LIFE - новый сайт ВУЗ банка
Y
YK115
В поле для обратной связи можно вписать только 255 символов. Даже счётчик сделан. Такова позиция службы поддержки. Это приучает быть очень (до неприличия) лаконичным, но донести свою мысль с первого раза пока не удаётся. Буду работать над
этим....
Жестко :-) Может надо увеличит оперативную память специалистам тех. поддержки. :-d
f
former
или излагать слои мысли кратко и четко
f
former
из самых больших плюсов эл. банка ВУЗа - это система защиты - одноразовые пароли, несмотря на то, что мелко написано. У 24.ру - можно в демо версии получить на мыло варианты паролей - бред. никакой защиты. для хакеров - образец функционирования. а вообще ВУЗ хорошо стартовал с банкингом, если не
будет никаких срывав в их планах, то он заимет свою нишу. недоработки бывают у все и никто от них не застрахован.
T
TSergey
Хм. что такого ужасного в системе паролей 24.ру?
Y
YK115
У 24.ру - можно в демо версии получить на мыло варианты паролей - бред.
:D:D:-d ржунемогу. пеши исчо. и много
А Вы бы как хотели? Приходить за доступом к демо-версии в банк?
Y
YK115
из самых больших плюсов эл. банка ВУЗа - это система защиты - одноразовые пароли, несмотря на то, что мелко написано.
А Вы случайно не знаете, как в Банке24.ру организован доступ в ибанк?
P
Pilgrim
можно в демо версии получить на мыло варианты паролей
мне особенно понравились "варианты паролей" :-)
А зато у вуз-банка в качестве пароля можно вводить, цитирую официальный ответ "строку из любых 10 символов, но это должны быть цифры."
f
former
демо версия как раз и служит для того, чтобы ознакомиться как функционирует эл. банк, а не с тем, как выглядят пароли. и потом, это снижает уровень защиты пользователей эл. банка в целом.
T
TSergey
и потом, это снижает уровень защиты пользователей эл. банка в целом.
Что ЭТО?Демо-версия?
P
Pilgrim
Я кажется догадываюсь откуда появился этот вопрос.
В дополнение к своему предыдущему посту:
Когда я, после 10-ой неудачной попытки сменить свой пароль на доступ в e-life, позвонил в службу поддержки, чтобы узнать наконец "варианты допустимых паролей" и появилась эта крылатая фраза про "строку из любых 10 символов, но это должны быть цифры".
Однако, как выяснилось, и это тоже пока не работает, и, в итоге, клиенты вынуждены использовать в качестве пароля 4-х значный цифровой код, который был выдан им при заключении договора. Этот код известен сотрудникам банка и не может быть изменён пользователем. (ох, накликал я хакеров на свою голову). Я бы сказал ещё больше, но боюсь за свои собственные деньги.
(ШОК - это по нашему!)
Вполне естественно, что неискушенный пользователь решает, что у банка существует всего 9999 допустимых паролей, и часть из них банк выдаёт клиенту на карточке :-)
А виной этому полное отсутствие на сайте вуз-банка доступной информации от том, как это устроено и на чём построена система безопасности.
Отсутствие демо-версии только усугубляет дело.
Вот и получается, что обёртка красивая, сулит лёгкую жизнь и беззаботное счастье, но содержание пока далеко не соответствует поставленным целям.
Разумеется "недоработки бывают у всех и никто от них не застрахован" и, конечно, мы будем ждать с надеждой на лучшее, но по моему мнению сайт в таком виде открывать было нельзя.
Эх .. если бы не зарплатный проект...
[Сообщение изменено пользователем 16.05.2005 21:06]
В дополнение к своему предыдущему посту:
Когда я, после 10-ой неудачной попытки сменить свой пароль на доступ в e-life, позвонил в службу поддержки, чтобы узнать наконец "варианты допустимых паролей" и появилась эта крылатая фраза про "строку из любых 10 символов, но это должны быть цифры".
Однако, как выяснилось, и это тоже пока не работает, и, в итоге, клиенты вынуждены использовать в качестве пароля 4-х значный цифровой код, который был выдан им при заключении договора. Этот код известен сотрудникам банка и не может быть изменён пользователем. (ох, накликал я хакеров на свою голову). Я бы сказал ещё больше, но боюсь за свои собственные деньги.
(ШОК - это по нашему!)
Вполне естественно, что неискушенный пользователь решает, что у банка существует всего 9999 допустимых паролей, и часть из них банк выдаёт клиенту на карточке :-)
А виной этому полное отсутствие на сайте вуз-банка доступной информации от том, как это устроено и на чём построена система безопасности.
Отсутствие демо-версии только усугубляет дело.
Вот и получается, что обёртка красивая, сулит лёгкую жизнь и беззаботное счастье, но содержание пока далеко не соответствует поставленным целям.
Разумеется "недоработки бывают у всех и никто от них не застрахован" и, конечно, мы будем ждать с надеждой на лучшее, но по моему мнению сайт в таком виде открывать было нельзя.
