LIFE - новый сайт ВУЗ банка

Разумеется через меню ибанка.
Там же и так же как и пароль.
Не слишком сложная переделка, я полагаю.

[Сообщение изменено пользователем 18.05.2005 19:13]

А первоначально задавать в заявлении на открытие счета.

Можно и так, а можно и вовсе не задавать.
В этом вся суть, и без него тоже будет работать.
А ввести можно будет потом, когда угодно.
То есть уже существующим клиентам ничего дополнительно получать не надо.
Это будет просто дополнительная функция ибанка.


[Сообщение изменено пользователем 18.05.2005 19:17]

Хм....
А доступ к системе как организован?

Так ничего же не меняется.
При заключении договора КПТ не установлен.
Входить в систему можно с разовым кодом (также как это делается сейчас и будут делать впредь ранее подключившиеся).
А потом можно установить КПТ, и последующие заходы уже будут через код+КПТ.

[Сообщение изменено пользователем 18.05.2005 22:50]

Я просто совсем не в курсе как сейчас.
Проверил бы и изучил, но это долго по времени.


Выглядит весьма логично и действенно.

Вовсе не оязательно... можно сделать скрипт прямо при заходе в ибанк: "необходимо установить КПТ..." Если таковой не установлен..., а там уж или сразу ставить или связываться с банком, чтобы поставили начальный...

Спасибо, но мы это уже выяснили. :-)

Жаль, что пока не удалось услышать начальника транспортного цеха. :-)

А что ему сказать? Я бы на его месте идею сразу руководству на стол кинул... Только потом бы ответил, причём в личку и пригласил для встречи...
2 Pilgrim : Для таких случаев стоит или "информацию о пользователе" прописывать или хоть "отправить письмо" сделать... Идея действительно стоящая... Сами придумали или подглядели где?

[Сообщение изменено пользователем 18.05.2005 20:05]

[Сообщение изменено пользователем 18.05.2005 20:18]

Сам, конечно.
Когда своих денег коснётся и не такое придумаешь.... :-)
Но патентовать не буду, ибо польза должна быть всеобщей.

Идея из тех, что хватаешься за голову со словами: "ё... как же я сам не допёр!" :-)


Оперативно. :-)

Если метод назовут моим именем, я не обижусь.
Код Pilgrim-а
Звучит ? :-)

Звучит. :-) Только неинформативно... А пользователя надо пугать терминами, ради его же безопасности... Затрат всё же потребует... Хотя бы изменение договоров банка с пользователями...

А что там менять ?
Это не меняет никаких условий предоставления услуги.
Просто новый бантик.

Кстати, о том как возникла идея.
Я с разовыми кодами раньше не сталкивался, а тут
вуз-банк нас этим "порадовал".
Я стал искать альтернативы и обнаружил, что 24.ru тоже предлагает такое, только лучше :-)
Подключился к обоим.
Тут-то и выплыли замечания.
Полиграфия карточек отвратительная, коды написаны мелко и неряшливо, при соскабливании нет никакой уверенности в том, что очередной код прочитается.
А если не прочитается, то нужно блокировать всю карточку, что и произошло однажды.
А если в командировке ?
Тогда я решил эту проблему "радикально".
Отмыл всю карточку целиком, сфотографировал и положил в свой КПК. Ещё одна идея, кстати :-)
Теперь я по крайней мере был уверен, что все коды читаются и всегда при себе.
А потом подумал и именно "за голову схватился".
Это что-же, из всей безопасности остаётся один пароль ?
Вот и придумал... :-)

[Сообщение изменено пользователем 18.05.2005 20:38]

Пароль - тоже не канает, если кукисы не убирать... так что украсть денег после овладевания КПК (и не попасться) сложновато, а вот порезвиться, переведя какому-нибудь фонду однополого секса - пожалуйста. :-)


По-хорошему этот бантик стоит учитывать при "разборе полётов" и зафиксировать его в договоре...

НДА, Ваше КПТ можно также скромпомитировать, так как, по идеи, КПТ явно вводится чаще, чем логин! Поэтому не видно явных премуществ КПТ перед логином! если можно украсть логин, то КПТ соответсвенно тоже украдут, поэтому где явное преимущество?

