б24 и "другая" версия интернет-банкинга?

Я где-нибуть говорил про инвестиции?
Нет.

Инвестиции не кодиками управляются.


Я говорил именно о _буднях_, о том, что нужно каждый день, и тут, и в путешествии. Даже в глухой Цейлонской деревушке встречаются банкоматы. И кушать хочется каждый день, и не по одному разу.
Купив за 15 (пятьнадцать) рупий (приблизительно четыре рубля) литровый кокос - неприятно будет узнать, что карта скомпрометирована и карт-счёт обворован.

А так - включил GPRS или попросил в интернет-кафе Ethernet-кабелёк - и управляй картами. Разрешил одну операцию, подошёл к б/м, взял деньги - и спокоен, остальное на замке.
Вот какое ДБО мне кажется правильным.

Скажете - это и кодиками можно - да, с моего ноута - можно, но кодики КОНЧАЮТСЯ, а ЭЦП нет!

Концептуально: раз что-то хранится в двух экземплярах (а все кодики банку известны наперёд), значит будут хищения и/или злоупотребления.

О, любимая тема про покупку кокосов у сомалийских пиратов поперла :-D
Да не вопрос.

Ну кто спорит? Можно.

Чемодан карточек возьмите. Не кончатся.
Для меня, знаете ли, кодики в УТБ, поставляемые эсэсмэсками или по е-мэйл, не кончаются даже теоретически. И чо? Какие еще будут аргументы?

Банку УТБ кодики наперед неизвестны. И чо?
Может вам просто банк поменять или в трех банках отметиться, а то вы Сергея Геннадьевича уже доканали, он признается, что не все понял, что вы писали.
А доканаете, он введет бесконечные кодики, поставляемые через каналы связи.
И чо?

Человек посередине?
Перетирали.

1) Если по SMS каналу хоть какая-то (пусть игрушечная) шифрация применяется, то по e-mail'у - нет.
2) есть масса мест на планете Земля, где нет GSM-радиопокрытия. Там, где оно есть - не всегда действуют операторы, у которых с вашим есть SMS-обмен.
Что делать будете?


Как так?!
С чем же он сравнивает ваши кодиковые "подтверждения"?!

Я с Вами категорически не согласен. И многие банки тоже ;-)


Кстати, в не подключаемом к компу брелке RSA SecurID кодики бесконечны. Жаль, что банки этим не пользуются...


Не факт. В банке могут храниться не сами кодики, а например их хэши. Как с PIN-кодами ;-)


Там и GPRS ваш не заработает, да и интернет сложно будет найти.

Буду предлагать вам украсть пароль от моей почты.
Давайте. Вперед.

Мы о каком промежутке времени говорим?
На несколько секунд (пока я его получу и введу) они ему известны, конечно. И на один кодик, а не на сто.
И чо?

Ну, кстати, да. Там ЭЦП хоть заимейся, не передашь ни байта.

Пароль от чьей-либо почты злым умышленникам сто лет не нужен.
Раз SMTP/POP3 не зашифрован - любой админ на любом шлюзе между вами и банком прекрасно видит всю вашу почту...


А то - злой умышленник в банке сам сгенерирует произвольную транзакцию, припишет её вашей учётной записи - и тю-тю денежки...
Уже обсуждалось не раз, даже в этой теме.

Гы-гы-гы!
Будто кодики вас спасут!...
:-)

Да, это гораздо лучше бумажек, но всё равно небезопасно. Кодик не ЭЦП, его подделать проще простого (на стороне банка).


Смотри выше.

Кстати, hash'и всех четырёхзначных комбинаций можно легко предвычислить и по полученной таблице узнать кодик.

[Сообщение изменено пользователем 23.01.2010 20:56]

Уважаемый злоумышленник, увидьте весь мой трафик и найдите там _нужную_ вам информацию.
И это ради стырить у меня пяток тысяч.
Хакера перечитали?


И пойдет по этапу на раз.
Сам великий Ф. публично таких разыскивал на четвертом канале.

Вы до сих пор не усвоили, что все эти геморои вы как злоумышленник будете ограбать ради моих _текущих_ денег, которые я запланировал на мобилу, интернет и коммуналку.
В чем тут преимущество ЭЦП перед кодиком?

(напоминаю, что концептуально мои, так сказать, оборотные средства, не лежат на управляемом через интернет счете)

Уважаемый, так и я о том же - банку с кодиками больше пары тысяч рублей я не доверяю.

Там, где нет ничего, там не работает ничего. Вы же нам доказываете, что ЭЦП лучше. Можно подумать, что оно работает даже там, где нет связи, ведь вы упираете именно на это. То есть вы теоретически лишили нас связи по СМС и говорите "гыыыыы, вы кодик не получите." А вам в ответ "гыыыы, так вы и с ЭЦП ничего не передадите". :-D

/хихикнул/

Не надо передёргивать.

