Комментарии 154
НЛО прилетело и опубликовало эту надпись здесь
кстати недавно тот же BA-CA пошёл навстречу всем, кто постоянно теряет бумажки :) одноразовые цифровые подписи стали рассылать SMSками. Очень удобно!
НЛО прилетело и опубликовало эту надпись здесь
давно известный факт, что американский сотовый рынок на 10 лет отстаёт от европейского. каюсь, материал писал из суровой европейской реальности :)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Е-mail требует дополнительных телодвижений - запуск почтового клиента или браузера, а им нужен доступ к интернету, а это медленно и ненадёжно и часто дорого, особенно в роуминге.
СМС отправить часто дешевле(особенно бедным иностранным студентам), чем позвонить, и занимает меньше времени и не требует одновременного присутствия обоих абонентов онлайн.
СМС отправить часто дешевле(особенно бедным иностранным студентам), чем позвонить, и занимает меньше времени и не требует одновременного присутствия обоих абонентов онлайн.
НЛО прилетело и опубликовало эту надпись здесь
Почему это? Онлайн-банкинг предоставляют, на сколько мне известно, все банки. А самые дешёвые из них предоставляют только онлайн-банкинг и имеют офис где-нибудь на острове. Студенту без банка - никак, однако.
А комментировал я ваше совершенно частное мнение о том, что смс нужны только 2% нормальных человеков.
А комментировал я ваше совершенно частное мнение о том, что смс нужны только 2% нормальных человеков.
ерунда все это, единственная защита - никогда не доверять свои деньги виндовсу! так как в виндовсе троян запущенный в систему может отдать нужную команду в нужный момент времени открытому на компьютере окошку даже если оно запущено от другого юзера!
то есть все просто - сидит троян, как только юзер зашел в банк - сработал, жулику вовсе не обязательно совсем украсть доступ - достаточно делать что угодно в момент когда юзер вошел в банк.
пользуйтесь нормальными ос и не будет таких проблем
то есть все просто - сидит троян, как только юзер зашел в банк - сработал, жулику вовсе не обязательно совсем украсть доступ - достаточно делать что угодно в момент когда юзер вошел в банк.
пользуйтесь нормальными ос и не будет таких проблем
Очередной линуксоид-холиворщег?
Вы не ошиблись адресом? При чём здесь Windows? В этой ветке мы рассуждали о SMS и студентах. Это раз.
Второе: когда юзер вошёл в банк, троян сможет только просмотреть инфо, но ничего сделать не сможет. Для любой операции необходим TAN, по крайней мере, у меня в Ситибанке. Вот при вводе TAN-а троян может что-нибудь сделать, это да. Но слишком мала вероятность, что именно мне на комп попадёт троян, расчитанный именно на мой банк, на мою версию OS, на мой браузер, который при этом сможет обойти мои аппаратный и программный файрволы и мои антивирусные мониторы. Вероятность, что вас ударят пабашке чем-нибудь тяжёлым и отберут кошелёк или угрозами заставят отдать банковскую карточку и сказать PIN значительно выше, имхо.
Ну и третье: нормальная (та, что является нормой для большинства владельцев ПК) ОС на данный момент это как раз MS Windows.
Вы не ошиблись адресом? При чём здесь Windows? В этой ветке мы рассуждали о SMS и студентах. Это раз.
Второе: когда юзер вошёл в банк, троян сможет только просмотреть инфо, но ничего сделать не сможет. Для любой операции необходим TAN, по крайней мере, у меня в Ситибанке. Вот при вводе TAN-а троян может что-нибудь сделать, это да. Но слишком мала вероятность, что именно мне на комп попадёт троян, расчитанный именно на мой банк, на мою версию OS, на мой браузер, который при этом сможет обойти мои аппаратный и программный файрволы и мои антивирусные мониторы. Вероятность, что вас ударят пабашке чем-нибудь тяжёлым и отберут кошелёк или угрозами заставят отдать банковскую карточку и сказать PIN значительно выше, имхо.
Ну и третье: нормальная (та, что является нормой для большинства владельцев ПК) ОС на данный момент это как раз MS Windows.
виндовс тут при том что только под ней одной возможно такое катастрофическое развитие троянов что весь мир спамом со взломанных виндов загаживают и сайты досят, а трояны это програмки удаленного доступа к зараженным компьютерам которые с ним могут сделать что угодно вплоть до перепрошивки биоса на материнке, биоса винестера, микропрограммы в процессоре и т.д.
так вот трояну в данном случае вовсе не обязательно что-то воровать, он может просто дождаться когда юзер сам войдет в свой банкинг, сам введет все нужные коды - и просто отдать открытому окошку клиент банкинга нужные команды
так вот трояну в данном случае вовсе не обязательно что-то воровать, он может просто дождаться когда юзер сам войдет в свой банкинг, сам введет все нужные коды - и просто отдать открытому окошку клиент банкинга нужные команды
Абонплата SMS-сервиса среднестатистическому американцу не по средствам? Или спамеры одолевают?
Угу. И, главное, эти коды от "злого хакера" защитят всё равно. Это такая иллюзия безопасности: если на вашем компьютере вредоносных программ нет, то эти ухищрения не нужны, если есть - она не поможет всё равно. Ибо если на вашем компьютере могут работать вредоносные программы, то можно сушить вёсла: достаточно простенького плагина (к Firefox'у пишется за пару дней работы, для MS IE - пару недель) и всё: клиент сам, своими руками подпишет платёжку переводящую деньги в офшор. Просто на экране он будет видеть одну платёжку, а реально подписываться будет другая.
Специалисты по безопасности знают что "мнимая" безопасность - хуже чем никакой, так что сказать что я одобряю подход BA-CA я не могу: если это сделано ради кроссплатформенности (вместо Java-Applet'а) - то это я ещё понять могу, но если вместо отдельного устройства - увы: это неадекватная замена...
Можно ли от этого защититься ? Да, разумеется. Нужно вынести всю процедуру подписи из компьютера - это не потребует, кстати, ввода всех параметров в отдельную железяку: она может читать данные с экрана (ничего суперхитрого - просто анимированный GIF и два копеечных светодиода) после чего может показать вам номер счёта, сумму, код валюты - и только после этого сгенерировать код подтверждения.
Но это, понятно, вариант для параноиков. Что же касается удобства пользования... Ну тут всё просто: чем больше банк тем больше любое изменение должно пройти согласований.
Специалисты по безопасности знают что "мнимая" безопасность - хуже чем никакой, так что сказать что я одобряю подход BA-CA я не могу: если это сделано ради кроссплатформенности (вместо Java-Applet'а) - то это я ещё понять могу, но если вместо отдельного устройства - увы: это неадекватная замена...
Можно ли от этого защититься ? Да, разумеется. Нужно вынести всю процедуру подписи из компьютера - это не потребует, кстати, ввода всех параметров в отдельную железяку: она может читать данные с экрана (ничего суперхитрого - просто анимированный GIF и два копеечных светодиода) после чего может показать вам номер счёта, сумму, код валюты - и только после этого сгенерировать код подтверждения.
Но это, понятно, вариант для параноиков. Что же касается удобства пользования... Ну тут всё просто: чем больше банк тем больше любое изменение должно пройти согласований.
НЛО прилетело и опубликовало эту надпись здесь
У меня такой брелок для авторизации в VPN.
Как я понимаю из комментария khim, такие одноразовые TAN-ы, хоть с бумажки, хоть с красивого брелока не помогут против плагина к браузеру ведь пользователь собственноручно введёт правильный пароль и отдаст команду.
В крайнем номере германского CHIP есть образ Damn Small Linux под VMWare-Player как раз для онлайн-банкинга, но я всё забываю достать его из рюкзака, прочитать и применить по назначению (оно и к лучшему денег меньше трачу).
Как я понимаю из комментария khim, такие одноразовые TAN-ы, хоть с бумажки, хоть с красивого брелока не помогут против плагина к браузеру ведь пользователь собственноручно введёт правильный пароль и отдаст команду.
В крайнем номере германского CHIP есть образ Damn Small Linux под VMWare-Player как раз для онлайн-банкинга, но я всё забываю достать его из рюкзака, прочитать и применить по назначению (оно и к лучшему денег меньше трачу).
Любая программная система вскрывается - это аксиома. В том числе и DSL под VMPlayer'ом. Вопрос в затратах. Если "жучок" не пишется специально под ваш банк, то и вещи применяемые первыми двумя банками годятся, если пишется - то поможет только железяка с отдельным экраном.
К сожалению зачастую всё упирается в тот простой факт, что как работают одноразоывае пароли - заказчики понять могут, а почему они не являются панацеей - нет. В результате рождаются разные подобные схемы. Бумажка с сонтей кодов закрытых фольгой ничуть не лучше (и не хуже) подобного брелка, а стоит копейки - но это ж не модно!
Брелок с PIN'ом на железке - уже гораздо лучше защищает от физических аттак (даже если брелок украдут использовать его не получится), но от трояна - не защитит всё равно...
К сожалению зачастую всё упирается в тот простой факт, что как работают одноразоывае пароли - заказчики понять могут, а почему они не являются панацеей - нет. В результате рождаются разные подобные схемы. Бумажка с сонтей кодов закрытых фольгой ничуть не лучше (и не хуже) подобного брелка, а стоит копейки - но это ж не модно!
Брелок с PIN'ом на железке - уже гораздо лучше защищает от физических аттак (даже если брелок украдут использовать его не получится), но от трояна - не защитит всё равно...
А я-то надеялся, что DSL под VMWare никакому трояну не под силу
Распространённое заблуждение :-) Никакой троян запущенный внутри Guest-системы (в данном случае DSL) не сможет сломать Host-систему (то есть Windows), но, разумеется, троян запущенный в Host-системе может сделать с Guest системой всё, что угодно. Что-то изменить можно только на уровне OS: в Windows Vista есть штучка под названием "Secure I/O" и она (в теории) может решить эту проблему, но как оно будет на практике - пока что одному богу ведомо.
P.S. Даже некоторые keylogger'ы будут успешно отслеживать ваши пароли при использовании DSL в VMPlayer'е - хотя не все, конечно...
P.S. Даже некоторые keylogger'ы будут успешно отслеживать ваши пароли при использовании DSL в VMPlayer'е - хотя не все, конечно...
Понял, спасибо.
Придётся вспоминать пароль на свой линукс
Придётся вспоминать пароль на свой линукс
Тео по поводу защищенности виртуализации в x86, помнится, весьма отрицательно отзывался ;)
Спасибо.
Загрузился в edubuntu буду теперь использовать его для банкинга, тем более, он неожиданно заработал без косяков, даже определил правильно гракарту и звуковуху и даже клавиатуру!
Сперва я откопал старый(прошлогодний) Knoppix, так он, зараза, не пошёл не находит диска, с которого загружается. Диск просто останавливается, а когда кноппикс начинает его грузить, он не успевает раскрутиться и тупой загрузчик, видать, по таймауту прекращает попытки прочитать данные и ищет на других разделах :) Помню, в детстве я специально раскручивал для него диск как-то, но I am too old for this shit :)
Загрузился в edubuntu буду теперь использовать его для банкинга, тем более, он неожиданно заработал без косяков, даже определил правильно гракарту и звуковуху и даже клавиатуру!