И тогда Вам, Pilgrim, как человеку с математическим способностями задачка:
Начальное условие: известен ID и логин входа в банкинг e-life; так же известно, что при вводе неверных 3-х паролей - банкинг блокируется на сутки
вопрос: сколько дней потребуется любителям спорт лото, чтобы взломать сайт (в режиме реального времени производится мониторинг блокировок и ПРИЧИН )
;-)

Я вовсе не утверждал, что существующая система защиты
ненадёжна. Она минимально достаточна. И меня устраивает, для управления суммами в пределах 100 тыр.
А вот за миллион я уже подумаю.


Ровно 15 секунд. Если повезёт и 6-ти значное число совпадёт.
Всё что я предложил, это увеличить длину кода, чтобы "везло" меньше, не меняя интерфейса.
И чем длиннее, тем лучше.
Что в этом плохого ?
Не бывает "слишком" сильной защиты.
А тут практически даром, классом повыше...


Я не предлагаю упразднить логин.
Пусть всё останется как есть.

Нет панацеи, и я не пророк.
Более того, если кому-то очень будет нужен Ваш пароль, то
он всегда его может получить от Вас лично, если хорошо "попросить". И КПТ тоже.
Повторяю, система вполне надёжна, но с КПТ она была бы психологически комфортней, по крайней мере для меня.


[Сообщение изменено пользователем 18.05.2005 22:48]

Да и вообще, это всего лишь вариант, которых много.
Потому и на форуме.
Просто болтаем, о своём, о девичьем.
Вдруг чего-нибудь полезное выплывет.
Например, можно к КПТ подмешать какие-то параметры зависящие от текущего времени или какой-то другой функции...


[Сообщение изменено пользователем 18.05.2005 22:50]

Это спорный вопрос.
Так быть не должно.
КПТ вводится как и разовый код только при совершении транзакции. А в банк можно заходить и по другим причинам,
посмотреть остатки, пообщаться со специалистами ...
А вот чтобы не вводить много кодов при совершении транзакций, я ранее уже предложил ввести систему экспресс оплаты (несколько операций за один код), что мне и было обещано, правда может быть в следующей жизни :-)


[Сообщение изменено пользователем 18.05.2005 22:18]

Для этого надо, чтобы пользователь "писал пин-код на карточке", т.е. халатность пользователя, либо посадить трояна и отслеживать нажатия на клавиатуру либо траффик. И делать анализ... Нетривиально...


Кукисы, реестр! Пароли есть на компютере пользователя (почти всегда, для удобства). Пример: я в командировке. Оставил ноут и карточку в номере...


Не надо для этого ничего! В ситуации см. выше вход вполне легальный и операции тоже. Результат плачевен, а пользователь и не знал...

To pitbios: спасибо за Ваши очень ценные замечания.

С учётом всего вышесказанного позволю себе
сформулировать предварительные итоги нашего мозгового штурма:

Итак, два самых больших недостатка разовых кодов:

1. Все коды записаны на "бумажке" и система сама подсказывает какой код ввести. Это допускает несанкционированное использование кодов во время
"временного отсутствия" владельца.
2. Коды недостаточно длинные, что создаёт хоть и маленькую, но ненулевую вероятность их "угадывания".

Введение КПТ позволяет решить обе проблемы с минимальными затратами.
Коды удлинняются, и часть кода переносится в сферу ответственности владельца.
По моему неплохо.

[Сообщение изменено пользователем 19.05.2005 00:53]

Сколько успели написать :-) Вроде не на долго отходил.

Во-первых, если пользователь сам пароль никуда не записал, а только вводит в нужное место и выключена опция некоторых браузеров "запоминание пароля", он нигде на компьютере не храниться.
Во-вторых, если пароль все-таки записан пользователем, то на 90% записан и КПТ.

По недостаткам кодиков:
1. Планируется сделать в новой версии другой способ доставки кодиков пользователю.
2. Внедрением первого пункта решается проблема длины кодика.

А вообще, некоторые не могут запомнить свой пароль, запоминание двух сущностей для них будет равно самоубийству :-)

Мое имхо, лучше сделать первый пункт, тогда, в лучшем случае, с собой вообще ничего дополнительного носит не надо будет. Нужно будет только помнить пароль.

А идея хорошая, респект.

Я так и думал, значит опять, только пароль :-(
Ну что-ж, в жизни всегда есть место подвигу.


"Некоторые" меня мало волнуют.
Я больше о своём беспокоюсь.
Был бы выбор, было бы спокойней.
Ладно, подождём новой версии, а там видно будет.
И когда ожидается это событие ?

Уверяю вас, если пароль у вас в голове, а карта в ипаке, то вам ничего не страшно :-)


УУУ, самому интересно :-)