"нет ничего" != "нет SMS-обмена".
Читайте ругань в адрес альфы на сайте банки.ру, масса жалоб по поводу попадалова с кликом, если приехать в (бурно развивающийся, архитехнологичный, на каждом углу бесплатный WiFi) Китай, например.

А еще у банка есть образец вашей подписи. С помощью которой на стороне банка можно генерировать бумажные платежки от вашего имени, или даже закрыть счет с получением нала в кассе. ЭЦП тут не дает никаких преимуществ.

От ветть беда-то. А вы внимательно ознакомились с термином "_текущие_расходы_", изложенным много ранее.
Вы чего желаете-то? Быть миллиардером и всем управлять из Антарктиды?
Вы задачу озвучьТе.
Сумма, определяющая степень ответственности, периодика транзакций.
Задачу ПОСТАВЬТЕ.
А то выступаете тут от имени миллиардов китайских домохозяек, имеющих вайфай, но не имеющих СМС, и оперируете интересами неописанной целевой группы.
А у домохозяек, как вы сами признаете, цели и суммы иные.
Вы как змея, укасившая себя за хвост.
Прямо скажите - дайте миллиардеру персональный сервис. Дадут и в попу поцелуют, и оближут, и обласкают.
Только назовите себя. :-D

В случае злоупотребления экспертиза докажет, что распоряжение поддельное.
В случае попытки фальсификации документа с ЭЦП (если клиент надлежащим образом хранит ключ в аппаратном криптопровайдере) злой умышленник столкнётся с ОЧЕНЬ большими трудностями.

С кодиками у него всё получится за пять минут чайного перерыва.


[Сообщение изменено пользователем 23.01.2010 21:27]

Точно также экспертиза может доказать, что на карте у использованного в операции кодика даже защитный слой не стерт ;-)

Задача простая - нормальное ДБО.
Розничный банк должен разгрузить свои офисы от рутинной работы, с которой прекрасно справится клиент, будь он хоть в Антарктиде, хоть в Екатеринбурге.


Не передёргивайте, сколько раз говорить?
Миллиарды китайских домохозяек, как и туристы, не получают SMS из Российских сетей и от их абонентов.
Нормальные ДБО из китайского WiFi прекрасно продолжают работать, несмотря на тамошний СОРМ.

Устал уже перепечатывать по нескольку раз...
Вы отправляете платёжное поручение на M рублей получателю N, подтверждаете его очередным кодиком. Банк исполняет перевод Z рублей на реквизиты Q и предъявляет вам ваш же кодик!
Что вы им на это скажете?!

Резюмирую.
1. Вы подозреваете, что в банках сидят сплошные злоумышленники, которые будут применять кодики, чтобы их у вас украсть и спереть суммы ваших текущих расходов.
2. В случае ЭЦП вас это почему-то не беспокоит, хотя именно с использованием ЭЦП и именно в пионере эцэпэстроения (СК) инсайдеры воровали деньги со счетов клиентов.
3. Вы не можете обозначить целевую аудиторию, а также за чей счет будет этот банкет.
4. Вы придумываете аргументы на ходу. Фанатичный метод.
5. Вы видите мотивацию кражи у физиков текущих денег, но при этом не можете назвать порог этой мотивации.
Весь этот комплекс подозрительности, вы именуете "нормальным ДБО".
Знаете, многие девушки всю жизнь ждут принца, потому что их критерии принадлежности к голубой крови постоянно и _перманентно_ меняются. Это поиск ради поика. То есть в первые год-два им кажется, что это процесс конечный... но потом он приобретает самоценность и становится интересен сам по себе... просто превращается в смысл жизни. При этом (раз уж они не были поставлены) первоначальные цели растворяются, теряются и исчезают как нечто несущественное и ненужное. :-)

От незнания. Альфой можно пользоваться и без SMS ;-)

Безопасность всей системы в целом определяется самым слабым звеном, и это не ЭЦП. Ключ к которой можно сменить, воспользовавшись образцом вашей бумажной подписи. :-d Или вашим пасспортом, украсть который не сложнее, чем карточку с кодиками.
А ведь есть еще PIN-код к вашей карте, который обеспечивает даже меньшую защищенность, чем кодики. Есть и операции по списанию с карты без предварительного резервирования суммы, при которых установленные вами лимиты не действуют :-d


[Сообщение изменено пользователем 23.01.2010 21:45]

Попутно подделав видеозапись моего визита в офис, особенно при наличии чётких доказательств обратного.



Раз не исключено - значит это возможно. Особенно, если верить вашему пункту 2.


Доказано ли, что именно инсайдеры воровали, а не третьи лица по строяненым сертификатам?


Рано или поздно - ВСЕМ банкам придётся внедрить нормальную аутентификацию клиентов и авторизацию их действий.


?


Порог у каждого злого умышленника свой.
Нормальным ДБО я называю систему, при которой я могу не появляться в банке годами, ибо всё делаю самостоятельно.

Именно по этому я в ТСП пользуюсь "электронными" картами, по которым эти лимиты действуют ВСЕГДА.