Сперва я откопал старый(прошлогодний) Knoppix, так он, зараза, не пошёл не находит диска, с которого загружается. Диск просто останавливается, а когда кноппикс начинает его грузить, он не успевает раскрутиться и тупой загрузчик, видать, по таймауту прекращает попытки прочитать данные и ищет на других разделах :) Помню, в детстве я специально раскручивал для него диск как-то, но I am too old for this shit :)
Есть системы которые защищают, пример:
Девайс в виде калькулятора, при подписании вычисляется хеш платежки -> вбивается в девайсину -> Получается ключик, вводится в поле, и вуоля ...
Если еще плюс на машине с к/б никуда по стремным сайтам не лазить то довольно нормальная защита, хотя я бы добавил к этой девайсине еще показ нескольких цифр счета и суммы ...
Девайс в виде калькулятора, при подписании вычисляется хеш платежки -> вбивается в девайсину -> Получается ключик, вводится в поле, и вуоля ...
Если еще плюс на машине с к/б никуда по стремным сайтам не лазить то довольно нормальная защита, хотя я бы добавил к этой девайсине еще показ нескольких цифр счета и суммы ...
Как уже говорил 
khim
1. Пользователь входит в онлайн-банкинг, всё как обычно, троян просто отмечает про себя этот факт.
2. Пользователь начинает транзакцию. Вводит какие-то свои данные, и т. д. Троян в это время в фоне тоже начинает транзакцию: копирует нужные ему данные из пользовательской формы в свою, другие поля заполняет своими данными.
3. Приходит очередь хеша платёжки. Троян перехватывает в браузере отображение этого хеша (перехватывает отображение этой страницы и отображает свою, внедряет свой javascript в нормальную страницу тут есть варианты). Суть в том, что пользователю отображается хеш от трояна.
4. Пользователь всё вводит, троян забирает хеш и заканчивает транзакцию.
5. После этого можно показать пользователю какую-нибудь ошибку и вывести уже нормальный хеш от его транзакции. Он введёт, и его транзакция завершится без ошибок. Он может даже ничего и не заподозрить.
khim1. Пользователь входит в онлайн-банкинг, всё как обычно, троян просто отмечает про себя этот факт.
2. Пользователь начинает транзакцию. Вводит какие-то свои данные, и т. д. Троян в это время в фоне тоже начинает транзакцию: копирует нужные ему данные из пользовательской формы в свою, другие поля заполняет своими данными.
3. Приходит очередь хеша платёжки. Троян перехватывает в браузере отображение этого хеша (перехватывает отображение этой страницы и отображает свою, внедряет свой javascript в нормальную страницу тут есть варианты). Суть в том, что пользователю отображается хеш от трояна.
4. Пользователь всё вводит, троян забирает хеш и заканчивает транзакцию.
5. После этого можно показать пользователю какую-нибудь ошибку и вывести уже нормальный хеш от его транзакции. Он введёт, и его транзакция завершится без ошибок. Он может даже ничего и не заподозрить.
...и ничего не получится, потому что пользователь ввёл в калькулятор данные от своей платёжки, и хеш, соответственно, к генерированной во тьме плагином плагином не подходит.
Вы не поверите - но про это я тоже уже писал выше. Беда в том, что куча банков (хорошо если не большинство) выдают "калькуляторы", в которые никакие суммы не вбиваются, а которые просто тупо генерят one-time-password'ы, которые используются для "типа подписи"...
От плагина к браузеру тоже можно защититься - например, одновременно со вводом одноразового PIN клиенту с помощью "труднораспознаваемой" картинки предлагается ввести данные о платеже (например, "введите первые четыре и последнюю цифру счета, на который будут переводиться деньги, а также первую, третью и пятую цифры суммы платежа"). Естественно, набор запрашиваемых данных должен быть каждый раз разным и выбираться случайным образом. Трояну "ввести" эти данные за приемлемое время - порядка нескольких минут - практически нереально, а если они не совпадут с данными из формы - транзакция не проходит.
Против лома нет приёма... если нет другого лома.
Я про методы авторизации. Существуют относительно безопасные методы авторизации без доп. железа даже при условиях, что злоумышленник считывает инфу с клавиатуры, экрана и вообще стоит рядом с Вами и наблюдает что и как Вы делаете...
Я про методы авторизации. Существуют относительно безопасные методы авторизации без доп. железа даже при условиях, что злоумышленник считывает инфу с клавиатуры, экрана и вообще стоит рядом с Вами и наблюдает что и как Вы делаете...
а можно поподробней про такие методы?
Расскажите плз поподробнее, хотя бы в какую сторону копать, чтобы узнать побольше о таких методах.
Подробно сам не знаю =)
Просто в универе препод давал задание придумать такой метод авторизации.
Попробую описать один из вариантов:
пароль например: 1234
на странице авторизации генерятся в случайном порядке следующие ссылки (картинки и т.д.):
432
768
159
Соответственно пользователь жмёт на 2 -> 1 -> 5 -> 9, т.е. выбирает цифры диагонально противоположные.
затем пользователь жмёт кнопку "login" и на сервак отправляются для сверки две последовательности цифр: первоначальная (сгенерированная последовательность девяти цифр) и выбранная пользователем.
Таким образом пользователь не вводит пароль явным образом. С точки зрения юзабельности такая авторизация несложна. Есть простор для усложнения авторизации:
1 - вместо цифр можно использовать всё, что угодно (буквы, практически любые картинки и т.д.)
2 - можно придумать множество алгоритмов, по которым пользователь выбирает цифры пароля
3 - и т.д.
p.s. я уверен, что есть и другие подобные методы (и не один), описанные в литературе. Вобщем киньте ссылку плиз, если чего накопаете...
Просто в универе препод давал задание придумать такой метод авторизации.
Попробую описать один из вариантов:
пароль например: 1234
на странице авторизации генерятся в случайном порядке следующие ссылки (картинки и т.д.):
432
768
159
Соответственно пользователь жмёт на 2 -> 1 -> 5 -> 9, т.е. выбирает цифры диагонально противоположные.
затем пользователь жмёт кнопку "login" и на сервак отправляются для сверки две последовательности цифр: первоначальная (сгенерированная последовательность девяти цифр) и выбранная пользователем.
Таким образом пользователь не вводит пароль явным образом. С точки зрения юзабельности такая авторизация несложна. Есть простор для усложнения авторизации:
1 - вместо цифр можно использовать всё, что угодно (буквы, практически любые картинки и т.д.)
2 - можно придумать множество алгоритмов, по которым пользователь выбирает цифры пароля
3 - и т.д.
p.s. я уверен, что есть и другие подобные методы (и не один), описанные в литературе. Вобщем киньте ссылку плиз, если чего накопаете...
Вобщем копать нужно в сторону переноса части логики, которую выполняют обычно скрипты, в мозг пользователя, который пытается авторизоваться.
Естесственно в этот глупый мозг не засунуть сильно хитрый алгоритм. Да и при желании злоумышленник рано или поздно просечёт всю фичу подобной авторизации, НО гемора для него будет значительно больше. Чего нам и требовалось =)
Естесственно в этот глупый мозг не засунуть сильно хитрый алгоритм. Да и при желании злоумышленник рано или поздно просечёт всю фичу подобной авторизации, НО гемора для него будет значительно больше. Чего нам и требовалось =)
www.fin-online.ru
это же схема challenge-response, если я не ошибаюсь?
НЛО прилетело и опубликовало эту надпись здесь
Challenge-response algorithm. Схема очень простая, вот самый простой вариант (предполагается, что есть некий ПАРОЛЬ к ресурсу):
0) Клиент инициирует запрос на авторизацию (загружает страницу логина)
1) Сервер при создании страницы логина генерит случайную строку символов
2) Клиент в уме выполняет генерацию хеш-суммы на основе пароля и приведённой строки (классический пример: md5(STRING + md5(PASSWORD)))
3) Клиент вводит в браузер получившуюся строку и отправляет назад
4) сервер тоже знает пароль и выполняет те же действия, что и пользователь, получает хеш, сравнивает и выполняет авторизацию
Естественно, возможно огромное количество вариаций этого метода с картинками, например.
0) Клиент инициирует запрос на авторизацию (загружает страницу логина)
1) Сервер при создании страницы логина генерит случайную строку символов
2) Клиент в уме выполняет генерацию хеш-суммы на основе пароля и приведённой строки (классический пример: md5(STRING + md5(PASSWORD)))
3) Клиент вводит в браузер получившуюся строку и отправляет назад
4) сервер тоже знает пароль и выполняет те же действия, что и пользователь, получает хеш, сравнивает и выполняет авторизацию
Естественно, возможно огромное количество вариаций этого метода с картинками, например.
У многих банков есть еще digi-pass, устройство вроде калькулятора, после ввода определенной комбинации делает вычисления не по традиционным математическим правилам.
Так же вместо бумажек бывают карточки, вроде кредитных, со списком пинкодов. Еще бывают специальные программы, софт+ключ, вводишь кода с сайта, выдает пин, который надо ввести в форму.
Есть еще вариант отправки смс, когда кто-то логинится в счет. Если смс пришла, но логинишься не ты, звонишь в банк и блокируешь счет.
Так же вместо бумажек бывают карточки, вроде кредитных, со списком пинкодов. Еще бывают специальные программы, софт+ключ, вводишь кода с сайта, выдает пин, который надо ввести в форму.
Есть еще вариант отправки смс, когда кто-то логинится в счет. Если смс пришла, но логинишься не ты, звонишь в банк и блокируешь счет.
"Московский банк реконструкции и развития" использует методику аналогичную BA-CA.
Так что цивилизация уже здесь :-)
Так что цивилизация уже здесь :-)
в том-то и дело, что ВЕДУЩИЕ банки мира сидят в какой-то жопе, когда небольшие собраться делают просто великолепные системы!
Опишу ту систему, которой пользуюсь я и многие другие в моей маленькой стране. Количество крупных банков на нашем рынке эквивалентно количеству пальцев на одной руке и все они используют почти одну и ту же систему, написанную в лохматых 90х и доведенную до ума собственным штатом программистов. Но не в этом суть. Суть в методах защиты информации, о чем и пойдет ниже речь. На момент существует 3 типа авторизации клиентов интернет-банка, все они соответствуют некоторой степени параноидальности, но тем не менее я не могу назвать хоть один из них неудобным. И так, начнем:
Способ 1, код-карточка с 30 цифровыми паролями + постоянное имя пользователя + постоянный пароль
При входе запрашивается логин, который вы получаете в конторе банка, постоянный пароль который обязательно надо самостоятельно менять раз в месяц и один из кодов на карточке. Один из этих же кодов требуется для осуществления перевода. Вывод изображения требуемого кода сделан хитрым образом, напоминающим каптчу. Теоретически, имея злостный вирус на компьютере, можно вытащить эти данные, но тут есть два нюанса: во-первых, существует дневной лимит на общую сумму денег переводимых с код-карточкой, во-вторых, любая подозрительная транзацкия на крупную сумму денег или на зарубежный счет (точнее даже все зарубежные переводы) проводится через оператора, который при подозрении заморозит перевод до выяснения.
