LIFE - новый сайт ВУЗ банка

Я, например, не помню своего пароля... да и логин не помню... :-) Зато я помню массу номеров телефонов и несколько пин-кодов... различных паролей приходится помнить очень много и часто менять... КПТ, даже длиной 4 символа требует небольших затрат при программировании, но существенно повышает безопасность... к тому же изначально предлагался опциональным... Доставка кодов на мыло/мобильник имеет серьёзный недостаток, т.к. задействуются чужие каналы связи, соответственно есть вероятность их неполучения/задержки и срыв работы клиента - снижение качества услуг.

Я тут новенький, но сразу в глаза бросается пустое переливание из ... в ...

Хочу прокомментировать все выше и ниже сказанное



Кто Вам мешает, запатентуйте, может Ваша идея и будет востребована, как в лотерее. ;-)



Тогда первое, куда Вы должны писать, так это в безопасность по пластику, там ПИН не больше... а так, Ваш совет можно воспринять как "стрельбу по воробьям из пушки"

Далее...
То, что человек узнал Ваш пароль на вход в e-life, уже говорит о том, что он в состоянии узнать и Ваш КПТ.
И ещё...
Насколько мне стало известно, особо критичные операции, такие как Васе Пупкину в тьму-таракань, будут производиться с использованием ЭЦП, это в интересах всех Банков, какие есть на белом свете. Иначе как потом доказать, что клиент "с бодуна" ошибся одной циферкой, а в этом случае ни о каких карточках речи и быть не может...
Насчет Ваших сбережений с большим трудом и натягом можно беспокоиться, под одноразовым ключом Вы сможете только перевести деньги в пределах своих счетов и заплатить за услуги, а такие вещи как «дневной лимит» никто не отменял. Получается, что кроме информации о том, куда Вы потратили $50 из семейного бюджета, может понадобиться только заинтересованному лицу (жене например).
В любом случае, позвонив в ЦТО, Вы можете отключить любой счет и не отображать его в e-life, пока вы не зашли с использованием стойкого ключа, хотя и тут могут быть варианты.

В общем, считаю вопрос по безопасности в таком контексте как добавить длину или добавить ещё один пароль считаю флеймом в этом форуме, этот метод используется очень давно, и пока показал себя только с хорошей стороны.

[Сообщение изменено пользователем 23.05.2005 02:43]

To: IkaryG
Буквально каждая строчка вопит об опровержении.
Но! Тема обсосана и закрыта.
Мы обменялись мнениями, выяснили позиции, больше обсуждать нечего.
У банков есть своя стратегия развития, в том числе по безопасности. Они ей следуют. Вот и славно.
А нам, клиентам, остается смотреть и сравнивать.
Что мы и делаем, благо выбор есть.
У каждого своя голова на плечах.
И незачем было поднимать эту тему из небытия.


[Сообщение изменено пользователем 20.05.2005 22:26]

Кстати про опровержение!

Так уж получилось, что мои знания в этой области выше средних (не усмотрите намека в этой фразе) и когда в форуме начинают обсуждать вопросы, в которых, как правило, раскрывают тему только с отрицательной стороны вопроса, то для понимания картины другими участниками или читателями форума (тут я понял, что не все читатели могут прочитать мой текст и пришлось изменить параметр сообщения) которые не в состоянии сами оценить правильность и что более важно необходимость внедрение предложенного Вами решения. Ваши сообщение невольно заставляют людей воспринимать Вас достаточно серьезно, раз Вы решили открыть данный вопрос, и если будет отсутствовать опровержение Вашим словам, то люди могут склониться к Вашему мнению, что достаточно некорректно с морально-этической точки зрения, Вы сами сказали, - «это форум», поэтому будьте любезны принять мои ответы как конструктивные замечания.



Вот и мой пост примите как мое личное мнение на все вышесказанное.


И я не работник банка, но хочу немного повториться. Вы своим вариантом даете другим клиентам ненужную пищу для обсуждения и страхов, неужели Вы действительно думаете, что банки будут сознательно идти на риск? А клиентам необходимо задуматься о более серьезных моментах при выборе банка.

Есть зачем, я счел необходимым в рамках этого форума расставить все точки… посему, если есть желание поговорить на эту тему (если Вас интересуют механизмы защиты и т.п.), можете писать мне в почту.

