Давно пользуюсь телебанком ВТБ24.
Для работы предлагается две схемы защиты — карта переменных кодов и цифровой сертификат (в связке с ПО Inter-PRO).
Я использую карту переменных кодов, и каждый раз подписывая платёжки в банке, выслушиваю лекцию о том, как мне станет хорошо, если я перейду на использование цифрового сертификата.
С картой переменных кодов работать удобнее по банальной причине — телебанк можно использовать на любом устройстве, в том числе на том, где нет возможности установить искомое ПО. Самые яркие примеры — компьютер в интернет кафе (или в гостях), коммуникатор, неправильная ОС (как правильно заметили в комментах).
Основное преимущество же цифровой подписи — увеличенные лимиты платежей и усиленная безопасность. Как раз безопасность и вызывает у меня сильные сомнения, о чем я и хочу поделиться с тобой, %username%, своими мыслями.
Ниже перечислены плюсы использования цифровой подписи из листовки банка.
1. вы можете быть уверены что подключились к ВТБ24, а не к сайту очень похожему на него
2. хакер не устроит вам атаку Man in the middle (aka «Человек посередине»)
3. к серверу ВТБ24 не подключится под видом клиента злой хакер
Рассмотрим эти пункты в разрезе двух схем — переменные коды и цифровой сертификат.
Пункты 1 и 2 на самом деле схожи на 90%. На деле все сводится к сравнению: SSL против… какого-то там протокола. «Какой-то там» протокол, вероятно, более устойчив к «Man in the middle», потому что сессия шифруется с самого начала (точно не уверен, но иначе шаманство с Inter-PRO вообще теряет всякий смысл).
Пункт 3, на мой взгляд, основной камень в огород «усиленной безопасности». Предлагаю сравнить что должен сделать искомый хакер в том и другом случае, чтобы подключиться под видом клиента.
Цифровой сертификат. Сам сертификат крадётся трояном. Если он защищен каким-то паролем, то троян должен уметь украсть ваш пароль. Ничего сверхъестественного.
Карта. Надо украсть пароль, опять же трояном. Но, внимание — пароль бесполезен без офлайновой (и вообще не цифровой по своей сути) карты. Хакеру надо завладеть еще и вашей картой.
Итак, в пунках 1 и 2 выигрывает цифровой серификат. В пункте 3 — карта кодов. Сравнение схем безопасности сводится к сравнению вероятности возможных атак.
Во что вы верите больше — в мифического хакера, сидящего между вами и банком, который вклинивается в ваше с банком SSL соединение или в троян, ворующий ваш сертификат?
Я свой выбор сделал — я не верю в мифического хакера, но верю в троян. Мой выбор — карта переменных кодов.
P.S. После написания, показал статью жене, и она сказала, что при использовании схемы с Inter-PRO уже пару месяцев также требуется ввод кода с карты переменных кодов. Все встаёт на свои места. Но я останусь на текущей схеме из-за коммуникатора.
Для работы предлагается две схемы защиты — карта переменных кодов и цифровой сертификат (в связке с ПО Inter-PRO).
Я использую карту переменных кодов, и каждый раз подписывая платёжки в банке, выслушиваю лекцию о том, как мне станет хорошо, если я перейду на использование цифрового сертификата.
С картой переменных кодов работать удобнее по банальной причине — телебанк можно использовать на любом устройстве, в том числе на том, где нет возможности установить искомое ПО. Самые яркие примеры — компьютер в интернет кафе (или в гостях), коммуникатор, неправильная ОС (как правильно заметили в комментах).
Основное преимущество же цифровой подписи — увеличенные лимиты платежей и усиленная безопасность. Как раз безопасность и вызывает у меня сильные сомнения, о чем я и хочу поделиться с тобой, %username%, своими мыслями.
Ниже перечислены плюсы использования цифровой подписи из листовки банка.
1. вы можете быть уверены что подключились к ВТБ24, а не к сайту очень похожему на него
2. хакер не устроит вам атаку Man in the middle (aka «Человек посередине»)
3. к серверу ВТБ24 не подключится под видом клиента злой хакер
Рассмотрим эти пункты в разрезе двух схем — переменные коды и цифровой сертификат.
Пункты 1 и 2 на самом деле схожи на 90%. На деле все сводится к сравнению: SSL против… какого-то там протокола. «Какой-то там» протокол, вероятно, более устойчив к «Man in the middle», потому что сессия шифруется с самого начала (точно не уверен, но иначе шаманство с Inter-PRO вообще теряет всякий смысл).
Пункт 3, на мой взгляд, основной камень в огород «усиленной безопасности». Предлагаю сравнить что должен сделать искомый хакер в том и другом случае, чтобы подключиться под видом клиента.
Цифровой сертификат. Сам сертификат крадётся трояном. Если он защищен каким-то паролем, то троян должен уметь украсть ваш пароль. Ничего сверхъестественного.
Карта. Надо украсть пароль, опять же трояном. Но, внимание — пароль бесполезен без офлайновой (и вообще не цифровой по своей сути) карты. Хакеру надо завладеть еще и вашей картой.
Итак, в пунках 1 и 2 выигрывает цифровой серификат. В пункте 3 — карта кодов. Сравнение схем безопасности сводится к сравнению вероятности возможных атак.
Во что вы верите больше — в мифического хакера, сидящего между вами и банком, который вклинивается в ваше с банком SSL соединение или в троян, ворующий ваш сертификат?
Я свой выбор сделал — я не верю в мифического хакера, но верю в троян. Мой выбор — карта переменных кодов.
P.S. После написания, показал статью жене, и она сказала, что при использовании схемы с Inter-PRO уже пару месяцев также требуется ввод кода с карты переменных кодов. Все встаёт на свои места. Но я останусь на текущей схеме из-за коммуникатора.