OTP Internetbank regisztrációs korlát - Egy telefonszámhoz csak egy regisztráció kapcsolható

Security-all

Sziasztok!

Belefutottam egy számomra teljes mértékben érthetetlen korlátozásba az OTP-nél: egy telefonszámhoz nem enged több internetbank regisztrációt.
Történt, hogy a napokban nyitottam egy OTP Junior számlát a fiam számára úgy, hogy minden számlánk az OTP-nél van. Az ügyintéző beazonosított engem, látta is a szerződésünket, a számlát sikeresen meg is nyitotta, majd az internetbank szerződés létrehozásához elkért egy telefonszámot. Egy szóval sem jelezte, hogy nem lehet olyan szám, amihez van már internetbank. Mivel a gyereknek nincs telefonja, így a sajátomat adtam meg.
Ezek után este, mikor csináltuk volna a regisztrációt, jelezte a rendszer, hogy egy számhoz nem lehet több regisztrációt rendelni...
 

Mi értelme van ennek a korlátnak? Milyen biztonsági problémát okozhat, ha megengednék? Más bank is korlátozza ezt?

Most lehet majd újra besétálni személyesen, hogy telefonszámot változtassunk, feltéve, hogy lesz a gyereknek olyanja....

Gábor

  • 565 megtekintés

( gelei v | 2025. 06. 20., p – 15:02 )

Nem teljesen értem, a gyereknek lesz a netbank account, vagy magadnak? Mert ha utóbbi, akkor nem új account kell, hanem a meglévőnek meghatalmazást adni.

( gemnon v | 2025. 06. 20., p – 15:04 )

Gondolom így akarják kivédeni amit az ügyfélkapunál (szándékosan) nem sikerült, hogy egy könyvelő ne legyen 200 magánszemély. :P

( asm v | 2025. 06. 20., p – 15:30 )

Tudom, hogy ez nem valasz a kerdesedre, de mindenesetre fura szituacionak erzem, hogy hamarabb bizol a gyerekre bankolast, mint egy levedlett mobilt (amit akar otthon is lehetne tartani egy fiokban).

Teljesen más a két dolog.

Telefont azért nem kap, mert problémáiból adódóan (auti, adhd, stb) olyan mértékben szipkázza be az elektronika, hogy ha bárkinek a telefonja a kezébe kerül, órákra elveszett. Most egy olyan gyerekórája van, ami csupán arra jó, hogy lássuk, hol van, tudjon szólni, amikor indul a suliból. Az óra még SMS-t sem tud fogadni...
Viszont szeptembertől duális képzésben fog részt venni, ahol fizetést (kvázi ösztöndíjat) kap, ehhez kell a számla. Meg szeretném hagyni a szabadságát abban, hogy az így kapott pénzt magára költse. De ezt a jelen felállásban nem tudom megtenni, csak részben, mert lesz bankkártyája, így fog tudni fizetni, pénzt felvenni, de bármi mást szeretne csinálni (pl online vásárolni), akkor már kell az én közreműködésem hozzá.

Számítógép hozzáférése van, ennek az ideje viszont felügyelve van, így volna lehetősége a számláját kezelni, ha.....

Gábor

de bármi mást szeretne csinálni (pl online vásárolni), akkor már kell az én közreműködésem hozzá.

Így viszont akkor pláne nem értem (de nem vagyok OTP user, így lehet, hogy faszságot kérdezek, elnézést), de ha a te telefonszámod lenne megadva a másik accounton is, akkor nem kellene a közreműködésed? Hiszen a gyerek kártyájáról a te számodra megy a 3DS kód, a te számodra megy a netbank login 2FA, stb.

( NevemTeve | 2025. 06. 20., p – 15:39 )

A programozó kicsikét nem okos. Akarom mondani, volt neki egy számlája, egy emailcíme és egy telefonszáma, és innen már könnyű volt rájönni, hogy ezek mind 1:1 kapcsolatban vannak egymással.

Pedig jó volt a gondolatmenet, mert a az elképzelés az volt, hogy a netbank accountok és a felhasználók vannak 1:1 kapcsolatban. Tehát ha a gyerek számláján én meghatalmazott vagyok, akkor az az én netbankom loginommal történik (lásd a fenti kérdésem)

(Btw ez sem teljesen igaz, mert a személyes profil és a céges emgfér egymás mellett, ugyanazzal a telefonszámmal, tehát valójában a telefonszám és az identitás között van 1:1 kapcsolat. Ami egészen logikus.)

Mivel itt nem ez a helyzet, ráadásul olyan edge case van, hogy az adott személynek egyáltalán nincs telefonszáma, így szívás van.