Эх .. если бы не зарплатный проект...
[Сообщение изменено пользователем 16.05.2005 21:06]
P
Pilgrim
Кстати
Кстати, Ваше следующее сообщение содержит 410 символов.
Если бы Вы написали его в службу поддержки Вуз-Банка, то Вас бы оборвали на словах: "образец функционирования, а вообще".
А теперь попробуйте сформулировать эту же мысль, но "кратко и чётко". Не спорю, наверное это возможно, но отнимет гораздо больше времени и наверняка потеряет смысл.
или излагать слои мысли кратко и четко
Кстати, Ваше следующее сообщение содержит 410 символов.
Если бы Вы написали его в службу поддержки Вуз-Банка, то Вас бы оборвали на словах: "образец функционирования, а вообще".
А теперь попробуйте сформулировать эту же мысль, но "кратко и чётко". Не спорю, наверное это возможно, но отнимет гораздо больше времени и наверняка потеряет смысл.
Y
YK115
А вы вкурсе, что у казны демка (когда работает) вообще без авторизации пускает? Что на это скажите?
это снижает уровень защиты пользователей эл. банка в целом.
ржунемогу 2, пеши исчо.
Совершенно не связанные друг с другом системы, даже физически.
Демо-версия интернет-банка от Банка24.ру -- это самостоятельная платежная система, т.е. участники этой системы могут переводить друг-другу демо-деньги, зная имя и номер счета. Если сделать систему ввода и вывода средств, получиться аналог Webmoney.
[Сообщение изменено пользователем 16.05.2005 22:49]
f
former
если на то пошло, то можете посмотреть тяжелую демо версию электронного банка Автобанк Никойл, которая требует дополнительное программное обеспечение, т.е гарантирует безопасность
P
Pilgrim
которая требует дополнительное программное обеспечение, т.е гарантирует безопасность
Безопасность от кого ?
Вы боитесь случайно нанести ущерб банку ?
Чем больше программного обеспечения, тем меньше безопасность :-)
[Сообщение изменено пользователем 17.05.2005 15:58]
f
former
я не за банк боюсь, а за свои счета
Y
YK115
я не за банк боюсь, а за свои счета
Че-то я все равно не понял, как защищенность демо-версии влияет на защищенность рабочей системы? Под защищенностью понимать систему авторизации, а не защиту серваков и т.п.
Почему все-таки плохо отправлять демо одноразовые ключи по электронной почте? Как должно быть?
T
TSergey
Че-то я все равно не понял, как защищенность демо-версии влияет на защищенность рабочей системы?
Имхуется мне, что человек за 3 поста не смог высказать: "У систем со сторонним программным обеспечением выше криптостойкость проходящего трафика"
Y
YK115
Имхуется мне, что человек за 3 поста не смог высказать: "У систем со сторонним программным обеспечением выше криптостойкость проходящего трафика"
Я так понял, что ему не нравится, что при подключении к демо-версии ключи рассылаются по электронной почте, что от этого его счета в рабочей версии становятся уязвимы. А вот у ВУЗ-банка нет демо-версии и ключи мелко написаны, там все круто защищено.
T
TSergey
Я так понял, что ему не нравится, что при подключении к демо-версии ключи рассылаются по электронной почте, что от этого его счета в рабочей версии становятся уязвимы. А вот у ВУЗ-банка нет демо-версии и ключи мелко написаны, там все круто защищено.
Без автора и пол-литры не разобраться. :-)
Y
YK115
режется админами
Кравожадные админы :-)
Кстати, прошу зафиксировать, в нашем ибанке графики необходимый минимум, ну на всякий случай, вдруг это влияет на защищенность. :-)
А в ибанке для pda (http://pdabank.ru), картинок вообще нет.
P
Pilgrim
Кстати о защищённости.
Есть предложение как существенно повысить надёжность системы построенной на разовых кодах с минимальным изменением интерфейса и не нарушая совместимости со
старой системой.
Интересно ?
Есть предложение как существенно повысить надёжность системы построенной на разовых кодах с минимальным изменением интерфейса и не нарушая совместимости со
старой системой.
Интересно ?
Y
YK115
Интересно ?
конечно :-)
P
Pilgrim
Коротко не получилось, хотя идея проста.
Не будем сейчас обсуждать преимущества ЭЦП, они известны, но это совсем другая тема, сейчас только о том, что ещё можно сделать с разовыми кодами.
Несмотря на то, что разовые коды (в том виде, в котором они реализованы) предлагают, ну скажем несколько меньший уровень безопасности, они достаточно удобны именно для мобильного банка.
Но, помимо объективных причин "не самого высокого уровня безопасности" есть ещё и искуственные факторы.
В результате естественного стремления совместить полезное с приятным, коды получились слишком короткие
(наверное чтобы на карточку влезло разумное количество кодов?) и в итоге всё сводится к тому, насколько велика вероятность угадать два 5-ти значных числа за 3 попытки (а у некоторых одно 6-и значное).
