из США/Европы, делает решения в первую очередь для этих регионов (где сосредоточена большая часть денег). Учитывая, что в Штатах уже 40% владельцев смартфонов используют мобильные платежи (https://techcrunch.com/2021/04/05/fueled-by-pandemic-contactless-mobile-payments-to-surpass-half-of-all-smartphone-users-in-u-s-by-2025) и что автор обращается к более технологически продвинутой аудитории, можно с высокой долей вероятности предположить, что большинство использует именно Some Pay.
Замена кур-кодам?
Ну, например, для идентификации клиента. Допустим есть веб страничка или даже приложение у клиента, которое принимает через nfc токен, подписывает его приватным ключём, хранящимся на телефоне и подписанный токен возвращает отправителю токена (сотрудник банка открывает спец веб страницу у себя), который публичным ключём расшифровывает и делает вывод, что клиент идентифицирован. Например, как замена бумажного паспорта. Этакая ЭЦП идентификация в кассе банка, например.
Ещё например для 2-х факторной аутентификации, когда мобильный банк на одном физическом телефоне, а ЭЦП для подписи распоряжений на переводы - на другом физическом телефоне. Вот обмен с шифрацией и можно через nfc организовать. А вот если бы ещё nfc девайсы к компу подключать можно было и через веб с ними работать, то тут и десктопный веб клиент-банк притянуть можно, где подпись через телефон происходила бы.
а блютус чем не угодил? Может быть только ценой nfc метки, но если мы работаем с ассиметричным шифрованием то здесь и qr достаточно (приватный ключ не покидает телефон)
У меня, например, при работе на компьютере нет физического usb-токена. В отличие от телефона.
Нет. Зачем? И какое это имеет отношение к дискуссии? Я имел в виду, что телефон у меня есть, в отличие от токена.
Я под nfc-токеном в данном контексте видел телефон. Здорово же: телефон приложил и авторизовался.
Или, если у вас приложение для сайта стоит, отпечаток пальца на телефоне приложил — и авторизовался.
Или код из смски вбил и авторизовался.
Просто резервные способы авторизации всё равно придётся делать для тех, у кого нет NFC (или смартфона вообще, хотя тут уже дискриминация местами есть). А если делать резервный универсальный способ, то делать какой-то уникальный для определённой группы людей может показаться лишней тратой времени.
В контексте банков физический токен есть приблизительно у всех — банковская карта называется. Которые в России просто стремительно заменяются на варианты с NFC.
Телефон тут может использоваться в качестве ридера к компу либо сам по себе. Приложил банковскую карту, набрал пин (не обязательно тот же самый, что в магазине используешь) — и вход в банковский сайт произошел/транзакция авторизовалась.
Во-первых, токен не всегда работает (на линуксе нужны танцы с бубном, чтобы заработало), так же нужны плагины в браузер ставить. Во-вторых, до сих пор есть банки, где ЭЦП не на токенах, а просто файлики на флэшке.. В-третьих, таскать с собой токен не всегда удобно. Да ещё может и не один. А как его применить для мобильного приложения? Токен только для десктопа подходит.
Вы кажется не поняли о чем я писал. Я не про отдельное устройство, а про то, что обмен ЭЦП можно организовать между двумя телефонами с помощью nfc. Зачем тут танцы с бубном, если вместо нас уже google потанцевать и внедрил поддержку nfc прямо в хром?
Либо у вас nfc-токен как отдельный девайс, либо у вас ЭЦП в телефоне. В симке там или ещё где. Зачем тут ещё второй телефон?
Для доп. защиты. Если телефон скомпрометируется или его украдут, то могут быть проблемы. Если разнести функции на разные девайсы - то это безопаснее. Но да, это скорее для совсем уже параноиков.
Укравшему придется постараться, выковыривая из телефона ключи. А мы пока зайдем резервным способом и объявим украденный токен скомпрометированным.
Но, вообще, использовать для этих целей смартфон — это давать слишком большую поверхность атаки. Для этого должны использоваться устройства, похожие вот на это
Дешевый и универсальный ридер с минимальными клавиатурой/экраном.
Удобство. Сильно защищенной железкой неудобно пользоваться.
В частности, сильно полезно, когда железка с важными ключами онлайна не умеет или уходит в него редко (чтобы какой-нибудь келоггер пин/пароль в сеть отправить не мог). Понятно, что это мало совместимо с прочими потребностями, для которых смарт используется.
Как я уже сказал в своем сообщении — я тоже считаю, что смартфон совершенно излишен. Но если он уже есть (ну завалялся на полках и купить легко, а токен пойди еще найди) — то, наверное, можно и использовать. NFC протоколу должно быть все равно.
Так есть токены в том числе и от Yubico.
