Б24 и вклады
p
pushkinist
случай из жизни:
в американских штатах забыл карту в банкомате
вспомнил спустя двадцать минут, пошел за ней тут же в банк, а он десять минут как закрыт (тамошние рано банки закрываются - эдак часов в четыре дня)
была пятница и ждать выходило надо до понедельника (мало какие тамошние банки по субботам и воскресеньям работают)
не зная в чьих руках моя карта, я звякнул в банк и заблочил ее
и все выходные очень переживал, какой же я бедный и несчастный
в понедельник с утреца пришел в банк и вижу что моя карта целехонькая у них лежит, только говорят: мы вам ее не отдадим, потому что вы ее заблочили и она стала аннулированная, вот если бы вы не позвонили, тогда отдали бы, а щас извините, мы ее щас уничтожим.
и уничтожили мою карту.
ну в общем через дня три пришла мне по почте новая карта.
и я перестал переживать.
хэппи энд.
а теперь вопрос: что бы я делал с криптокалькулятором те пять дней, что я был без карты?
в американских штатах забыл карту в банкомате
вспомнил спустя двадцать минут, пошел за ней тут же в банк, а он десять минут как закрыт (тамошние рано банки закрываются - эдак часов в четыре дня)
была пятница и ждать выходило надо до понедельника (мало какие тамошние банки по субботам и воскресеньям работают)
не зная в чьих руках моя карта, я звякнул в банк и заблочил ее
и все выходные очень переживал, какой же я бедный и несчастный
в понедельник с утреца пришел в банк и вижу что моя карта целехонькая у них лежит, только говорят: мы вам ее не отдадим, потому что вы ее заблочили и она стала аннулированная, вот если бы вы не позвонили, тогда отдали бы, а щас извините, мы ее щас уничтожим.
и уничтожили мою карту.
ну в общем через дня три пришла мне по почте новая карта.
и я перестал переживать.
хэппи энд.
а теперь вопрос: что бы я делал с криптокалькулятором те пять дней, что я был без карты?
p
pushkinist
и еще (уже не из жизни, но может случиться с каждым):
если например шел клиент пьяный по мосту и упал в реку, то сложноустроенный электронный механизм испортится от воды, а карте кодиков - ничегошеньки не будет
если например шел клиент пьяный по мосту и упал в реку, то сложноустроенный электронный механизм испортится от воды, а карте кодиков - ничегошеньки не будет
F
Fyodor
Расскажу мои впечатления от и-нет банках 24-ки и казны. Так получилось, что открыл я сначала счет в 24-ке, ибо на меня повлияло, что дир-р спокойно общается на форумах, и отзывы хорошие были. Стал пользоваться КБ, без напряга, сел за комп и вперед. Потом ситуция с КАЛом, мозговой штурм, вынес все в
Казну, ибо для меня самые прогрессивные банки Екб это 24 и СК, ибо представитель СК так же честно рубится на форуме. Попытался поставить КБ... но запутался и забил.... Потом волна КАЛа схлынула, я вернулся в 24-ку..
Сейчас, предстоит очередная тур поездка за кордон. Надо второй пластик, на всякий... Раньше пользовал Росбанк, ибо рядом, но этот банк для колхозников меня утомил. Тем более мне тут слухи дошли о финанансовых проблемах, в т.ч. плате за аренду.... Так вот. Думаю, Австрияки любят Райфу. Пришел... а мы не делаем пластик, там чуть дальше, в Антей.. Не-е... не пойду.. вспомнил как выцарапывал свои кровные после преобразования Импекса в Райфу, падение тарифов на вклад и рост тарифа за снятие ... 0.5 от суммы я просто оху.-у-...дивился очень... Нет. Знаю два банка, которые всегда на форуме, которые технологично всегда впереди. Пошел в СК. Открыл Мастеркард .Вспомнил о КБ, спросил манагера, чего делать... он то сказал, что я и в клиентах не числюсь... но потом нашел... хитро улыбнувшись...