Способ 2, постоянный логин + постоянный пароль + пин-калькулятор
По сути своей этот способ похож на предыдущий, с одним лишь отличием, что все код вводятся из пин-калькулятора, это такая штука, размером с брелок, которую можно купить в банке примерно за 10 уе и которая генерирует для вас каждый раз новые валидные ключи для подтверждения операций, с этим способом отсутсвует дневной лимит на какую-либо сумму так-как метод считаеся безопасным
Способ 3, ID-карточка + код-карточка с 30 паролями или пин-калькулятор
Так как в нашей маленькой стране есть определенные IT амбиции, то несколько лет назад был принят и успешно реализован проект внедрения ID-карточек(они же смарт-карточки) среди населения, и оными обладает большая часть проживающих здесь людей. Для использования такого рода карточек нужен ридер, стоит он тоже порядка 10уе, но последнее время его раздают повсеместно с всякого рода покупками в качестве бонуса. Используя ридер и пин-коды к карточке, вы обновляете свои сертификаты ( они истекают через какой-то промежуток времени ) и можете использовать эту карточку для идентификации себя любимого как в банке, так и в куче других организаций ( вы не поверите, но используя их можно даже голосовать на выборах в местную думу!).
Для организаций, чей оборот превышает какую-то определенную сумму ( точно не помню ) обязательно использование ID-карты + пин-калькулятора для человека осуществляющего платеж ( бухгалтера, например )
Используя такую систему, банки пошли на значительную автоматизацию переводов и теперь переводы внутри какого-то определенного банка моментальны, а транзакции между банками проводятся 8 раз в день тоже автоматически, что может гарантировать, что внутри страны ваш перевод будет осуществлен в течении суток.
Надеюсь не утомил вам своим постом и сумел раскрыть тему.
Welcome to Estonia!
Способ 1, код-карточка с 30 цифровыми паролями + постоянное имя пользователя + постоянный пароль
При входе запрашивается логин, который вы получаете в конторе банка, постоянный пароль который обязательно надо самостоятельно менять раз в месяц и один из кодов на карточке. Один из этих же кодов требуется для осуществления перевода. Вывод изображения требуемого кода сделан хитрым образом, напоминающим каптчу. Теоретически, имея злостный вирус на компьютере, можно вытащить эти данные, но тут есть два нюанса: во-первых, существует дневной лимит на общую сумму денег переводимых с код-карточкой, во-вторых, любая подозрительная транзацкия на крупную сумму денег или на зарубежный счет (точнее даже все зарубежные переводы) проводится через оператора, который при подозрении заморозит перевод до выяснения.
Способ 2, постоянный логин + постоянный пароль + пин-калькулятор
По сути своей этот способ похож на предыдущий, с одним лишь отличием, что все код вводятся из пин-калькулятора, это такая штука, размером с брелок, которую можно купить в банке примерно за 10 уе и которая генерирует для вас каждый раз новые валидные ключи для подтверждения операций, с этим способом отсутсвует дневной лимит на какую-либо сумму так-как метод считаеся безопасным
Способ 3, ID-карточка + код-карточка с 30 паролями или пин-калькулятор
Так как в нашей маленькой стране есть определенные IT амбиции, то несколько лет назад был принят и успешно реализован проект внедрения ID-карточек(они же смарт-карточки) среди населения, и оными обладает большая часть проживающих здесь людей. Для использования такого рода карточек нужен ридер, стоит он тоже порядка 10уе, но последнее время его раздают повсеместно с всякого рода покупками в качестве бонуса. Используя ридер и пин-коды к карточке, вы обновляете свои сертификаты ( они истекают через какой-то промежуток времени ) и можете использовать эту карточку для идентификации себя любимого как в банке, так и в куче других организаций ( вы не поверите, но используя их можно даже голосовать на выборах в местную думу!).
Для организаций, чей оборот превышает какую-то определенную сумму ( точно не помню ) обязательно использование ID-карты + пин-калькулятора для человека осуществляющего платеж ( бухгалтера, например )
Используя такую систему, банки пошли на значительную автоматизацию переводов и теперь переводы внутри какого-то определенного банка моментальны, а транзакции между банками проводятся 8 раз в день тоже автоматически, что может гарантировать, что внутри страны ваш перевод будет осуществлен в течении суток.
Надеюсь не утомил вам своим постом и сумел раскрыть тему.
Welcome to Estonia!
Друг юзает Шведский банк. Показывал как работает со счётом через логин-пароль-пинкалькулятор. Я так понял, в скандинавии эта система авторизации стара как говно мамонта, надёжна и удобна.
Ссобственно да, учитывая, что почти все местные банки принадлежат шведам, в этом есть смысл. Хотя вот вопрос, кто раньше начал использовать интернет-банкинг вызывает сомнения, у нас надежно работающая система появилась в 1998 году, насколько я помню, у шведов тогда еще и конь не валялся на этом поприще.
способ доступа использующий посылку паролей по почте меня вообще убивает напрочь: достаточно знать логин и пароль, а коды доступа можно свободно получить в соседском "мэйлбоксе" в подъезде.
способ доступа использующий посылку паролей по почте меня вообще убивает напрочь: достаточно знать логин и пароль, а коды доступа можно свободно получить в соседском "мэйлбоксе" в подъезде.
В швейцарских банках подобные вещи легко делались с использованием телефона в начале 90х... Они просто перенесли уже отлаженную и работающую схему в Internet... Кто первым перенёс - не так и важно, важно что ничего принципиально нового изобретать не пришлось...
Логично, проще и надежнее использовать уже отработанные технологии. Вообще, по-моему дилема любого интернет банка - баланс между безопасностью данных и удобством пользования. К тому-же почти любая мера безопасности может быть обезврежена тупостью самого пользователя банка, человеческий фактор так сказать.
Чем крупнее компания, тем сложнее в ней происходят процессы внедрения новых технологий - длиннее цепочки согласований.
Соответственно, чтобы сделать хорошую систему онлайн банкинга, недостаточно нагрузить отдел разработок - необходимо согласовать процедуры с отделом процессинга, со счетоводами, еще с кучей отделов. В итоге, каждый считает своим долгом внести свою лепту в требования к системе, что и приводит к печальному результату.
Может быть, как-нибудь расскажу о вопиющих примерах "постановки задачи" в больших фирмах.
Соответственно, чтобы сделать хорошую систему онлайн банкинга, недостаточно нагрузить отдел разработок - необходимо согласовать процедуры с отделом процессинга, со счетоводами, еще с кучей отделов. В итоге, каждый считает своим долгом внести свою лепту в требования к системе, что и приводит к печальному результату.
Может быть, как-нибудь расскажу о вопиющих примерах "постановки задачи" в больших фирмах.
В стародавние времена, довелось мне поработать в Инкомбанке. На каких там костылях и залипухах стоял банковский софт ("операционный день") в региональных отделах, страшно вспоминать. Думаю в центральном была такая же веселуха.
Да уж, даже проводя банальные рекламные кампании для мелких украинских банков, приходилось натыкаться на десятки подводных камешков. Что уж говорить о девелопменте громоздкой системы.
Хреновое вам руководство попадалось, чесслово. Всё прекрасно ставится, утверждается и реализуется. Другой вопрос в том, что далеко не всегда конторы готовы расставаться с деньгами на внедрение чего-то нового. По крайней мере, пока от старого больше пользы, чем убытков.
Но да это и правильно, не так ли?
Но да это и правильно, не так ли?
Мне разное руководство попадалось. И обобщение не означает автоматического включения всех крупных организаций до единой. Действительно, есть и огромные корпорации, в которых управление организовано рационально (что, кстати, требует огромных усилий от высшего руководства), но все-таки, если смотреть правде в глаза, это на сегодняшний день скорее исключение, чем правило.
надеюсь, они хотя бы по https дают доступ?
Офигеть вы Америку открыли, чесслово.
Посмотрите лучше, что творится у нас.
Есть, например, Альфа-банк. Который шёл по пути от конвертов с 30 кодами для переводов, требуемых при суммах оных больше 3 тысяч рублей, до присылаемых по SMS одноразовых паролей, которыми нужно подтверждать всё, вплоть до платежа в 100 рублей на мобильник. И, я вам скажу, для нас это уже прорыв.
А насчёт логгеров, плагинов и прочего.. Не нужно смотреть на западные банки - там всё просто - при фроде есть страховое покрытие убытков банка. И до тех пор, пока будет так, банкам совершенно не интересно заниматься развитием безопасности доступа к своим системам.
Посмотрите лучше, что творится у нас.
Есть, например, Альфа-банк. Который шёл по пути от конвертов с 30 кодами для переводов, требуемых при суммах оных больше 3 тысяч рублей, до присылаемых по SMS одноразовых паролей, которыми нужно подтверждать всё, вплоть до платежа в 100 рублей на мобильник. И, я вам скажу, для нас это уже прорыв.
А насчёт логгеров, плагинов и прочего.. Не нужно смотреть на западные банки - там всё просто - при фроде есть страховое покрытие убытков банка. И до тех пор, пока будет так, банкам совершенно не интересно заниматься развитием безопасности доступа к своим системам.
НЛО прилетело и опубликовало эту надпись здесь
почитал и понял, что систему безопасности корейского банка, услугами которого я пользуюсь, писали параноики.
При входе на страницу банкинга подгружается он-лайн антивирус и файервол. Далее нужно указать цифровой сертификат безопасности (выдается в банке) и пароль к нему.
Затем - пин-генератор. Затем пароль от банковской книжки, и еще один пароль для перевода.
вроде все. Правда, поскольку антивирь и файервол сделаны как Active-X, то работает только в ИЕ.
При входе на страницу банкинга подгружается он-лайн антивирус и файервол. Далее нужно указать цифровой сертификат безопасности (выдается в банке) и пароль к нему.
Затем - пин-генератор. Затем пароль от банковской книжки, и еще один пароль для перевода.
вроде все. Правда, поскольку антивирь и файервол сделаны как Active-X, то работает только в ИЕ.
Если всё это работает через HTTP, то систему делали наглухо тупые параноики ;)
Даже если нет, то у меня всё равно есть подозрение, что тупые. Если что, товарищи, глубже знающие вопрос меня поправят ;)
Даже если нет, то у меня всё равно есть подозрение, что тупые. Если что, товарищи, глубже знающие вопрос меня поправят ;)
При этом создаётся впечатление ложной безопасности. Заранее установленный троян вполне может подменить запись DNS, или даже просто подменить ответ. В итоге в браузере загрузится очень похожая страница, но абсолютно не та. Она бодро расскажет вам, что у вас все хорошо и вы лично введете ей все свои пароли.
Хотя, конечно, хотелось бы услышать об устройстве пин-генератора. Может, он особо хитрый?
P.S. Идея с подменой DNS записи ничуть не хуже, а во многом и лучше идеи написания плагина под браузер. Пока, ИМХО, лишь отдельные hardware устройства, генерирующие код по хэшу каждой операции могут обеспечить должную безопасность.
Хотя, конечно, хотелось бы услышать об устройстве пин-генератора. Может, он особо хитрый?
P.S. Идея с подменой DNS записи ничуть не хуже, а во многом и лучше идеи написания плагина под браузер. Пока, ИМХО, лишь отдельные hardware устройства, генерирующие код по хэшу каждой операции могут обеспечить должную безопасность.
в одном из эстонских банков сразу 4 способа авторизации, все их них имеют 6-тизначный цифровой логин и произвольный пароль.
первый способ, самый старый, спрашивается один из 15 6-тизначных пинкодов с дополнительной карточки, минусы тут очевидны.
второй способ: логин + пароль + ID-карта (смарткарта) с пинкодом в кардридере. тут минус тоже большой — надо с собой иметь кардридер
третий способ, параноидальный - логин + пароль + смарткарта + rsa-генератор одноразовых паролей
четвёртый, самый удобный: вводится логин + пароль, на экране видим 4-хзначный код, одновременно с этим на телефон приходит флеш-смска с таким же кодом, на телефоне жмём "да, коды одинаковые", далее с телефона же вводим специальный пин, жмём "ок", и только после этого браузер редиректит нас куда надо.
