C этого момента он серьёзно продвинулся, его купила cisco, появился режим offline и много чего другого оч. полезного

Это если установишь сертификат на устройство?

Нет, они же как otp/totp работают

Microsoft Authenticator мы "спариваем" с нужным аккаунтом через интернет, например, по QR коду, а потом можно пользоваться Offline.

https://support.microsoft.com/ru-ru/help/4026727

код меняется каждые 30 секунд

может любой генератори использовать. Хоть от яндекса, хоть от гугла, хоть authy

Да, просто я именно эти два решения пробовал на предприятиях в долгосрочном периоде.

Остальное так - сам побаловаться и забыть. Google Authenticator мне кажется каждый пробовал и даже использует.

Это же по цепочке, ты сотрудникам показал на работе какие варианты есть (принудительно, потому что на работе именно так устроено), а некоторые из них сами стали в своей жизни это применять. личные учетки 2FA защищать. именно с использованием Google Authenticator, а не обычными СМС-ками как раньше. Вариантов и вправду достаточно, каждый сможет выбрать что-то для себя.

А есть такие, кто физически разделяет телефоны (и симки соответственно) с интернетом и приложениями типа клиент-банков, и телефоны куда приходят смс-ки с паролями и т.п.

Я сейчас про личные телефоны и клиент-банки...

Я об этом думал ни раз, но сам не делал и интересен жизненный опыт в таких условиях. удобство. есть ли трудности/сложности.

мне уже начинает стремно держать банк клиент на телефоне. Но с другой стороны это так удобно

недавно столкнулся с веселым каналом доставки APK c банковским трояном. Он прилетел в каком-то из чатов телеграма. По умолчанию телега скачивает любые небольшие файлы, не только картинки.
И вот эта апк шка нашлась  дебрях телеги.
понятное дело что она не была запущена, но она уже была на устройстве. А это значит что один эшелон пройден

Конкретно у меня не скачивается по умолчанию, а все скаченное удаляется через непродолжительное время. Но я это не из-за безопасности сделал, а тупо места не телефоне не так много ) Пришлость залезть в настройки и подшаманить.

Банк- клиент не держу на смарте, ненадежно считаю.

в двух словах, может у кого есть софт, статья, стандарт по сбору, систематизации attack surface
С чего лучше начать, куда копать?

сейчас все это как-то урывками, есть ощущение что что-то out of scope, хочется систематизировать

Доброе утро всем.

взаимно

Коллеги, добрый день! В ноябре будет проходить СЛЕТ ДИРЕКТОРОВ ПО БЕЗОПАСНОСТИ КРУПНЕЙШИХ РИТЕЙЛЕРОВ РОССИИ, выделенный день будет посвящён докладам по ИБ ритейла. Пока обозначены следующие темы для обсуждения: E-commerce: интернет-магазин; Big DATA: опыт торговых сетей; Контроль СМИ: управление репутацией в сети; Безопасность финансовых операций; Контроль привилегированных пользователей; Безопасность и контроль ПО собственной разработки; BYOD - удобство против безопасности?; Контроль информационных потоков; Интернет-вещи: риски информационной безопасности; Anti-fraud - борьба с мошенничеством в ритейле; Облачный BI: готовы ли вы делиться своими данными?
Вероятно это не весь спектр самых актуальных тем для ИБ ритейла, возможно порекомендуете тему и мы добавим ее в обсуждение на слете. Буду благодарен ответам в личку.

С уважением, Константин Сергеев, Директор по безопасности ТС «Монетка»
ksergeev@monetka.ru