Comments 12
Казалось бы причем тут карты?
МПС уже давно все придумали и реализовали, есть стандарт на 3DS, есть различные механизмы генерации SC. Все уже придумано до вас и реализовано.
МПС уже давно все придумали и реализовали, есть стандарт на 3DS, есть различные механизмы генерации SC. Все уже придумано до вас и реализовано.
Неудачная шутка
PayAnyWay — «плати любым способом», а в сознании «полюбому заплатишь»;
У меня одно из требований по безопасности — это отсутствие привязки только к устройствам, на которых обычно водятся вирусы, и отсутствие необходимости ставить какой-либо дополнительный софт на компьютер. По этому требованию подходят фиксированный код (который небезопасен по другой причине), таблица одноразовых кодов и Hardware OTP.
Сам пользуюсь аппаратным генератором кодов подтверждения, который мне выдали в банке. Он, в отличие от сфотографированного в статье, при работе еще требует карточку и спрашивает PIN — т.е. еще один уровень безопасности. Итого, для перевода денег я должен правильно ввести логин и пароль от интернет-банка (раз фактор), взять в руки генератор кодов и карточку (факторы два и три), ввести PIN (фактор четыре), последние цифры счета и сумму, нажать OK, и ввести получившийся одноразовый пароль в соответствующее поле в интернет-банке. Достаточно удобно и в то же время безопасно, и еще работоспособно за границей.
Сам пользуюсь аппаратным генератором кодов подтверждения, который мне выдали в банке. Он, в отличие от сфотографированного в статье, при работе еще требует карточку и спрашивает PIN — т.е. еще один уровень безопасности. Итого, для перевода денег я должен правильно ввести логин и пароль от интернет-банка (раз фактор), взять в руки генератор кодов и карточку (факторы два и три), ввести PIN (фактор четыре), последние цифры счета и сумму, нажать OK, и ввести получившийся одноразовый пароль в соответствующее поле в интернет-банке. Достаточно удобно и в то же время безопасно, и еще работоспособно за границей.
Меня вполне устраивает PSB'шный вариант, когда можно через SMS, а можно через одноразовые коды.
Прелесть карточек/токенов в том, что они не электронные. В том смысле, что их нельзя упереть в электронном виде. Более того, если токен, чисто теоретически, можно упереть через взлом камеры, то карточка с кодами надёжнее — надо стирать защитную полоску перед вводом очередного кода — и это точно защищает от воровства.
Более того, благодаря тому, что банк точно знает, какой номер кода хочет, замаскировать воровство транзации очень затруднительно — операции не сходятся. Вместе с оповещением об операциях по email, это вместе даёт достаточную уверенность.
Пожалуй, единственный вопрос в том, что могут быть SMS — их воровоство труднее обнаружить. (Задумался, не отключить ли мне их нафиг).
Прелесть карточек/токенов в том, что они не электронные. В том смысле, что их нельзя упереть в электронном виде. Более того, если токен, чисто теоретически, можно упереть через взлом камеры, то карточка с кодами надёжнее — надо стирать защитную полоску перед вводом очередного кода — и это точно защищает от воровства.
Более того, благодаря тому, что банк точно знает, какой номер кода хочет, замаскировать воровство транзации очень затруднительно — операции не сходятся. Вместе с оповещением об операциях по email, это вместе даёт достаточную уверенность.
Пожалуй, единственный вопрос в том, что могут быть SMS — их воровоство труднее обнаружить. (Задумался, не отключить ли мне их нафиг).
Не упомянут более простой (чем аппаратный токен/смарткарта) и довольно распространенный вариант: флэшка с приватным ключом и сертификатом. Некоторые банки до сих пор используют. Плюс — почти не нужно дополнительного софта (достаточно jre), работает через java-applet в браузере. Минус — приватный ключ можно спереть и расшифровать при наличии кейлоггера.
Есть еще в сети такая штука как E-num — клиент для мобильных устройств (практически для всех осей есть версии), генерирующий одноразовые коды по принципу вопрос-ответ. Вбиваешь число-вопрос или сканируешь QR-код, получаешь число-ответ. У вебманей система безопасности во многом строится на этом сервисе, весьма удобная штука.
Sign up to leave a comment.
Карты, деньги, два… фактора