+ ко всему, система эта сквозная, с ней можно, например, залогиниться на сайте мобильного оператора, на разных государственных сайтах и много где ещё.
первый способ, самый старый, спрашивается один из 15 6-тизначных пинкодов с дополнительной карточки, минусы тут очевидны.
второй способ: логин + пароль + ID-карта (смарткарта) с пинкодом в кардридере. тут минус тоже большой — надо с собой иметь кардридер
третий способ, параноидальный - логин + пароль + смарткарта + rsa-генератор одноразовых паролей
четвёртый, самый удобный: вводится логин + пароль, на экране видим 4-хзначный код, одновременно с этим на телефон приходит флеш-смска с таким же кодом, на телефоне жмём "да, коды одинаковые", далее с телефона же вводим специальный пин, жмём "ок", и только после этого браузер редиректит нас куда надо.
+ ко всему, система эта сквозная, с ней можно, например, залогиниться на сайте мобильного оператора, на разных государственных сайтах и много где ещё.
очень хороший банкинг у bank of america
Странный выбор "лидирующих европейских банков". Кто в европе знает что такое HSBC?
Postbank
Commerzbank
Deutsche Bank
вот о них было б интересно послушать ))
Postbank
Commerzbank
Deutsche Bank
вот о них было б интересно послушать ))
Статья хорошая, но бессмысленный мат, да еще и в тизере отвратительно, угу.
даешь веб 2.0 - банкинг! :-)
по поводу мата - согласен, статья воспринимается не серьезно совсем.
по поводу мата - согласен, статья воспринимается не серьезно совсем.
вообще - маленький нижегородский банк выдает usb - ключ с которым доступ к его интернет-банкингу возможен, подделать то, что там на этой usb наверно достаточно сложно. Кроме этого ключа, есть еже аккаунт, с которым надо входить. Без ключа не войти, с ключом без аккаунта тоже))) При утере или краже ключа - и ключ и аккаунт удаляются безопасниками банка, клиенту выдается новый.
большинство взломщиков банков - очень несерьезные люди
Проникнитесь ВТБ24. Авторизация по сертификату, затем логин+пароль, затем одноразовый сессионный ключ с спец.карточки. Круто, только вот неудобно.
а можно без мата?
Не нашел упоминания про Банк Москвы, там залогиниться можно имея постоянный пароль, который дается при регистрации и ключ электронной цифровой подписи, который тоже дается при регистрации. То есть по идее, трояну просто прибавится работы: мало того, что считать с клавиатура пароль, так еще и скопировать с дискеты файл?
Пользовался интернет-банкингом и не парился.
Потом в универе прошли предмет "Информационная безопасность".
Стало страшно. ;)
Потом в универе прошли предмет "Информационная безопасность".
Стало страшно. ;)
В моем банке пользуюсь интернет банкингом с помощью временных паролей. Отсылаешь СМС со своим логином на определенный номер, тебе в ответ приходит временный пароль. Пароль можно использовать 1 раз и действительный, он только 30 минут. Если за 30 минут его не ввел пароль сгорает, заказывай новый.
Единственная проблема в безопасности если узнают твой логин в банковской системе и украдут телефон.
Единственная проблема в безопасности если узнают твой логин в банковской системе и украдут телефон.
И почему-то не слышно про самый логичный и надёжный способ: при заключении договора дать возможность клиенту указать лимит для переводимой суммы и возможные адреса переводов: только на личные счета/счета организаций счета к примеру, ограничение по странам и проч.
действительно!!! ограничение по странам на первый взгляд кажется лучшей защитой! Ведь мало кому нужно переводить деньги на офшоры. А если ты работаешь только с США и Европа, то тут не трудно и доказать мошенничество, а значит и деньги вернуть. С Россией труднее, но тоже реально разобраться в мошенничестве, если знаешь где находятся твои деньги сейчас.
Сбербанк выдает USB-ключик, сам задаешь себе пин (и пак) с валидностью год (можно менять хоть каждую неделю), сам себе генерируешь ключи (они предварительно аппрувятся банком), сам прошиваешь их на карточку. И все.
На любой системе ставишь драйвера, втыкаешь USB-ключик, заходишь на сайт, вводишь пин, работаешь. Тут узкое место - можно перехватить пин, но без USB-ключа он него толку меньше чем от номера троллейбуса.
Это если вкратце. На самом деле система получилась довольно серъезная и, как вы говорите, трояном подменить веб-приложение, скорее всего, так просто не получится, хотя, я плотно этим не озадачивался, утверждать не смею.
Еще плохо, что это всё только под Окна, но есть опыт успешного монтирования этого USB-ключика через VirtualBox.
На любой системе ставишь драйвера, втыкаешь USB-ключик, заходишь на сайт, вводишь пин, работаешь. Тут узкое место - можно перехватить пин, но без USB-ключа он него толку меньше чем от номера троллейбуса.
Это если вкратце. На самом деле система получилась довольно серъезная и, как вы говорите, трояном подменить веб-приложение, скорее всего, так просто не получится, хотя, я плотно этим не озадачивался, утверждать не смею.
Еще плохо, что это всё только под Окна, но есть опыт успешного монтирования этого USB-ключика через VirtualBox.
Трояном всё это подменить можно "на ура". Просто потому что USB-ключик не имеет своего канала для общения с клиентом - то есть троян может полностью контролировать что видит клиент и что попадает на ключ.
Кто-то очень умный однажды сказал: "только тот компьютер может считаться по-настоящему безопасным, который не подключен к сети, закрыт на замок и закопан в неизвестном месте. И то я не уверен в этом".
(пытался найти кто точно, с ходу не смог - при виде фразы "закопан в землю" вылазит одна криминальная хроника)
Распространённая фраза. Недавно прочёл ее в руководстве по COM+. Причём из этой фразы делался прекрасный вывод: "Разве вы думаете, что средства для обеспечения безопасности могут обеспечить безопасность? Вы очень наивны." Подобные фразы мне очень не нравятся, ибо являются часто последним аргументом в споре, нацеленным на уничтожение задачи, а не на решение ее. Поэтому я предпочитаю считать, что можно обеспечить приемлимый уровень безопасности даже не отключая компьютер от сети и даже - не может быть! - подпуская к компьютеру пользователя. И такая позиция позволяет решать задачи :)
Да, можно. Только все относительно. От пользователя защититься вы сможете, но если делать защиту от глобальной неизвестности, то кто знает.
Фраза, конечно-же утрированна, но она никак не уничтожает задачу, скорее наоборот, иронично показывает вечный уровень недостаточности предпринимаемых мер. Впрочем, это кто как ее воспринимает, поэтому ИМХО :)
Фраза, конечно-же утрированна, но она никак не уничтожает задачу, скорее наоборот, иронично показывает вечный уровень недостаточности предпринимаемых мер. Впрочем, это кто как ее воспринимает, поэтому ИМХО :)
>От пользователя защититься вы сможете, но если делать защиту от глобальной неизвестности, то кто знает.
Тогда нужно загнать "глобальную неизвестность" в определённые рамки, по которым ей прийдётся действовать. Например, какая, казалось бы, нереальная вещь - невзламываемый ciphering при известном алгоритме, или открытые ключи - а вот пользуемся же :)
Тогда нужно загнать "глобальную неизвестность" в определённые рамки, по которым ей прийдётся действовать. Например, какая, казалось бы, нереальная вещь - невзламываемый ciphering при известном алгоритме, или открытые ключи - а вот пользуемся же :)
Рекомендую провести подобную оценку эстонских банков.
Вполне на уровне, хотя UI в SEB явно страдает. Смысла делать оценку для разных банков нет - система, которую они используют до какой-то степени одинаковая, разные только морды и какой-то доп. функционал отличаются.
Если вы имеете ввиду теоретическую составляющую компонентов безопасности, то я и еще один товарищ сверху отписались уже касательно Эстонских банков, а если давать оценку более глубокую, то, честно говоря не хочется лезть к ним ковыряться - Эстония очень маленькая страна и очень жадная до сенсаций, не очень хочется читать потом на дельфи, что КАПО видите-ли поймала молодого хакера, который угрожал вкладам доверчивых жителей страны.
Кстати, если вы не слышали, совсем недавно прокатилась волна спуфинга, когда клиентам на мыло слали письма от имени работников банка с просьбой выслать им пароли с код-карточек или делали клон страницы для логина и подсовывали его пользователям.
Если вы имеете ввиду теоретическую составляющую компонентов безопасности, то я и еще один товарищ сверху отписались уже касательно Эстонских банков, а если давать оценку более глубокую, то, честно говоря не хочется лезть к ним ковыряться - Эстония очень маленькая страна и очень жадная до сенсаций, не очень хочется читать потом на дельфи, что КАПО видите-ли поймала молодого хакера, который угрожал вкладам доверчивых жителей страны.
Кстати, если вы не слышали, совсем недавно прокатилась волна спуфинга, когда клиентам на мыло слали письма от имени работников банка с просьбой выслать им пароли с код-карточек или делали клон страницы для логина и подсовывали его пользователям.
А безопасность осуществляется просто, блочат акаунт при любом маломальски подозрительном платеже и блочат платеж. т.к. среднестатически лохо-юзер - не юзает инет банкинг кроме, как "посмотреть" стэйтмент. Это у нас масса пользователей - ничерта не соображающих в комьютерах только только превысила пользователей "адвансед юзер".
Бесит все это неимоверно ибо вместо "удобного и быстрого" способа работать с деньгами получаешь кучу гемороя.. :(
Впечатления касаются одного европейского гос-ва...
Бесит все это неимоверно ибо вместо "удобного и быстрого" способа работать с деньгами получаешь кучу гемороя.. :(
Впечатления касаются одного европейского гос-ва...
Статья до того меня задела, что не поленился зарегистрироваться, дабы написать пару слов.
Уважаемый автор!
Для того, чтобы проводить подобный анализ, нужно хоть немного разбираться в предмете с разных сторон, абстрагироваться от своего опыта веб-разработки (он здесь вообще не причем), собрать элементарную статистику и капнуть чуть глубже, чем удобство ввода логина, отсутствие автозаполнения (кстати, вы действительно считаете, что автозаполнение/запоминание в данном случае уместно?) и кол-ва сотрудников в ИТ-департаменте.
Что сразу же бросилось в глаза:
1. Нельзя сравнивать такие огромные банки как Барклайс, Хсбц и никому неизвестный ВА-СА.
В идеале, нужно иметь конкретную статистику по убыткам банков от онлайн мошенничества (кардеров) и сравнить с кол-вом клиентов банка и оборотом банка за тот же период. Но ни один банк не даст такую информацию.
2. Автозаполнение неуместно в данном случае ни при каких условиях. Кроме того, часто формы для ввода делаются с использованием Ява-скрипта или с виртуальной клавиатурой, дабы избежать влияния кей-логгеров.
3. Кей-логгеры (трояны)не работают уже давно месяцами :) Сейчас их быстро вылавливают – антивирусы не стоят на месте и зарабатывают большие деньги, не так ли?
4. На оффшор деньги нельзя слить ни быстренько, ни медлененько уже лет 7-8, а то и больше!!! Это бред. Чтобы это сделать, нужно сделать international wire transfer, а для этого вам либо надо лично прискакать в банк с документами и платежкой, либо ваш онлайн-банкинг защищен «железом» (брелком) и у вас доступна эта функция (в этом случае онлайн мошенничество невозможно).