Так вот о КБ, я сгенерил новый сертификат,за отдельным компиком. За 100р, между прочим... пришедши домой начал мучать флешку. Надо сказать, что я сисадмин "light" , т.е инструкции не читаю, толко в экстренных случаях, привык разбираться сам, и сетку настраиваю и т.д..... но может я полный баран, но с ключами я бодался до 12 ночи. И софт качал с сайта , и доки уже начал читать... после чего вышел в асю в техпомощь, разродился, и о чудо... на моем счете меня ждал презент...
Так это я с ключами маялся, продвинутый юзер, а представьте бухгалтера предпенсионнго возраста?
И кстати операционисты или менеджеры, сидящие в СК в "окошечках" ... вот мне мой не понравился. Ну стиль, общения, он давит из себя улыбку, и проговаривает служебные фразы... В 24-ке, они разве что в зад не пытаются лизнуть... Может у Лапшина вазелин волшебный???
Сейчас, предстоит очередная тур поездка за кордон. Надо второй пластик, на всякий... Раньше пользовал Росбанк, ибо рядом, но этот банк для колхозников меня утомил. Тем более мне тут слухи дошли о финанансовых проблемах, в т.ч. плате за аренду.... Так вот. Думаю, Австрияки любят Райфу. Пришел... а мы не делаем пластик, там чуть дальше, в Антей.. Не-е... не пойду.. вспомнил как выцарапывал свои кровные после преобразования Импекса в Райфу, падение тарифов на вклад и рост тарифа за снятие ... 0.5 от суммы я просто оху.-у-...дивился очень... Нет. Знаю два банка, которые всегда на форуме, которые технологично всегда впереди. Пошел в СК. Открыл Мастеркард .Вспомнил о КБ, спросил манагера, чего делать... он то сказал, что я и в клиентах не числюсь... но потом нашел... хитро улыбнувшись...
Так вот о КБ, я сгенерил новый сертификат,за отдельным компиком. За 100р, между прочим... пришедши домой начал мучать флешку. Надо сказать, что я сисадмин "light" , т.е инструкции не читаю, толко в экстренных случаях, привык разбираться сам, и сетку настраиваю и т.д..... но может я полный баран, но с ключами я бодался до 12 ночи. И софт качал с сайта , и доки уже начал читать... после чего вышел в асю в техпомощь, разродился, и о чудо... на моем счете меня ждал презент...
Так это я с ключами маялся, продвинутый юзер, а представьте бухгалтера предпенсионнго возраста?
И кстати операционисты или менеджеры, сидящие в СК в "окошечках" ... вот мне мой не понравился. Ну стиль, общения, он давит из себя улыбку, и проговаривает служебные фразы... В 24-ке, они разве что в зад не пытаются лизнуть... Может у Лапшина вазелин волшебный???
г
генерал Пурпоз
а теперь вопрос: что бы я делал с криптокалькулятором те пять дней, что я был без карты?
Резонно.
Однако, в такой форс-мажорной ситуации остаётся вариант с ЭЦП. Я бы достал из-за пазухи диск с ключом к ДБО, расчехлил лэптоп и решил бы задачу.
перевыпуск цифровых ключей (к сожалению не знаю, требуется ли данная операция в СК) - это аццкий геморрой по сравнению с получением новой скретч-карты.
Ну, не знаю. И сама генерация, и, уверен, перевыпуск (хотя мне ещё рано) не сложнее двух щелчков мышкой.
г
генерал Пурпоз
может я полный баран, но с ключами я бодался до 12 ночи
Не могу себе представить, что вам мешало... :-)
Футбольный матч, вкусное пиво в больших количествах или тётеньки длинноногие - там же делов-то - на пару вопросов в программе конфигурации ответить...
U
.1
Резонно.
Однако, в такой форс-мажорной ситуации остаётся вариант с ЭЦП. Я бы достал из-за пазухи диск с ключом к ДБО, расчехлил лэптоп и решил бы задачу.