Любители Спортлото знают, что это вполне возможно :-) тем более, что процесс можно повторять.
Да, конечно, есть ещё пароль, но предположим, что он скомпрометирован.
Я предлагаю увеличить длину кода, ну например до 10 цифр, не меняя формата карточки.
Это можно сделать несколькими способами.
Самый очевидный - использовать два или несколько кодов подряд, но есть и более
интересный вариант.
Я предлагаю ввести ещё один код, назовём его кодом подтверждения транзакции (КПТ),
который хранится на сервере (ну и в голове конечно) и который я могу поменять в любое время также как и пароль.
Теперь, всё что требуется, это расширить поле ввода разового кода до 10 цифр и вводить сразу два числа, разовый код + КПТ, с пробелом или без пробела, как вам будет угодно.
Соответственно, математика сервера должна учитывать наличие КПТ, и использовать его при сравнении (проверке),
но только если он установлен клиентом!.
Логически такой код является подтверждением того, что тот кто ввёл разовый код с карты, имел право это сделать, а практически просто увеличивает его длину, что и требуется.
Вуаля!
В результате, тот кто хочет получить повышенную безопасность устанавливает для себя КПТ,
те кто не хочет или не знает, даже ничего и не заметит.
Степень ответственности банка никак не изменится, поскольку код известен банку,
однако у клиента (по крайней мере у меня) на душе будет намного спокойней, а любителям Спортлото, напротив, труднее.
Можно конечно в качестве КПТ использовать уже имеющийся пароль, но отдельный код лучше.
Как Вам это ?
Критикуйте!
Не будем сейчас обсуждать преимущества ЭЦП, они известны, но это совсем другая тема, сейчас только о том, что ещё можно сделать с разовыми кодами.
Несмотря на то, что разовые коды (в том виде, в котором они реализованы) предлагают, ну скажем несколько меньший уровень безопасности, они достаточно удобны именно для мобильного банка.
Но, помимо объективных причин "не самого высокого уровня безопасности" есть ещё и искуственные факторы.
В результате естественного стремления совместить полезное с приятным, коды получились слишком короткие
(наверное чтобы на карточку влезло разумное количество кодов?) и в итоге всё сводится к тому, насколько велика вероятность угадать два 5-ти значных числа за 3 попытки (а у некоторых одно 6-и значное).
Любители Спортлото знают, что это вполне возможно :-) тем более, что процесс можно повторять.
Да, конечно, есть ещё пароль, но предположим, что он скомпрометирован.
Я предлагаю увеличить длину кода, ну например до 10 цифр, не меняя формата карточки.
Это можно сделать несколькими способами.
Самый очевидный - использовать два или несколько кодов подряд, но есть и более
интересный вариант.
Я предлагаю ввести ещё один код, назовём его кодом подтверждения транзакции (КПТ),
который хранится на сервере (ну и в голове конечно) и который я могу поменять в любое время также как и пароль.
Теперь, всё что требуется, это расширить поле ввода разового кода до 10 цифр и вводить сразу два числа, разовый код + КПТ, с пробелом или без пробела, как вам будет угодно.
Соответственно, математика сервера должна учитывать наличие КПТ, и использовать его при сравнении (проверке),
но только если он установлен клиентом!.
Логически такой код является подтверждением того, что тот кто ввёл разовый код с карты, имел право это сделать, а практически просто увеличивает его длину, что и требуется.
Вуаля!
В результате, тот кто хочет получить повышенную безопасность устанавливает для себя КПТ,
те кто не хочет или не знает, даже ничего и не заметит.
Степень ответственности банка никак не изменится, поскольку код известен банку,
однако у клиента (по крайней мере у меня) на душе будет намного спокойней, а любителям Спортлото, напротив, труднее.
Можно конечно в качестве КПТ использовать уже имеющийся пароль, но отдельный код лучше.
Как Вам это ?
Критикуйте!
Я предлагаю ввести ещё один код, назовём его кодом подтверждения транзакции (КПТ),
Простой вопрос: Как его устанавливать и менять?
Идея весьма неплохая, даже при наличии возможности смены/установки непосредственно в меню ибанка... Действительно, пароли доступа могут находиться в кукисах и при пользовании посторонним лицом могут быть легко дискредитированы. Карточку с кодами тоже можно украсть у пользователя. тогда у злоумышленника появляется доступ к ибанку и коды... И это может легко случиться без ведома пользователя... КПТ, если таковой имеется и устанавливается самим пользователем, хотя и может быть точно так же дискредитирован халатностью пользователя, тем не менее значительно снижает риск управления ибанком без ведома пользователя и не сильно усложняет работу с ибанком...
Считаю автора достойным вознаграждения за действительно дельное и недорогое решение!
ЗЫ: Если будет внедрено, обязательно поинтересуюсь, поощрён ли автор.
[Сообщение изменено пользователем 18.05.2005 19:07]
Авторизуйтесь, чтобы принять участие в дискуссии.