5. Трояны, а не кей-логгеры, уже давно не только сливают скрин-шоты веб-страниц, но и очень умело делают инъекции этих страниц, подменяя определенные данные. Т.е. хозяин банковского счета думает, что переводит деньги Васе Пупкину и вводит свой одноразовый пин-код, а на самом деле деньги (совсем другая сумма) уходят Пете Васину и все счастливы. В данном случае, никакие ТАНы не помогут. Кроме того, эти же Трояны успешно уводят файлы ключей к чему угодно, а также сливают отсканированные иТаны (да-да, очень многие пользователи сканируют эти бумажки и хранят их в My Documents, чтобы не доставать при каждой транзакции). И вообще, делают на вашем компьютере все что угодно. Весело?
Уважаемый автор!
Для того, чтобы проводить подобный анализ, нужно хоть немного разбираться в предмете с разных сторон, абстрагироваться от своего опыта веб-разработки (он здесь вообще не причем), собрать элементарную статистику и капнуть чуть глубже, чем удобство ввода логина, отсутствие автозаполнения (кстати, вы действительно считаете, что автозаполнение/запоминание в данном случае уместно?) и кол-ва сотрудников в ИТ-департаменте.
Что сразу же бросилось в глаза:
1. Нельзя сравнивать такие огромные банки как Барклайс, Хсбц и никому неизвестный ВА-СА.
В идеале, нужно иметь конкретную статистику по убыткам банков от онлайн мошенничества (кардеров) и сравнить с кол-вом клиентов банка и оборотом банка за тот же период. Но ни один банк не даст такую информацию.
2. Автозаполнение неуместно в данном случае ни при каких условиях. Кроме того, часто формы для ввода делаются с использованием Ява-скрипта или с виртуальной клавиатурой, дабы избежать влияния кей-логгеров.
3. Кей-логгеры (трояны)не работают уже давно месяцами :) Сейчас их быстро вылавливают – антивирусы не стоят на месте и зарабатывают большие деньги, не так ли?
4. На оффшор деньги нельзя слить ни быстренько, ни медлененько уже лет 7-8, а то и больше!!! Это бред. Чтобы это сделать, нужно сделать international wire transfer, а для этого вам либо надо лично прискакать в банк с документами и платежкой, либо ваш онлайн-банкинг защищен «железом» (брелком) и у вас доступна эта функция (в этом случае онлайн мошенничество невозможно).
5. Трояны, а не кей-логгеры, уже давно не только сливают скрин-шоты веб-страниц, но и очень умело делают инъекции этих страниц, подменяя определенные данные. Т.е. хозяин банковского счета думает, что переводит деньги Васе Пупкину и вводит свой одноразовый пин-код, а на самом деле деньги (совсем другая сумма) уходят Пете Васину и все счастливы. В данном случае, никакие ТАНы не помогут. Кроме того, эти же Трояны успешно уводят файлы ключей к чему угодно, а также сливают отсканированные иТаны (да-да, очень многие пользователи сканируют эти бумажки и хранят их в My Documents, чтобы не доставать при каждой транзакции). И вообще, делают на вашем компьютере все что угодно. Весело?
Да можно, можно защититься и от трояна, подменяющего данные в форме, и сделать "безопасные" одноразовые PIN без применения специальных железок для защиты от кейлоггеров. Все это можно. Только вот почему-то не делают этого банки. Во всяком случае, я нигде не видел даже элементарных мер по защите от этого.
Во-первых – у меня PhD по безопасности e-com приложений (warwick, UK, можете проверить)
А далее по-пунктам
1. Смысл статьи как раз в сравнении больших банков и маленького, но очень успешного BA-CA. Поскольку на BA-CA я когда-то работал сам, могу сказать, что убытков от инет-мошенничества они почти не испытывают.
2. Вполне уместно (его, кстати с недавнего времени предлагает и Barclays). Отчего оно может быть неуместно?
3. Я напишу заказной для конкретного случая – поймаете?
4. Тут я утрировал, каюсь
5. Оформляем странсакцию на одном экране – подписываем её на другом. PIN приходит по SMS (там же написана сумма платежа и получатель) — если не ввести в течении минуты – всё сгорит.
2.
А далее по-пунктам
1. Смысл статьи как раз в сравнении больших банков и маленького, но очень успешного BA-CA. Поскольку на BA-CA я когда-то работал сам, могу сказать, что убытков от инет-мошенничества они почти не испытывают.
2. Вполне уместно (его, кстати с недавнего времени предлагает и Barclays). Отчего оно может быть неуместно?
3. Я напишу заказной для конкретного случая – поймаете?
4. Тут я утрировал, каюсь
5. Оформляем странсакцию на одном экране – подписываем её на другом. PIN приходит по SMS (там же написана сумма платежа и получатель) — если не ввести в течении минуты – всё сгорит.
2.
PIN приходит по SMS (там же написана сумма платежа и получатель) — если не ввести в течении минуты – всё сгорит.
После чего вас растерзают разъярённые пользователи. SMS вполне могут ходить где-то минут 5-7, так что нормальный timeout - 30 минут.
После чего вас растерзают разъярённые пользователи. SMS вполне могут ходить где-то минут 5-7, так что нормальный timeout - 30 минут.
Во-первых, абсолютно не хотел ни кого обидеть :-)
Во-вторых, все-таки PhD по безопасности e-com приложений это не реальный опыт работы в отделе безопастности крупного мирового банка. Согласитесь. И тут хорошо было бы послушать "начальника транспортного цеха" из банка, но таковых нет.
А далее по пунктам:
1. Еще раз повторюсь - нельзя сравнивать такие банки. ВА-СА "загнется", если кол-во клиентов у него будет приближаться к Барклайс.
Кроме того, Хсбц и Барклайс - международные банки, работающие в разных странах. А это тоже своя специфика и очень существенная.
2. Стандартные html-формы в данном случае это вообще маразм, а тем более с автосохранением. В одном банке в ОАЭ видел прекрасную реализацию - никаких форм и ввода с клавиатуры. Жалко, не запомнил банк. В Австралии тоже попадались такие.
3. На счет антивирусов я и сам, в общем-то, посмеялся. Я их тоже не люблю. Но по опыту, сейчас трояны больше 1-1.5 месяца живут очень и очень редко: либо их удаляют на компьютере пользователя, либо "удаляют" сервер, на который они все сливают.
Кроме того, для кардеров интерес представляют онлайн-счета, на которые пользователь заходит редко - выше вероятность "слить" все спокойно.
4. :-)
5. SMS - это не выход, как бы нам продвинутым пользователям этого не хотелось. Для одного небольшого банка в небольшой европейской стране - да, возможно. А вот в масштабах таких огромных банков как БанкОфАмерика или Хсбц - вряд ли :-(
Не подумайте только, что я защищаю эти банки. Они действительно наглые, ужасные и думают только о своих прибылях :-)
В любом случае, "свой" маленький банк будет предпочтительнее.
Peace.
Во-вторых, все-таки PhD по безопасности e-com приложений это не реальный опыт работы в отделе безопастности крупного мирового банка. Согласитесь. И тут хорошо было бы послушать "начальника транспортного цеха" из банка, но таковых нет.
А далее по пунктам:
1. Еще раз повторюсь - нельзя сравнивать такие банки. ВА-СА "загнется", если кол-во клиентов у него будет приближаться к Барклайс.
Кроме того, Хсбц и Барклайс - международные банки, работающие в разных странах. А это тоже своя специфика и очень существенная.
2. Стандартные html-формы в данном случае это вообще маразм, а тем более с автосохранением. В одном банке в ОАЭ видел прекрасную реализацию - никаких форм и ввода с клавиатуры. Жалко, не запомнил банк. В Австралии тоже попадались такие.
3. На счет антивирусов я и сам, в общем-то, посмеялся. Я их тоже не люблю. Но по опыту, сейчас трояны больше 1-1.5 месяца живут очень и очень редко: либо их удаляют на компьютере пользователя, либо "удаляют" сервер, на который они все сливают.
Кроме того, для кардеров интерес представляют онлайн-счета, на которые пользователь заходит редко - выше вероятность "слить" все спокойно.
4. :-)
5. SMS - это не выход, как бы нам продвинутым пользователям этого не хотелось. Для одного небольшого банка в небольшой европейской стране - да, возможно. А вот в масштабах таких огромных банков как БанкОфАмерика или Хсбц - вряд ли :-(
Не подумайте только, что я защищаю эти банки. Они действительно наглые, ужасные и думают только о своих прибылях :-)
В любом случае, "свой" маленький банк будет предпочтительнее.
Peace.
Во-первых – у меня PhD по безопасности e-com приложений
PhD по безопасности... звучит гламурна.
Но не аргумент, для пункта 0.
По 4му пункту. С подтверждающими документами в банк надо скакать резидентам РФ. Нерезиденты с валютными операциями не подпадают под валютный контроль.
Кстати, люди не любят ставить антивирусы. Они "тормозят" систему, требуют настройки и внимания. Стоят денег. По той же причине люди отказывают себе в фаерволах.
они просто покупают себе мак ;)))))))
Есть интернет-банки которые работают только в IE. В других ну никак не работают, даже если окружить себя бубнами. И как человек воспользуется таким сервисом с чего то отличного от windows?
Хорошо что я пока не встречал таких банков :) от safari откажусь разве что под ужасом смертной казни!
Значит вы не были в Корее, к примеру (думаю это не единственный пример). В разных странах - разная жизнь...
У нас мораторий на смертную казнь, но могут приговорить к пожизненному использованию услуг одного очень крупного банка с книжками :)
Ага, ведь маки намного проще сломать :-)))
Оптимальный способ авторизации для частных клиентов в нашей стране это логин + пароль + случайный код по СМС. Особо крупным клиентам можно конечно выдать ещё и брелок, но они его могут потерять. Дополнительные меры безопасности: лимит по сумме транзакции, по количеству операций, по зоне IP, автоматизированный контроль за подозрительными операциями. Юридическим лицам можно проще смотреть на вещи т.к. у них есть бухгалтера и если не щёлкать клювом и сверять баланс периодически, то лишнюю проводку можно отозвать (если не прощёлкать время).
Главная проблема интернет банка в том, что очень мало законодательной базы. В нашей стране властвует Великая Бумажка и если вы куда то не туда запулите свои деньги или ошибётесь в назначении платежа вам потребуется идти в банк, брать платёжку с печатью и много разных гемморов.
Хорошо хоть много предприятий пересадили на карточки. Через какое то время дошлифуются системы банк-клиент и только потом очередь дойдёт до интернет-банка.
Главная проблема интернет банка в том, что очень мало законодательной базы. В нашей стране властвует Великая Бумажка и если вы куда то не туда запулите свои деньги или ошибётесь в назначении платежа вам потребуется идти в банк, брать платёжку с печатью и много разных гемморов.
Хорошо хоть много предприятий пересадили на карточки. Через какое то время дошлифуются системы банк-клиент и только потом очередь дойдёт до интернет-банка.
Не могу себя представить уже без TokenID с пином . Хотя я обычный клиент, но австрийского HVB (которого недавно "съел" UniCredit Bank). Еще и годик назад они обновили свой инет-банкинг, после чего недостаточно просто залогиниться, но необходимо так же подписывать каждую осуществляемую транзацию.