Az átkos elavult rendszerben olyan misztikus dolgok is voltak, hogy egy számlának lehetett két tulajdonosa, mindkét tulajdonosnak volt saját internetes elérése (hozzá azonosító (technikai kulcs) + jelszó), és mindkettőnek volt telefonszáma és emailje, de nem volt keresztbe-ellenőrzés, hogy 'bácsikám, a maga emailcíme miért azonos a feleségéével?'

Szerk: ja, hogy miért kellett két internetes elérés? Mert pl. a bankkártyáddal opciózni csak a saját internetes elérésedből lehet, hiába közös a számla.

Az a baj hogy az ügyfélkapuhoz sem jó hogy azt használják.

Tesszőleges email MFA használata FONTOS dolgokra gáz!

SMS MFA használata FONTOS dolgokra gáz!

TOTP MFA használata FONTOS dolgokra gáz!

Lassan már a sima Push notification MFA használata FONTOS dolgokra is gáz lesz!

Sajnos ahogy a rablók fejlődnek, a másik oldalnak is fejlődnie kellene. A felhasználóknak meg ezt nem csak elfogadnia kellene, hanem így vagy úgy kényszeríteni a fejlődést.

Jalos

( kbalint v | 2025. 06. 20., p – 15:53 )

Most volt a VálaszOnline-on a cikk, hogy az egyik bankholdingból részben így lopták el a pénzt a userektől, hogy akárhány appot lehetett telepíteni bármi korlátozás nélkül párhuzamosan.

~ubuntu, raspbian, os x~

( gabrielakos v | 2025. 06. 20., p – 15:56 )

Fura dolog az OTP-t védeni de a 2FA így korrekt.
A telefon az "something you possess".
A gyerek meg te nem vagytok ugyanaz, ugye.
Hát ezért.

zászló, zászló, szív

( an-dee | 2025. 06. 20., p – 17:40 )

Teljesen normális. X-nek és Y-nak nem lehet azonos a telefonszáma. Veszel egy feltöltőkártyát és annak a számát adod meg a gyerek accountjához. Max elhasználod a rajta lévő összeget parkolásra. Egyébként 2025-ben lassan nem lehet megoldani ezt külön számmal és telefonnal.

Van egy magán számlád és van egy céges számlád. Csak ezért legyen két számod?

 

Egyébként ha elhordozod a számod egy másik szolgáltatóhoz, akkor legutóbbi emlékem szerint meglesz az eredeti számod de a szolgáltató is ad neked egy hozzá tartozó - kvázi technikai - telefonszámot. Így egy előfizetéssel két számod van.

A 2FA a személyt és nem a funkcióját azonosítja. Amennyiben van több megszemélyesíthető funkciója azt authorizációval szokták megoldani (tudsz a céges és magán profilok közt váltani egy bejelentkezéssel, vagy egy felületen látod mindet)

számod de a szolgáltató is ad neked egy hozzá tartozó - kvázi technikai - telefonszámot

Nem, nem ad. Nem úgy ahogy te gondolod. Technikailag rövid időre lesz egy számod ami utána sem kimenő sem bejövő forgalomra nem fog működni.

Gondolkozzunk már.

( azbest | 2025. 06. 20., p – 18:37 )

Szerkesztve: 2025. 06. 20., p – 18:39

Ez most egy nagykorú, teljesen saját tulajdonú számla kapcsán végzett szülői kontrol vagy pedig még kiskorú/gyámságba vett személyé.

Bár nem ismerem az OTP rendszerét, de gyanítom, hogy ha nem önállóan cselekvőképes, akkor valami felügyelei jogköröd van rá és ezt lehet a banki szolgáltatásoknál is leképezik.

Ha mégis nagykorú, jogilag önállóan cselekvőképes személyé, akkor pedig lehet hogy téged, mint személyt meghatalmazással lehet hozzáadni az ő számlájához.

És úgy lehet, hogy létezik rá hivatalos megoldás, hogy hozzád is legyen bekötve valami. Bár a saját nevében történő tranzakciókat gondolom akkor sem másik személy által lehet kezelni.

( mauzi v | 2025. 06. 20., p – 22:41 )

Feltalálták azt, hogy egy számlakörbe több számlát be lehet vonni. Lesz egy darab accountod, amivel kezeled a számlakörben lévő összes számlát.

( Tassadar v | 2025. 06. 20., p – 23:37 )

Szerkesztve: 2025. 06. 20., p – 23:39

Neked új account-ra (számlát kezelő entitás) vagy új számlára van szükséged?

Ebben nem látok problémát - igaz minden másban ami az OTP IT és spin - off-jaiban zajlik, igen. :)

( zeller | 2025. 06. 21., szo – 10:41 )

Én keresnék olyan bankot, ahol ez nem probléma... Szerintem van ilyen...