Я никого ни к чему не призывал и не принуждал.
Мой вопрос звучал так: "будет ли интересно моё предложение или нет".
А суть предложения сводилась к тому, как сделать и без того хорошую защиту ещё лучше.
Вернее, сделает ли оно её лучше ?
Это изменение не затрагивает никаких основ уже принятой банком системы безопасности
и чисто технически реализуется за один, два дня.
Я не рассматриваю здесь возможные сложности при сертификации такого изменения,
это уже совсем другой вопрос.
Я ожидал небольшой дискуссии, но ответ я рассчитывал получить
от вполне конкретного участника форума.
И я его получил.
Замечу, что предложение в большей степени актуально именно для мобильного банка,
в том виде как он реализован сейчас и в котором пока затруднительно реализовать ЭЦП.
А мобильных банков у нас в городе не много, как вы знаете, фактически один :-)
Я узнал, что грядут изменения, готовится новая версия банка, поэтому тему посчитал
закрытой. Поживём - увидим.

Теперь, что касается ответа на ваш вопрос и чтобы уже расставить точки над "и".



Нет, я так не думаю.
Сохрани меня Господь бросать тень на банки или их систему безопасности.
Я не подвергаю сомнению компетенцию банков и не пытаюсь их учить как строить свои системы.
Я знаю тенденции и не оспариваю преимуществ ЭЦП и других более современных методов
идентификации, (с этого, кстати, я начал своё предложение).
Я не думаю, также, что печально известный Сити-Банк был менее компетентен в вопросах защиты,
что крупнейший банк Казахстана - 'Казкоммерцбанк' на заботился о своих клиентах, что компания
Cisco, один из ведущих разработчиков средств защиты, сознательно два раза подряд выпустила
стандарты безопасности в беспроводных сетях, которые тут-же были скомпрометированы,
что в NASA, чья корпоративная сеть недавно была взломана, сидят необразованные люди и т.д. и т.п.
Я ТАК НЕ ДУМАЮ.
Зато я знаю, что такое Интернет и знаю, что всё, что придумал один человек, всегда сможет понять другой.
И ещё я знаю, что несмотря ни на что мы всё равно будем пользоваться плодами прогресса.
Кстати, надежность хорошей системы защиты не зависит от того, что кто-то знает как "выглядят коды доступа" или
какой алгоритм применяется для авторизации и шифрования.



Нет никаких "более серьёзных моментов", чем уверенность в том, что твои деньги в надёжных руках.
Во всех смыслах (в финансовом, политическом, житейском, и т.д.)
И чтобы убедиться в этом, все способы хороши.

Теперь, раз уж Вы процитировали мою фразу: "Буквально каждая строчка вопит об опровержении",
придётся пояснить свою мысль.



Аппеляция к системе VISA как безупречно надёжной системе просто неуместна в таком контексте.
У неё есть свои недостатки и VISA об этом знает, и именно поэтому ввела систему VISOR для
тотальной слежки за транзакциями клиентов и поэтому каждый год снижает пределы своей
ответственности и лимиты по операциям с картами. И нет ничего плохого в том,
что и клиент будет знать степень своего риска. Когда вы даёте свою карту в руки молодому официанту
в ресторане - вы рискуете. И когда вводите данные своей карты в малоизвестном интернет магазине,
торгующем по привлекательным ценам - вы тоже рискуете.
Если Вы поинтересуетесь сколько было случаев мошенничества с пластиковыми картами
только за прошлый год и только в Свердловской области, уверен - это не поднимет Вам настроения.
Эту информацию банки сами должны доходчиво объяснять своим клиентам.
И, поверьте, от этого степень доверия к банкам не уменьшится, а напротив возрастёт.
А сегодня многие банки, в стремлении сделать жизнь проще, вообще не дают такой информации,
видимо опасаясь дать "клиентам ненужную пищу для обсуждения и страхов". И напрасно.
Тот кто хочет узнать о своей безопасности, должен иметь возможность сделать это.



Лично мне это ни о чём таком не говорит.
Аргументы типа "клиенты не могут запомнить даже один пароль, а вы предлагаете ввести ещё один" или
"не говорите никому свой пароль, и вам бояться нечего" не выглядят слишком убедительными.



Конечно могу, только зачем тогда мне Интернет-банк ?
Картой я и раньше мог пользоваться, а держать на ней деньги под полпроцента не очень хочется.

Про ЭЦП я уже писал.
Про 50$ и мою жену не буду комментировать.