Именно по такой схеме и работают банки
в Чехии: Ceska sporitelna (Sparkasse) и CSOB (societe generale). В первом у меня личный счёт, во втором на фирму. У обоих система такая: логин + пароль + одноразовый код авторизации для каждой трансакции, высылаемый в виде СМС-сообщения.
P.S. Хабр глючит с текстом, содержащим диакритику (чешский язык).
P.S. Хабр глючит с текстом, содержащим диакритику (чешский язык).
Ну а теперь попробуем взглянуть на проблему с другой стороны и разобраться, почему дело обстоит именно так, а не иначе.
Важное замечание. Нужно четко отделить онлайн-банкинг от кредитных карт. И там, и там возможен онлайн-доступ, но это разные вещи. Как уже правильно было сказано выше, для кредитных карт, чаще всего, устанавливается нулевая ответственность держателя карты (владелец карты всегда банк). В данном случае, все действительно страхуется и банку практически до лампочки. Хотя и здесь есть масса нюансов. А вот с банковскими счетами ситуация совсем, совсем другая. И вам, скорее всего, ничего не вернут в случае мошенничества/кражи.
И еще, не нужно думать, что все операции, которые проходят в онлайне, не контролируются сотрудниками банков и не проходят через их "руки" :
Онлайн-банкинг очень различается в разных странах. Стоит выделить отдельно США и Евросоюз с Австралией. Остальные регионы, как более мелкие или очень специфические (например, Япония) рассматривать не будем.
Итак, в США онлайн-банкинг начал развиваться очень давно. Банки быстро поняли удобство и выгоду от этого дела. Но также быстро они и поплатились за это - как только услуга стала массовой, потери стали тоже очень и очень приличные. По какому пути пошли американские банки? Правильно, они не стали усложнять процедуру аутентификации в онлайне, т.к. среднестатистический американец не потянет всех этих наворотов и кастомер-сервис банка загнется просто от звонков клиентов. Они ввели суровые ограничения на транзакции и контроль над ними.
Таким образом, на данный момент в подавляющем большинстве американских банков деньги нельзя не то что в оффшор вывести, а даже в другой американский банк перевести. И то, предварительно нужно будет включить эту функцию (позвонив в банк) и провести верификацию этого "внешнего" банковского счета. О том, чтобы иметь доступным wire transfer или international wire transfer можно просто забыть. Для того, чтобы эти функции были доступны, нужно позвонить в банк и ответить на ряд очень заковыристых вопросов, ответы на которые может знать только владелец банковского счета. Злоумышленнику для этого понадобятся ваши подробные кредит- и бэкграйнд-репорты, и то не факт, что получится, ибо банки тоже не сидят сложа руки.
Максимум, что доступно в онлайн-банкинге для рядового американца, это просмотр стейтментов (выписок), чеков, Bill Pay (оплата услуг, например, за телефон и газ), перевод средств на свои счета в этом же банке и перевод денег на другой счет в этом же банке с лимитами долларов в $500-$1000(внутренний перевод).
Все остальные удобства придется активировать. И не факт, что вам дадут это сделать.
Исторически сложилось так, что у американских финансовых учреждений антифрод строится на сильном data mining, т.е. анализируется совокупность факторов - ай-пи адрес, время операции, cookies, надежность клиента, характерность данной операции для данного клиента и т.д. и т.п. На основе этого выносится решение - отклонить операцию, провести или потребовать дополнительной проверки (звонок владельцу). И не нужно думать, что так легко можно подставить свой телефон : Изменение личных данных в онлайне тоже отслеживается и анализируется.
Для бизнес-клиентов во всех крупных банках США уже давно брелки или другие железки являются обязательными. В данном случае, от их введения как раз отстают мелкие банки.
Кроме того, с 2007 года вступил в силу закон, которые обязал все финансовые учреждения ввести двухуровневую систему аутентификации. Т.е. помимо логина/пароля еще нужно знать ответы на секретные вопросы (задаются самим пользователем). Конечно, это не сильно усложнило жизнь мошенникам, особенно с учетом индивидуальных особенностей реализации этой двухуровневой системы в разных банках.
Таким образом, американские банки, на самом деле, достаточно быстро и на долго перекрыли легкие пути для мошенников и украсть хотя бы сотню долларов стало большой проблемой. Поэтому они (мошенники) переключились на другие страны.
продолжение следует...
Важное замечание. Нужно четко отделить онлайн-банкинг от кредитных карт. И там, и там возможен онлайн-доступ, но это разные вещи. Как уже правильно было сказано выше, для кредитных карт, чаще всего, устанавливается нулевая ответственность держателя карты (владелец карты всегда банк). В данном случае, все действительно страхуется и банку практически до лампочки. Хотя и здесь есть масса нюансов. А вот с банковскими счетами ситуация совсем, совсем другая. И вам, скорее всего, ничего не вернут в случае мошенничества/кражи.
И еще, не нужно думать, что все операции, которые проходят в онлайне, не контролируются сотрудниками банков и не проходят через их "руки" :
Онлайн-банкинг очень различается в разных странах. Стоит выделить отдельно США и Евросоюз с Австралией. Остальные регионы, как более мелкие или очень специфические (например, Япония) рассматривать не будем.
Итак, в США онлайн-банкинг начал развиваться очень давно. Банки быстро поняли удобство и выгоду от этого дела. Но также быстро они и поплатились за это - как только услуга стала массовой, потери стали тоже очень и очень приличные. По какому пути пошли американские банки? Правильно, они не стали усложнять процедуру аутентификации в онлайне, т.к. среднестатистический американец не потянет всех этих наворотов и кастомер-сервис банка загнется просто от звонков клиентов. Они ввели суровые ограничения на транзакции и контроль над ними.
Таким образом, на данный момент в подавляющем большинстве американских банков деньги нельзя не то что в оффшор вывести, а даже в другой американский банк перевести. И то, предварительно нужно будет включить эту функцию (позвонив в банк) и провести верификацию этого "внешнего" банковского счета. О том, чтобы иметь доступным wire transfer или international wire transfer можно просто забыть. Для того, чтобы эти функции были доступны, нужно позвонить в банк и ответить на ряд очень заковыристых вопросов, ответы на которые может знать только владелец банковского счета. Злоумышленнику для этого понадобятся ваши подробные кредит- и бэкграйнд-репорты, и то не факт, что получится, ибо банки тоже не сидят сложа руки.
Максимум, что доступно в онлайн-банкинге для рядового американца, это просмотр стейтментов (выписок), чеков, Bill Pay (оплата услуг, например, за телефон и газ), перевод средств на свои счета в этом же банке и перевод денег на другой счет в этом же банке с лимитами долларов в $500-$1000(внутренний перевод).
Все остальные удобства придется активировать. И не факт, что вам дадут это сделать.
Исторически сложилось так, что у американских финансовых учреждений антифрод строится на сильном data mining, т.е. анализируется совокупность факторов - ай-пи адрес, время операции, cookies, надежность клиента, характерность данной операции для данного клиента и т.д. и т.п. На основе этого выносится решение - отклонить операцию, провести или потребовать дополнительной проверки (звонок владельцу). И не нужно думать, что так легко можно подставить свой телефон : Изменение личных данных в онлайне тоже отслеживается и анализируется.
Для бизнес-клиентов во всех крупных банках США уже давно брелки или другие железки являются обязательными. В данном случае, от их введения как раз отстают мелкие банки.
Кроме того, с 2007 года вступил в силу закон, которые обязал все финансовые учреждения ввести двухуровневую систему аутентификации. Т.е. помимо логина/пароля еще нужно знать ответы на секретные вопросы (задаются самим пользователем). Конечно, это не сильно усложнило жизнь мошенникам, особенно с учетом индивидуальных особенностей реализации этой двухуровневой системы в разных банках.
Таким образом, американские банки, на самом деле, достаточно быстро и на долго перекрыли легкие пути для мошенников и украсть хотя бы сотню долларов стало большой проблемой. Поэтому они (мошенники) переключились на другие страны.
продолжение следует...
По картам легко оспариваются транзакции совершённые без ввода PIN кода. Операции с PIN кодом и проверкой чипа можно отбить только если это нечто совершенно невероятное, типа вы сидите в зале суда, участвуете в процессе и вас видят 20 человека, а в это время в Бразилии вашей картой по PIN покупают новый автомобиль.
Не могу говорить за всю европу, но в Австрии с PIN-ом и картой оплатишь от силы 1000 Евро в день. Кредитка – уже другая песня, но там и ответственность другая.
Вы понимаете, что платёжной системе глубоко безразличен тип счёта. Точно так же и лимиты по операциям настраиваются без технической привязки к наличию или отсутствию кредита. Опять же если уж так сильно мудрить то все карты кредитные т.к. возможен технический овердрафт.
Если банк по карте ставит лимит на операции, то это хороший банк. Если он ещё и даёт менять этот лимит, то просто замечательный :)
В России не особо любят принудительные лимиты т.к. тут народ свободный и может не понять почему это он не может снять все деньги с карточки. Тем не менее шаги в этом направлении уже делаются. По крайней мере самостоятельно лимиты поставить не проблема.
Если банк по карте ставит лимит на операции, то это хороший банк. Если он ещё и даёт менять этот лимит, то просто замечательный :)
В России не особо любят принудительные лимиты т.к. тут народ свободный и может не понять почему это он не может снять все деньги с карточки. Тем не менее шаги в этом направлении уже делаются. По крайней мере самостоятельно лимиты поставить не проблема.
Лимиты (и лимиты жесткие) банки ставят, как правило, на дебетные карты, которые привязаны к вашему банковскому счету. Здесь речь идет о ваших конкретных деньгах и банк вам ничего не вернет, скорее всего, если деньги будут похищены по такой карте. Но это ваши личные деньги, а не банка.
Использовать дебетные карты в онлайне - это совершенно неразумно.
А вот кредитные карты чаще всего страхуются и у держателя карты часто нулевая ответственность, т.к. все страховка компенсирует. Но здесь деньги банка и банк заботится о своих деньгах, поэтому и страхует. Хотя, лимиты все равно вводят - снятие кэша в АТМ, онлайн-транзакции и т.п.
Использовать дебетные карты в онлайне - это совершенно неразумно.
А вот кредитные карты чаще всего страхуются и у держателя карты часто нулевая ответственность, т.к. все страховка компенсирует. Но здесь деньги банка и банк заботится о своих деньгах, поэтому и страхует. Хотя, лимиты все равно вводят - снятие кэша в АТМ, онлайн-транзакции и т.п.
вся Европа и даже вся Австрия - это как-то абстрактно. HVB - австрийский банк. есть лимиты by default, их можно сменить в любой момент времени, во время подписания договора, или после - на нужные лично Вам.
В онлайне ПИН-код для совершения транзакции по вашей карте не нужен в принципе.
Пин код нужен для снятия кэша в АТМ и все чаще для покупок (от какой-то суммы). А в онлайне максимум cvv2-код. Мошенничество с кредитными картами в реальном, а не виртуальном, мире выходит за рамки данной дискуссии и вообще отдельная "песня".
Пин код нужен для снятия кэша в АТМ и все чаще для покупок (от какой-то суммы). А в онлайне максимум cvv2-код. Мошенничество с кредитными картами в реальном, а не виртуальном, мире выходит за рамки данной дискуссии и вообще отдельная "песня".
НЛО прилетело и опубликовало эту надпись здесь
Европа была логическим продолжением: достаточно богатые страны и уже широкое распространение онлайн-банкинга.