Однако, в такой форс-мажорной ситуации остаётся вариант с ЭЦП. Я бы достал из-за пазухи диск с ключом к ДБО, расчехлил лэптоп и решил бы задачу.
зачем же вам доступ без эцп? ноутбук тяжело носить? прикрутите эцп к кпк или коммуникатору. Немогу понять зачем этот паровозный калькулятор нужен. На вес этого калькулятора можно взять штук пятьсот кодиков, при отказоустойчивости пластиковых карт с кодами минимум на порядок выше этого агрегата с кнопками контактами микросхемами и батарейками и до кучи с действующей картой чиповой.
Перевыпуск действительно это геморное занятие (нужно прочитать доки, установить ПО,обновить его и еще встречаются тонкости, достойные применения волшебного бубна и плясок).
N
Neo™
Логика простая: также как в Windows калькулятор можно переключать между режимами "простой", "бухгалтерский" и "инженерный", у клиента в зависимости от ситуации должно быть или "много ручек" или "две часто используемые кнопки".
Есть ньюансы. :-) Чем сложнее ИТ-система, тем сложнее она управляется. Количество ошибок и сбоев растет прямо пропорционально количеству функционала системы, причем независимо от активности его использования (интеграция компонент, взаимовлияние и т.п.). Соотвественно, необходимо большее количество персонала поддержки, да и уровень этого персонала должен быть намного выше. А ведь все это расходы и их необходимость отнюдь не очевидна. :-)
А ты упорно говоришь "не будет!", хотя люди говорят "уберите доп. функции под
кнопку Advanced, чтобы не пугать домохозяек".
Чтобы продать что-нибудь ненужное, нужно сначала купить что-нибудь ненужное. © :-) Разработка доп. функций стоит денег, а нужны ли эти функции массовому потребителю? :-) Окупятся ли затраты на разработку? :-)
Прошло 5 лет. Банк24.ру стал известным и не бедствует. А клиенты по-прежнему вынуждены пользоваться доисторической технологией.
Погоня за технологиями хороша лишь в военное время. :-) Не поверю, что при появлении новых технологий в криптозащите, вы сразу применяете их в функционале Ибанка.
Если система хорошо работает — ничего не трогайте. © :-) Помните это «золотое правило» ИТшников? :-)
Не замечал, чтобы ты разделял взгляды
луддитов (это те, которые против машин, автоматизации и т.п.). Значит, причина моратория на развитие вашего ИБ в другом.
Вот, это самое главное! Тотальная автоматизация процессов — не выход! Система — это лишь упорядоченная последовательность операций, приводящая к определенному результату. И неважно, кто делает эти операции — машина, человек или еще кто-то. Это влияет лишь на трудозатраты, скорость обработки, но не на результат.
Чем сложнее автоматизированная система, тем сложнее «воспроизвести» ее в ручном виде. Излишнее стремление «заавтоматизировать все и вся», вообще принимает порой причудливые, даже уродливые формы (в чем периодически убеждаюсь на собственном опыте).
А ведь среднестатистическому клиенту не нужны ни 35 настраиваемых параметров, ни криптозащита последнего поколения — ему нужна большая красная кнопка с надписью «Жать сюда, и будет щастье». И чтобы после ее нажатия действительно наступало щастье. :-)
Вывод: системы нужно строить исходя из экономической целесообразности и здравого смысла. Т.е. максимально простые и понятные для основной массы потребителей.
З.Ы. Это лишь моя позиция, и она может отличаться от вашей. :-)
[Сообщение изменено пользователем 22.02.2008 14:03]
г
генерал Пурпоз
зачем же вам доступ без эцп?
Я уже приводил пример: глухая зимбабвийская деревня, занюханное интернет-кафе, пьяный в дупель админ, который ни в какую не разрешает подключать что-либо к своей загаженной троянами и keylogger'ами сети. К тому же - я не владею суахили, чтобы выразить ему своё непочтение...