Ничего не имею против этого.
Если человек, когда ему говорят, что ходить тёмными переулками с мобильником на шее опасно,
воспринимает говорящего как параноика, то спорить я с ним не буду, но и жалеть не стану.
Риск есть всегда и везде, и вовсе не надо быть специалистом по криптографии,
чтобы понимать простые житейские правила.



Конечно интересуют, при случае воспользуюсь, спасибо.
Но как человек который уже 10 лет занимается разработкой сетевых приложений, в том числе по безопасности, я предпочитаю получать информацию из первоисточников,
то есть покупая необходимые стандарты (те которые можно купить).


Ну что-ж, "пора итожить говоренное".
Я не специалист в банковском деле и за отсутствием подробной информации не могу квалифицированно судить о реальном уровне безопасности того или иного банка.
Как и все остальные нормальные люди, при выборе банка я руководствуюсь тем объёмом информации и с той степенью детализации которую я захочу и смогу получить и понять.
Если я скажу, что банковская система на 100% надёжна, вы же сами поднимете меня на смех.
И вовсе не я стал этому причиной. :-)
Но и говорить, что банки не надёжны, я тоже не стану.
Риск есть всегда, и основной способ борьбы с ним - информация и здравый смысл.
Потому и "у каждого своя голова на плечах", и никуда от этого не денешься. :-)
А моё предложение никоим образом не уменьшает доверия к существующей системе защиты,
и вовсе не является поводом для беспокойства клиентов.
Я тоже пользуюсь банками, в том числе через Интернет, соблюдая при этом элементарные житейские предосторожности:
"не клади яйца в одну корзину" и "бди!" :-)
Однако, если бы часть кода не была записана на бумажке, это дало бы мне ещё чуть-чуть больше ответственности за свои поступки и уверенности в своей безопасности.
Вот такой вот я параноик.
Прошу извинить, если кого-то нечаянно обидел.
И не стоит преувеличивать моё скромное мнение.


[Сообщение изменено пользователем 23.05.2005 18:19]

Насколько я вижу, мой текст указывает не на прямое склонение, а воздействие на слабые умы… (которые не в состоянии понять суть обсуждаемого предмета, а побежать и «кинуть начальнику проект на стол» считая, что он гений)


Как клиент я с Вами согласен, что нужно стремиться к совершенству, но в данном случае необходимо взвесить различные варианты и при обсуждении аналитиками банка прийти к конечному решению, при котором этим решением будут пользоваться не 2% клиентов, а больше.



Я рад, что Вы получили этот ответ, но как Вы и сказали, - «Я ожидал небольшой дискуссии…», и Вы её получили ещё и в моем лице.

Поживём - увидим.


Где слабо там и рвется, я думаю, приведение таковых примеров я могу рассмотреть как пафос, опять таки, бараны отдельно, а сыр в холодильник. Мы рассматриваем вопрос об одноразовых кодах, они существуют на моей памяти приличное время и показали себя с хорошей стороны.

Это неоспоримо, но самый простой способ, - «монтировка/нож/пистолет у виска» нужное подчеркнуть ;-).



Клиент может быть сколь угодно уверен в защите банковских систем, но человеческий фактор никто не отменял…



О недостатках этой системы мне говорить нет необходимости, я прекрасно представляю плюсы и минусы этой системы.


Не стоит раскрывать тему, которая не относиться к нашему вопросу, Вы вроде говорили про Спортлото, а не про то, что Вы даете доступ к Вашему аккаунту официанту, и он будет за Вас платить за Ваш обед, а потом судорожно подбирать очередной пароль. Все риски с картами я и думаю, другие сознательные клиенты и так знают.



А если за все столетие, то очень удручает ;-), мы говорим про одноразовые пароли.



Я думаю, что Вы утрируете, если Клиент в достаточной степени образован, то в состоянии потребовать от банка сведений, в рамках дозволенного, о своей безопасности.

Никто не отменял клавиатурных шпионов и силового воздействия. Защита имеет две стороны, одна со стороны Банка, а другая со стороны клиента, об этом забывать не стоит. Можно довести до маразма систему защиты, но при этом при силовом воздействии, клиент сам принесет деньги, а в статистике есть случаи, когда пострадавшая сторона обращается уже в самые критичные моменты, когда деньги ушли и раскрываемость не велика.


Вы всегда сможете держать открытым любой счет при использовании ЭЦП, а при использовании одноразовых пролей только один или два, и совершать операции с них.