И поначалу все шло очень и очень неплохо. Деньги воровались в таких кол-вах, что банки взялись за голову. В-первую очередь, пострадала Германия. Здесь долгое время можно было легко и без особых ограничений переводить требуемые суммы на другие счета. Немецкие банки стали вводить дополнительные меры, например, ТАНы, а потом иТАНы. Это те самые одноразовые коды для транзакций, которые банк присылает вам по почте, и которые вы сканируете и храните у себя на компьютере :
И немецкие банки практически победили эту "заразу". На очереди были Испания, Англия, Франция и Италия. Потом добрались даже до Турции. Оказалось, что и там есть "рыба".
Почему в Прибалтике (особенно в Эстонии) в подавляющем кол-ве случаев счета сразу защищены брелками или ключами? Во-первых, небольшое кол-во клиентов. Во-вторых, прибалтийские банки с самого начала позиционировались как транзитные банки для клиентов из других стран (СНГ) и такие операции, как международный перевод были нормой. И они просто-напросто поняли, что иначе не защитишься - от троянов ничего не спасет, а ТАНы по всей Европе рассылать не будешь.
Австралия и Новая Зеландия пострадали тоже очень серьезно. Они пошли по пути, который сильно напоминает европейский. Но были и свои отличия, например, частое использование виртуальных клавиатур без каких-либо полей ввода, многоуровневая аутентификация и т.п.
Какой напрашивается вывод? Не все то золото, что блестит, и наоборот. Не нужно думать, что имея логин-пароль к счету с миллионом долларов/евро, мошенник сможет украсть хотя бы сто долларов. "За кадром" остается на самом деле большая работа банков по обработке и анализу транзакций и антифроду. Безусловно, большинство крупнейших банков мира далеко не идеальны, и не идеальны их веб-сайты. Идеально вообще ничего нет, к сожалению.
В любом случае, это ваш выбор хранить деньги в том или ином банке. И, к сожалению, чаще всего это именно ваша забота следить за сохранностью ваших денег, кредитных карт и т.п. Человеческий фактор - вот самое слабое звено, как ни крути.
Удачи вам господа.
Кстати, на самом-то деле, к счетам которые защищены железками или одноразовыми кодами у банков доверия больше на порядок, и в случае утери/кражи/подделки и т.п. у вас уведут с таких счетов все и не задумываясь, а банк ничего не заподозрит.
Еще раз удачи.
И поначалу все шло очень и очень неплохо. Деньги воровались в таких кол-вах, что банки взялись за голову. В-первую очередь, пострадала Германия. Здесь долгое время можно было легко и без особых ограничений переводить требуемые суммы на другие счета. Немецкие банки стали вводить дополнительные меры, например, ТАНы, а потом иТАНы. Это те самые одноразовые коды для транзакций, которые банк присылает вам по почте, и которые вы сканируете и храните у себя на компьютере :
И немецкие банки практически победили эту "заразу". На очереди были Испания, Англия, Франция и Италия. Потом добрались даже до Турции. Оказалось, что и там есть "рыба".
Почему в Прибалтике (особенно в Эстонии) в подавляющем кол-ве случаев счета сразу защищены брелками или ключами? Во-первых, небольшое кол-во клиентов. Во-вторых, прибалтийские банки с самого начала позиционировались как транзитные банки для клиентов из других стран (СНГ) и такие операции, как международный перевод были нормой. И они просто-напросто поняли, что иначе не защитишься - от троянов ничего не спасет, а ТАНы по всей Европе рассылать не будешь.
Австралия и Новая Зеландия пострадали тоже очень серьезно. Они пошли по пути, который сильно напоминает европейский. Но были и свои отличия, например, частое использование виртуальных клавиатур без каких-либо полей ввода, многоуровневая аутентификация и т.п.
Какой напрашивается вывод? Не все то золото, что блестит, и наоборот. Не нужно думать, что имея логин-пароль к счету с миллионом долларов/евро, мошенник сможет украсть хотя бы сто долларов. "За кадром" остается на самом деле большая работа банков по обработке и анализу транзакций и антифроду. Безусловно, большинство крупнейших банков мира далеко не идеальны, и не идеальны их веб-сайты. Идеально вообще ничего нет, к сожалению.
В любом случае, это ваш выбор хранить деньги в том или ином банке. И, к сожалению, чаще всего это именно ваша забота следить за сохранностью ваших денег, кредитных карт и т.п. Человеческий фактор - вот самое слабое звено, как ни крути.
Удачи вам господа.
Кстати, на самом-то деле, к счетам которые защищены железками или одноразовыми кодами у банков доверия больше на порядок, и в случае утери/кражи/подделки и т.п. у вас уведут с таких счетов все и не задумываясь, а банк ничего не заподозрит.
Еще раз удачи.
Если говорить о российских банках, то я пользовался сначала Альфа-Банком, а с лета этого года Авангардом.
В Альфе, чтобы получить постоянные логин и пароль, надо дозвониться до оператора телефонного центра, который уже вышлет всю информацию смской по указанному при открытии счёта номеру телефона. Если номер сменился, то придётся сначала наведаться в отделение.
При проведении операций случайно сгенерированный одноразовый пароль также высылается по смс.
В целом система была удобной и функциональной, хотя у Авангарда, клиентом которого являюсь сейчас, тоже ничего. У них логин и пароль выдаются также после несложной регистрации, а при проведении операций необходимо вводить пароли со специальной пластиковой карточки, которая выдаётся в отделении. Неправильно ввёл код три раза подряд - карточка блокируется.
В Альфе, чтобы получить постоянные логин и пароль, надо дозвониться до оператора телефонного центра, который уже вышлет всю информацию смской по указанному при открытии счёта номеру телефона. Если номер сменился, то придётся сначала наведаться в отделение.
При проведении операций случайно сгенерированный одноразовый пароль также высылается по смс.
В целом система была удобной и функциональной, хотя у Авангарда, клиентом которого являюсь сейчас, тоже ничего. У них логин и пароль выдаются также после несложной регистрации, а при проведении операций необходимо вводить пароли со специальной пластиковой карточки, которая выдаётся в отделении. Неправильно ввёл код три раза подряд - карточка блокируется.
Кстати, а ни кого из Японии нет? Говорят там интернет-банк покрывает чуть ли не 95% всех повседневных платежей граждан.
Почитал это всё.
Вот в раздумия углубился ненадолго и вынырнул с не очень хорошими мыслями. Украсть можно всё. Даже если на банкомате берётся скан живого пальца, всё равно ограбят.
Теперь о безопасности вообще. Наиболее надёжным мне кажется пользование двумя-тремя путями подтверждения. То есть например пароль+ID, файл-ключ, брелок или флэшка, проверка по IP или зоне.
То есть, чтобы «законно» открыть счёт, нужно будет украсть флэшку с файлом-ключом и знать пароль.
И вообще на вирусы и кейлогеры надо проверяться, раз уж пользуешь компьютер в качестве кошелька, а людям, которые прокачивают посредством компа деньги и не проверяют не висит ли у них кейлогер или троян, можно идти стреляться.
Сам пользуюсь вебманями и считаю их защиту более или менее надёжной. Даже если узнают мой WMID в паре с паролем и украдут файл ключа, то нужен будет ещё и пароль для импорта ключа в кипер. Даже если и этот пароль стырят (что маловероятно т.к. набиратся он на компе раз в года), то при импорте файла ключа на другом компе мне на мыло прийдёт извещение и контрольный ключ активации. То есть ещё и от мыла пароль нужен и нужно знать на какое мыло зареген WMID.
Ну а если у меня всё уже смоогли утянуть, то пусть забирают все деньги — такому идиоту с манной кашей в голове вместо мозгов деньги ни к чему.
При всей многоуровневости системы мне лично для доступа нужно только пароль вводить. На новом компе конечно пройти все ступени активации, но единожды. Вот такую защиту я считаю адекватной. Необходим четверной слой защиты: железка, пароль в голове, шифрование, запрос на подтверждение.
С блокировкой после трёх неверных наборов согласен — верная мера, отсекает путь подбора кода.
Вот в раздумия углубился ненадолго и вынырнул с не очень хорошими мыслями. Украсть можно всё. Даже если на банкомате берётся скан живого пальца, всё равно ограбят.
Теперь о безопасности вообще. Наиболее надёжным мне кажется пользование двумя-тремя путями подтверждения. То есть например пароль+ID, файл-ключ, брелок или флэшка, проверка по IP или зоне.
То есть, чтобы «законно» открыть счёт, нужно будет украсть флэшку с файлом-ключом и знать пароль.
И вообще на вирусы и кейлогеры надо проверяться, раз уж пользуешь компьютер в качестве кошелька, а людям, которые прокачивают посредством компа деньги и не проверяют не висит ли у них кейлогер или троян, можно идти стреляться.
Сам пользуюсь вебманями и считаю их защиту более или менее надёжной. Даже если узнают мой WMID в паре с паролем и украдут файл ключа, то нужен будет ещё и пароль для импорта ключа в кипер. Даже если и этот пароль стырят (что маловероятно т.к. набиратся он на компе раз в года), то при импорте файла ключа на другом компе мне на мыло прийдёт извещение и контрольный ключ активации. То есть ещё и от мыла пароль нужен и нужно знать на какое мыло зареген WMID.
Ну а если у меня всё уже смоогли утянуть, то пусть забирают все деньги — такому идиоту с манной кашей в голове вместо мозгов деньги ни к чему.
При всей многоуровневости системы мне лично для доступа нужно только пароль вводить. На новом компе конечно пройти все ступени активации, но единожды. Вот такую защиту я считаю адекватной. Необходим четверной слой защиты: железка, пароль в голове, шифрование, запрос на подтверждение.
С блокировкой после трёх неверных наборов согласен — верная мера, отсекает путь подбора кода.
К сожалению, система защиты WebMoney очень часто приводится в пример, как достаточно образцовая. Но и здесь все не так гладко, как хотелось бы.
Во-первых, речь идет о кипере-классике, который является локальным приложением на компьютере пользователя и нагло попирает все возможные privacy, передавая в "центр" всю инфу о вашей системе. Об этом уже столько раз писалось, что жутко просто. По сути дела, это такой себе троян.
Во-вторых, опять таки дело в массовости. Сколько у них активных клиентов? Думаю, что намного меньше чем 4.6 миллиона, о которых упоминается на сайте. Кроме того, половина использует кипер-лайт, дабы не ставить себе эту "заразу" на компьютер и не быть привязанным в виндоуз и одному компьютеру.
В-третьих, блокировка по IP-адресу это сущий кошмар для обычного пользователя, хотя и достаточно эффективна.
В-четвертых, нотификация на емейлы последние годы дает очень серьезные сбои. У людей много почтовых ящиков и они не все их проверяют регулярно, они часто указывают рабочие емейлы, а потом меняют работу, но не меняют емейлы в таких системах как вебмани и т.д. Таким образом пострадало немало людей, когда еГолд и Вебмани ввели дополнительные блокировки с нотификацией на емейл. Лично у меня таким образо лет 8 назад увели 6 значную аську - был указан рабочий емейл, который уже был несуществующим. Прослезился тогда :-)
Массовость и человеческий фактор - вот тормоза прогресса в данной области. И банкам приходится с этим считаться, к сожалению.
Во-первых, речь идет о кипере-классике, который является локальным приложением на компьютере пользователя и нагло попирает все возможные privacy, передавая в "центр" всю инфу о вашей системе. Об этом уже столько раз писалось, что жутко просто. По сути дела, это такой себе троян.
