Comments 39
Похожей системой сейчас пользуется Enum-Storage, как по мне, это самый удобный и в меру безопасный способ авторизации в WebMoney без излишней паранойи.

А вообще, статья была бы замечательной, если бы автор вдобавок привел примеры подобных сервисов, и где их можно применить. Потому что лично я не встречал еще подходящих вариантов, кроме E-num`a.
Большинство европейских банков бесплатно выдают клиентам девайсы для генерации разовых ключей для работы с аккаунтами через интернет, и эти девайсы работают по аналогичному принципу. Выглядит это так:


UFO landed and left these words here
Какой вы наивный :)

Например, студенту, который сидит в этом кафе заместо админа-кассира и считает себя умнее всех на свете. Почему бы не поставить на компы по кейлоггеру, авось чего интересного и откопается, мало ли… Все равно ни одно собака не заметит.
Если он что и откопает — ему это не нужно. Его интересуют аккаунты на вконтакте и торренте.
Если человеку нужен достут в туже корп. почту — он не будет её искать в и-нет кафе. Вспомните анектод про неуловимого Джо. Паранойя не есть хорошо.
Его интересуют аккаунты на вконтакте и торренте.

Не путайте блондинку, не знающую ничего, кроме вконтакта, и студента-«кулхацкера», достаточно умного для того, чтобы устроиться в интернет-кафе и установить на машины кейлоггер. Последний по крайней мере знает, что делать с чужим логином и паролем от гмыла. Аналогично с корпоративной почтой.

Ему не нужно что-то целенаправленно, мы не говорим о злоумышленнике, который стремится получить доступ к мылу конкретной фирмы. А лишь о парне, которому пригодится все зачем-нибудь.
Например, чтобы, украв логин-пароль на gmail, разослать всем в контакт листе: «привет, срочно нужны вебмани на оплату хостинга, отошли 10 WMZ на кошелек Z....., завтра одам».
А послезавтра все операции на кошелке замораживаются.
Да и на гмэйле разве собираются делать одноразовые пароли?
>А послезавтра все операции на кошелке замораживаются.

До послезавтра злоумышленник уже успеет увести пару сотен.

> Да и на гмэйле разве собираются делать одноразовые пароли?

Я об этом ничего не знаю, сомневаюсь что в скором времени собираются. В комменте ниже я написал что использовал бы эту возможность, если бы она была реализована. Вообще, мое мнение, многим сервисам это не помешало бы (да даже тем же одноклассникам и вконтакте), чтобы можно было бы из любой дыры безопасно логиниться.
/me с ужасом подумал о вконтактовцах, которых Дуров насильно пересаживает на одноразовые пароли.
Ни копейки не снимет, пока достаточно денег не наберётся. Психология у человека такая.
Особо больным паранойикам можно носить с собой флешку с пассами в факлике. контроль + цэ -> контроль + ви -> готово. Совсем не страшно. А от вирусов обороняться не так уж сложно.
> Ни копейки не снимет, пока достаточно денег не наберётся. Психология у человека такая.

Тут дело не в психологии, а в технологии.

Поверьте, будет снимать каждую копейку сразу, как только она появится в кошельке, в течении нескольких минут, если не секунд. И сразу переводить куда-либо типа E-golda.

Причем делать это будет не вручную, зачем ему еще на это время тратить, а скриптом, который будет постоянно автоматически кошелек мониторить.

Об этих и многих других методах мошенников можете ознакомиться например тут: oborona.owebmoney.ru/
Кейлоггер может быть поставлен не обязательно студентом (хотя и студента нельзя исключать), а, например, трояном, который словила, скажем, школьница, которая сидела за этим компом до этого.
UFO landed and left these words here
Студент? Студент ставящий кейлогир в и-нет кафе? Не смешите!

Вы хотите сказать что я не существую?
Почему «делать это будет»? Неверно… Уже делается так… И уже обросло бородой… с древних 2005+ годов периодически воруют те же вебмани, переводят по цепочке и ищи-свищи…
Не забываем про трояны и кейлоггеры, которые воруют пароли.
Именно они представляют наибольшую опасность, и, скажем, в интернет-кафе их обычно рассадник.
Вообще это уже лет 10 как используется в ряде областей, например в интернет банках, где специальные девайсы генерят разовые ключи. Но обычным веб ресурсам этой возможности также недостает. Очень здраво, спасибо что обратили внимание на эту потребность.

С удовольствием бы использовал фичу «сгенерировать N одноразовых паролей» в gmail-е, если бы она была. То есть можно перед поездкой куда-либо сгенерировать себе десяток разовых паролей, забить в мобильник (можно несколько изковеркав их по какому-то своему признаку, типа добавив пару сомволов в начале), и вперед гулять по интернет-кафе в аэропортах.
UFO landed and left these words here
Можно удалённо убить с другого компьютера забытую сессию (в самом низу, «Details» у «Last account activity»).
Например, «Приват» (украинский банк) каждый раз высылает через SMS новый пароль. Вполне юзабельно.
у ВТБ24 для доступа с компьютера к Телебанку выдается карточка с переменными кодами.
В общем, решений тьма. Одно из них — RSA двухфакторная авторизация.
так используется уже давно.
например, в интернет-банкинге Альфа банка при входе в систему на телефон приходит смс-ка.

п.с. а про хабракат уже неприлично писать?
Вот так можно из одного пароля сделать много одноразовых со своим алфавитом: www.grc.com/ppp

В мой интернет банк сейчас можно попасть только если знаешь а)логин б)длинный многоразовый пароль и в) одноразовый пароль из 4 цифр (это 1000 вариантов). Если одноразовый пароль вводится 3 раза неправильно, аккаунт блокируется и нужно самому идти в банк просить выдать новый набор одноразовых паролей. Когда на бумажке одноразовые пароли начинают заканчиватся, банк сам высылает новый набор по почте.
Опечатка: не 1000 вариантов, а 10000. 4 цифры от нуля до девяти это 13,28 бит энтропии (4 × 3,32 бит = 13,28 бит). При том что угадывать можно только 3 раза, 10000 вариантов дают достаточно сильную зашиту от брутфорса.
Ну хоть кат сделайте, а так тема хорошая. Уже реализованная в банковских системах, но такая функциональность в каких нить майл ру думаю им не повредит.
в качестве средства получения такого пароля можно использовать СМС. Правда нужно будет настраивать поддержку на корпоративном сайте (раз уж речь в статье зашла о нем). Как вариант можно использовать функцию операторов Email2sms.
Помню в книге Кевина Митника было про то, как в какой-то фирме использовались такие вот брелки, которые через какой-то определённый промежуток времени менял ключ для авторизации в системе.
Я собираюсь реализовать систему одноразовых паролей на своем стартапе, чтобы можно было безопасно модерить сайт из интернет-кафешек. Сделаю проще, просто сгенерю кучу случайных паролей, распечатаю их, и возьму эту бумажку с собой. При авторизации пароль проверяется и тут же удаляется из базы, воспользоваться им второй раз уже нельзя. Если бумажку потеряешь то тоже ничего страшного, ведь ни адреса, ни логина на ней нет. А когда доберешься до нормального надежного компьютера, просто их сотрешь, или даже просто можно указать срок, когда пароли будут действовать.
Only those users with full accounts are able to leave comments. Log in, please.