Насколько я помню, это было сказано к противостоянию двух дискутирующих сторон, что раз Вы в форуме затронули вопрос, который детально раскрыт только с одной стороны, то будет человек, который Вам возразит. А Ваш пример немного агрессивен, Вас почему-то всегда тянет приводить примеры для устрашения, нежели реально сравнимые с данной ситуацией. Никто не говорит о параноидальном бреде, просто раскрывая такую тему, надо думать и о слабых умах, см. выше.



Как я и сказал, Вам могут ответить в рамках дозволенного, все остальное, предоставьте аналитикам банка и тем, кто эти программы клепает, они, как правило, не первый день на рынке таковых услуг.


Меня Вы не обидели (надеюсь, что и я Вас не обидел своими высказываниями), а Ваше мнение оно интересно, поскольку оно существует. Как ни один раз говорили психологи, народные массы может поднять простой человек, который правильно умеет говорить.

P.S.
Думаю, стоит заканчивать с данной дискуссией, поскольку мы скоро будем отвечать по нескольку десятку страниц за один пост.

[Сообщение изменено пользователем 24.05.2005 04:42]

илюбленный прием - тихо незаметно пропиарить под видом клиента. а вот на сайте неправильный значок системы страхования вкладов, а это батеньки - нарушение инструкций. ждите к вам идут ))

Вы правы, местами я немного перегнул палку.
Однако, кто предупреждён, тот вооружён :-)
Но Вы сами виноваты, менять свой псевдоним во время беседы о доверии не очень красиво, я был мягко говоря растерян.

Тему действительно пора закрывать, однако напоследок
я расскажу ещё одну "страшилку".

Когда в 1996 году компания Security Dynamics Technologies предложила технологию SoftID,
которая и легла в основу разовых кодов (сеансовых ключей), она честно привела все аргументы за и против.

Да, эта технология даёт существенное повышение безопасности по сравнению с обычными паролями
и эффективно решает проблему компроментации паролей.
Но она не скрывала и другой стороны, которая известна каждому специалисту, а именно:
и этот и многие другие методы аутентификации, включая ЭЦП, страдают одним недостатком -
они, на самом деле, аутентифицируют не конкретного субъекта, а фиксируют тот факт,
что аутентификатор субъекта соответствует его идентификатору.
То есть, все перечисленные методы не защищены от компрометации аутентификатора.
Переводя на человеческий язык: у кого карта, тот и заказывает музыку.

Когда, позднее, компания RSA купила эту технологию и развила бурную деятельность по коммерческому
распространению своего продукта SecureID, она убрала эту информацию с первых полос рекламных буклетов,
руководствуясь тем же принципом, что и Вы: "денег заработать надо, а пугать клиентов ни к чему".
И действительно, зачем говорить больному, что он неизлечим ?
Лучше дать надежду, а там глядишь и лекарство появится, например биометрические методы.

Однако даже RSA не отрицает того факта, что поскольку технология прежде всего защищает
от дискредитации паролей, то в случае потери контроля надо своей картой (жетоном)
единственным форпостом остаётся всё тот же пароль, внимания к которому (со стороны клиентов)
после введения данной технологии стало ещё меньше.
А вот с этим уж, говорит RSA, ничего сделать нельзя, потерял карту из виду - суши вёсла.
А я сказал, что можно. Немного, но можно.
Не выходя за рамки здравого смысла.
Что тут плохого ?

Есть и другие предложения аналогичного свойства.
Например, зачем искуственно вводить ограничения на длину пароля в 10 цифр, провоцируя использовать номера мобильных телефонов ?
Почему не дать возможность вводить фразы любой длины с пробелами и знаками препинания ?
Это ведь не кощунство ?
И просто и приятно.

За сим прощаюсь.
И Вам того же желаю :-)

инструкция для банков, входящих в систему страхования вкладов http://www.fdic.ru/for_b/recom_p2.html


на сайте ВУЗ-банка висит свидетельство о вступлении банка в реестр участников системы обязательного страхования вкладов http://www.banklife.ru/vuz_about_ins

Я с Вами согласен насчет безопасности и всего прочего, у меня есть ещё что сказать, но я просто не хочу продолжать это, такие вещи хорошо обсуждать за пивом.

Прошу прощения, но я поменял ник без задней мысли поскольку изначально при регистрации ничего другого в голову не пришло, а увидев, что его можно безболезненно поменять, поменял.

был по делам в Москве пару дней и заходил в отделение пробизнеса,т.е. головы Вуза :-) которое на Тверской - надеюсь, что такой уровень обслуживания к нам тоже прийдет