Во-вторых, опять таки дело в массовости. Сколько у них активных клиентов? Думаю, что намного меньше чем 4.6 миллиона, о которых упоминается на сайте. Кроме того, половина использует кипер-лайт, дабы не ставить себе эту "заразу" на компьютер и не быть привязанным в виндоуз и одному компьютеру.
В-третьих, блокировка по IP-адресу это сущий кошмар для обычного пользователя, хотя и достаточно эффективна.
В-четвертых, нотификация на емейлы последние годы дает очень серьезные сбои. У людей много почтовых ящиков и они не все их проверяют регулярно, они часто указывают рабочие емейлы, а потом меняют работу, но не меняют емейлы в таких системах как вебмани и т.д. Таким образом пострадало немало людей, когда еГолд и Вебмани ввели дополнительные блокировки с нотификацией на емейл. Лично у меня таким образо лет 8 назад увели 6 значную аську - был указан рабочий емейл, который уже был несуществующим. Прослезился тогда :-)
Массовость и человеческий фактор - вот тормоза прогресса в данной области. И банкам приходится с этим считаться, к сожалению.
А вообще оправданно ли это для злоумышленников с экономической точки зрения? Не проще ли поставить ридер на банкомат + видеокамеру, сканирующую пин-коды, чем возиться с троянами, к тому-же каждый такой случай сам по себе уникальный т.е. впарить троян, считать данные по какому либо конкретному банку его системе защиты и войти с ними - это слишком много возни незивестно ради чего, есть способы обувания на бобло гораздо более простые и массовые. По-моему вероятность наткнуться в подворотне на классическое "есть чо?" гораздо выше, чем кража из интернет-банка, вызванная техническими причинами.
оправдано, к сожалению.
троян, который я примерно описал чуть выше, продавали одно время за ... ну совершенно безумные деньги. а главное, что его покупали. значит он себя оправдывал в десятки раз. и возиться с ним не нужно было - в "комплекте" шли инъекции для распространенных европейских банков. так что...
скимер (кард-ридер) + видеокарту (лучше фальш-клавиатуру) поставить, может быть и проще, но сесть за это тоже на три порядка проще. улавливаете? сейчас с банками в такие игрушки лучше не играть. а на просторах интренета, пока, к сожалению, практически каждый недоносок может чувствовать себя на 100% безопастно.
троян, который я примерно описал чуть выше, продавали одно время за ... ну совершенно безумные деньги. а главное, что его покупали. значит он себя оправдывал в десятки раз. и возиться с ним не нужно было - в "комплекте" шли инъекции для распространенных европейских банков. так что...
скимер (кард-ридер) + видеокарту (лучше фальш-клавиатуру) поставить, может быть и проще, но сесть за это тоже на три порядка проще. улавливаете? сейчас с банками в такие игрушки лучше не играть. а на просторах интренета, пока, к сожалению, практически каждый недоносок может чувствовать себя на 100% безопастно.
мой интернет банкинг, для подтверждения логина или перевода денег,
- выдаёт номер
- этот номер вместе с пином вводится в специальный калькулятор
- калькулятор генерирует ответ, который отдаётся системе
- выдаёт номер
- этот номер вместе с пином вводится в специальный калькулятор
- калькулятор генерирует ответ, который отдаётся системе
добрый день!
хочу поделиться своим опытом в использовании интернетбанкинга крупнейшего украинского банка. При этом . хочу сразу оговриться, что с другими банками дел не имел и сравнивать особо не с чем. Так вот на этом фоне своим интернет банкингом очень доволен.
несколько слов о порядке регистрации: вообще способов регистрации 3, я регистрировался через банкомат. Насколько я прочитал предыдущий посты такой вариант еще не рассматривался. Происходит это следующим образом: с картой этого банка обращаемся к банкомату (опять же этого банка). После ввода пин кода получил статический логин и пароль. этого достаточно чтобы просматривать балансы и выписки по карте. Для возможности же еще и создавать платежи, проходим процедуру ее раз и получаем пароль платежа, который запрашивается при отправлении платежки в банк.
интерфейс очень простой.
Пара слов о создании платежей и возможностях:
можно покупать ваучеры пополнения, создавать платежи по банку и по территории Украины, создавать международные переводы, экспресс переводы (такие как WesternUnion) и т.д. Конечно существуют и ограничения на количество и на сумму платежей, а также в некоторых случаях требуется еще и подтвердить платежи смской, а еще иногда связываются сотрудники из банка и интересуются все ли у меня нормально и стоит ли проводить платежи, которые я создал.
хочу поделиться своим опытом в использовании интернетбанкинга крупнейшего украинского банка. При этом . хочу сразу оговриться, что с другими банками дел не имел и сравнивать особо не с чем. Так вот на этом фоне своим интернет банкингом очень доволен.
несколько слов о порядке регистрации: вообще способов регистрации 3, я регистрировался через банкомат. Насколько я прочитал предыдущий посты такой вариант еще не рассматривался. Происходит это следующим образом: с картой этого банка обращаемся к банкомату (опять же этого банка). После ввода пин кода получил статический логин и пароль. этого достаточно чтобы просматривать балансы и выписки по карте. Для возможности же еще и создавать платежи, проходим процедуру ее раз и получаем пароль платежа, который запрашивается при отправлении платежки в банк.
интерфейс очень простой.
Пара слов о создании платежей и возможностях:
можно покупать ваучеры пополнения, создавать платежи по банку и по территории Украины, создавать международные переводы, экспресс переводы (такие как WesternUnion) и т.д. Конечно существуют и ограничения на количество и на сумму платежей, а также в некоторых случаях требуется еще и подтвердить платежи смской, а еще иногда связываются сотрудники из банка и интересуются все ли у меня нормально и стоит ли проводить платежи, которые я создал.
В украинском ПриватБанке все происходит гораздо фееричнее - после создания платежа в онлайн (при сумме более 50$), вам по телефону, указанному при регистрации карты (а скорее всего это будет домашний телефон) позвонит дама и будет спрашивать ДР, фамилию мамы, номер паспорта и идентификационный код.
Если пройдете этот квест - платеж будет проведен.
Если пройдете этот квест - платеж будет проведен.
Аналогично пользуюсь HSBC и Барклаем...До сих пор считаю HSBC образцовым банкингом. Действительно, если весь комп в кейлогерах ипосылает скрины, то это уже клиника, а вот 1 раз зайти с неизвестного компа (в интернет-кафе) самое то. Логин, который IB с кучей цифр я выучил все же, теперь без проблем :) А вот в барклае мало того, что не помню код, так еще и буковки из кодового слова выбирать из списка - это не для слабонервных :)
А вообще, все познается в сравнении. В России у меня якобы самый лучший интернет-банк от "Северной казны" (internetbank.ru). В нем для идентификации используется отдельная прога, выполняющая роль прокси, к этой проге еще файл с ключем скольки-то битным, то есть уже разумеется, пользовать можно только из дома (не ставить ведь в интернет-кафе все это дело)...но самое главное, программа эта только под Win, а под маком "сосите петушки", сейчас вот умер бук, который я для банкинга держал, и все, сижу, курю бамбук...
А в Америке (BofA и WaMu у меня) там просто логин-пароль и ВСЁ! Ну да, Bank of America вроде IP запоминает и при входе с чужого компа попросит ответить на секретный вопрос...только что толку...ставим на комп кейлогер, буквально один вход в ИБ и следом, с этого же компа можно заходить, проверял лично :)
А вообще, все познается в сравнении. В России у меня якобы самый лучший интернет-банк от "Северной казны" (internetbank.ru). В нем для идентификации используется отдельная прога, выполняющая роль прокси, к этой проге еще файл с ключем скольки-то битным, то есть уже разумеется, пользовать можно только из дома (не ставить ведь в интернет-кафе все это дело)...но самое главное, программа эта только под Win, а под маком "сосите петушки", сейчас вот умер бук, который я для банкинга держал, и все, сижу, курю бамбук...
А в Америке (BofA и WaMu у меня) там просто логин-пароль и ВСЁ! Ну да, Bank of America вроде IP запоминает и при входе с чужого компа попросит ответить на секретный вопрос...только что толку...ставим на комп кейлогер, буквально один вход в ИБ и следом, с этого же компа можно заходить, проверял лично :)
SMS-ное тормозилово элементарно устраняется из процедуры авторизации перебросом сервиса на USSD. Набрал один USSD-запрос с пином - получил тут же на экранчике разовый пароль, набрал другую комбинацию - получил новый пин.
Чтобы не забыть, записал на бамажке (вот она, потенциальная уязвимость).
В довесок ввод пароля через графику - вполне неплохой метод. Если пароль разовый, то кейлоггер, даже отследив нажатия мышой, ничего злоумышленнику не даст.
По тому же USSD можно, например, пригонять "сверочное число", которое настоящий сервер банка выдает на странице пользователя где-нибудь в уголку, подтверждая, что соединение именно с ним. Нет циферки - страничка фейковая, звони сразу в техсаппорт. Раз вопрос касается денег - стоит быть серьезным, и неважно, что ты делаешь перевод 100 рублей на оплату счета мобилы - банковский-то счет содержит другую цифирь, так?
Еще хороший метод - стеганография. Не циферки-буковки, а авторизация по картинкам. Сервер выдает два десятка картинок на экране, надо выбрать две или три, так, чтобы получилось нечто осмысленное. Пользователь знает, какие, потому что знает общую картинку; кейлоггер поймает выбор - и что? В следующий раз имена картинок меняются, а вид нет, и тогда потребуется личный вход мошенника, а двух сессий одновременно банковская система не пропустит. Довесить это выбором имени пользователя - снова на картинках.
Полностью согласен, что методы надежной аутентификации пора переносить с математики и алгоритмов на когнитивные способности, потому что подменить распознавание куда сложнее, чем вычисление. Допустим, через десяток лет квантовые машины начнут работать более-менее приемлемо и крошить хэш или RSA за миллисекунды - тогда никакой обмен между железкой и железкой не поможет.
Чтобы не забыть, записал на бамажке (вот она, потенциальная уязвимость).
В довесок ввод пароля через графику - вполне неплохой метод. Если пароль разовый, то кейлоггер, даже отследив нажатия мышой, ничего злоумышленнику не даст.
По тому же USSD можно, например, пригонять "сверочное число", которое настоящий сервер банка выдает на странице пользователя где-нибудь в уголку, подтверждая, что соединение именно с ним. Нет циферки - страничка фейковая, звони сразу в техсаппорт. Раз вопрос касается денег - стоит быть серьезным, и неважно, что ты делаешь перевод 100 рублей на оплату счета мобилы - банковский-то счет содержит другую цифирь, так?
Еще хороший метод - стеганография. Не циферки-буковки, а авторизация по картинкам. Сервер выдает два десятка картинок на экране, надо выбрать две или три, так, чтобы получилось нечто осмысленное. Пользователь знает, какие, потому что знает общую картинку; кейлоггер поймает выбор - и что? В следующий раз имена картинок меняются, а вид нет, и тогда потребуется личный вход мошенника, а двух сессий одновременно банковская система не пропустит. Довесить это выбором имени пользователя - снова на картинках.
Полностью согласен, что методы надежной аутентификации пора переносить с математики и алгоритмов на когнитивные способности, потому что подменить распознавание куда сложнее, чем вычисление. Допустим, через десяток лет квантовые машины начнут работать более-менее приемлемо и крошить хэш или RSA за миллисекунды - тогда никакой обмен между железкой и железкой не поможет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Онлайн Банкинг