Там (не в одном токене конечно) и все какие только можно USBшные коннекторы включая Lightning и NFC и хоть какая поддержка работы через Web даже если клиент не умеет в Webauthn…
И никогда не будет работать с Российскими банками. Потому что там нету ГОСТа.
Вот как возможность использовать ЭЦП на мобильниках — да, наверное. Нынешние же токены только в usb втыкаются, да ещё и всякое криптопро хотят…
Эцп на смартфонах давно уже. Точнее на сим карте. Пример получения
С 2023 года будут цифровые паспорта выпускать с nfc. Даже приложение уже сделали, на которое можно разместить паспорт и не брать его с собой.
Не факт что даже для этого взлетит.
Сейчас даже самокаты приходится арендовать по куар коду, а не по nfc. Хотя казалось бы. Поднести телефон ведь гораздо проще и удобнее чем наводить камеру при плохом освещении. И приложения в которых все давно можно у всех стоят, без них самокат и так не арендовать. И самокат стоит на порядки дороже метки. А все равно включай фонарик и фоткай куар.
Куар оставить в виде бекапа для пользователей совсем старых телефонов никаких проблем.
У меня и у жены совсем новый телефон, и нет NFC. А куар-код считывается любым смартфоном. Вот и всё, и никаких проблем.
P.S. А, я вас вспомнил, вы предлагали решить проблемы школьной информатики закупкой ноутбуков каждому российскому школьнику, мда. У вас очень своеобразный московский взгляд на материально-техническую базу.
Надеюсь, что будет можно оплачивать онлайн-покупки банковской картой без ввода и сохранения карты.
Это и сейчас можно, на сайте появляется кнопка "Google Pay" или "Apple Pay", нажимаете и платите без указания данных карты.
На российских и китайских сайтах это всё же скорее редкость, чем правило.
Не уверен. Всё таки редко встретишь сайт, который принимает оплату переводами или наложенным платежом.
Обычно у большинства как минимум всякие онлайн-кассы, которые выступают посредником между продавцом, покупателем, а часто и между продавцом и ФНС (принимают оплаты, печатают чеки).
Такие кассы сами предоставляют возможность оплатить множеством способов: и картой, и всякими g/a/s-pay, и всякими киви, иногда и wmoney/paypal.
Наиболее распространенные - я-касса, сберпей, есть и менее известные.
Так что от продавца часто почти ничего и не требуется для подключения к таким сервисам: заключил договор, завел счёт, подключил скрипт к сайту, и принимай оплаты. Всю заботу по обслуживанию/поддержке берут на себя онлайн-кассы.
Иногда, особенно у крупных или околоайтишных сайтов, есть и прямые интеграции с конкретными системами оплаты, в обход онлайн-касс: g/a/s-pay, paypal, wmoney. Это уже сложнее онлайн-касс, каждую нужно подключать отдельно, отдельные договора, и т.п., гемора больше, а потому и реже встречается.
С доставками кстати та же самая тема: полно агрегаторов, которые дают доступ сразу ко множеству сетей доставок, но встречаются и отдельные подключения в обход агрегаторов, с большей бумажной волокитой.
*Pay тоже требуют вводить карту в систему. Я ожидаю, что с Web NFC будет работать так, что просто приложил карту к телефону и всё, оплатил без всяких посредников, вводов и сохранения данных карты.
Конечно требуется ввести карту.
А чем связка телефон+карта удобнее связки "любое устройство с доступом в интернет + сохранённая в электронном кошельке карта"?
Онлайн-кассы ставят не от хорошей жизни, а чтобы сэкономить на программистах. Вводить полноценные интеграции с платежными системами дорого. Вводить nfc-оплату как минимум не дешевле. Если где она и появится, то скорее всего в онлайн-кассах.
По-моему, я с самого начала и позже чётко написал, что я ожидаю: нигде не сохранять данные карты. Не надо навязывать мне своё мнение.
Тем что карта сохраненная. Паранойя срабатывает.
А в первом случае будет "нет карты (ты не прикладывал) — нет транзакции (потому что непонятно, откуда)".
С другой стороны, по этому способу наверняка получится "card present" оплата, что выгодней для продавца, но может быть неприятней для покупателя.
Забавная технология. Как понимаю, это развитие идей куки в браузерах, и вместе со всеми преимуществами и недостатками.
Одна из проблем, что это таки и не стало еще стандартом для всех телефонов, в отличие от камеры для считывания кодов.
Попробовал на телефоне с NFC на андроид 6 и Хром 91, не работает.
Неверно понимаете. NFC — технология беспроводной передачи данных малого радиуса действия, которая даёт возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров. Это не чудо шкатулка, где хранятся данные. Чтобы протестировать на сайте по ссылке из статьи, нажмите read и приложите любую банковскую карту с бесконтактной оплатой. Информацию не считает, но вот браузер увидит, что контакт с картой был.
NFC приходит в web