Единственный способ дать банку распоряжение на пополнение карты - с публичного компьютера по ОРП.
г
генерал Пурпоз
Немогу понять зачем этот паровозный калькулятор нужен. На вес этого калькулятора можно взять штук пятьсот кодиков, при отказоустойчивости пластиковых карт с кодами минимум на порядок выше этого агрегата с кнопками контактами микросхемами и
батарейками и до кучи с действующей картой чиповой.
А теперь включаем мозг и до нас постепенно доходит простая мысль - карточки с "кодиками" НИКАК не защищены от несанкционированного доступа.
Проснулся утром - а голова в тумбочке, денежки со счёта - тю~тю!...
p
pushkinist
НИКАК
это почему никак?
N
Neo™
А теперь включаем мозг и до нас постепенно доходит простая мысль - карточки с "кодиками" НИКАК не защищены от несанкционированного доступа.
Проснулся утром - а голова в тумбочке, денежки со счёта - тю~тю!...
Проснулся утром - а голова в тумбочке, денежки со счёта - тю~тю!...
Вообще-то, кроме одноразовых кодиков, есть еще отдельный пароль доступа к системе. :-)
г
генерал Пурпоз
это почему никак?
Бумажка не сможет спросить у вас PIN-код и сгореть при третьем неправильном ответе...
кроме одноразовых кодиков, есть еще отдельный пароль доступа к
системе.
...который на публичном компьютере на 101% будет зафиксирован злыми умышленниками. Они же и выкрадут одну из ваших бумажных карточек с кодами.
Денежки! Тю~тю!!!
p
pushkinist
бумажных
почему бумажных-то?
Они же и выкрадут одну из ваших бумажных карточек с кодами.
дык так же могут и просто карточку платежную украсть и использовать, давайте еще раздуйте по этому поводу, о том какие все непродуманные и плохие технологии используются платежными системами
p
pushkinist
p
pushkinist
...который на публичном компьютере на 101% будет зафиксирован злыми умышленниками. Они же и выкрадут одну из ваших бумажных карточек с кодами.
точно по такой же технологии выкрадываются пароли к эцп и носители с эцп
плюс в случае с криптокалькулятором до кучи украдываются криптокалькулятор и платежная карта с чипом
или что-то мешает может? защита какая-то есть?
T
TSergey
или что-то мешает может? защита какая-то есть?
Так-то карта к себе не пустит без пина. ;-)
p
pushkinist
ясно
г
генерал Пурпоз
дык так же могут и просто карточку платежную украсть и использовать
Тупые разработчики "системы безопасности" МПС прошлого тысячелетия догадались попытаться подумать о такой возможности, и, по мере своего скудного ума, заложили некие "меры противодействия".
Об эффективности этих "мер" распространяться не буду!...
давайте еще раздуйте по этому поводу, о том какие все непродуманные и плохие технологии используются платежными системами
Добро пожаловать в клуб! :-)
Наконец-то и до вас дошло, как там ВСЁ запущено...
p
pushkinist
Наконец-то и до вас дошло
ну это не пять минут назад дошло
г
генерал Пурпоз
точно по такой же технологии выкрадываются пароли к эцп и носители с эцп.
плюс в случае с криптокалькулятором до кучи украдываются криптокалькулятор и платежная карта с чипом
или что-то мешает может? защита какая-то есть?
плюс в случае с криптокалькулятором до кучи украдываются криптокалькулятор и платежная карта с чипом
или что-то мешает может? защита какая-то есть?
В конкретно моём случае это потребует:
1) отнять у меня ноубук
2) отнять диск с ключом ЭЦП
3) под пытками узнать:
3а) имя/пароль входа в систему
3б) пароль доступа к ключу ЭЦП
или
1) отнять криптокалькулятор И карту
2) под пытками же узнать:
2а) PIN карты
2б) PIN криптокалькулятора
Никаким другим способом С МОЕГО ноутбука пароли получить НЕ УДАСТСЯ.
p
pushkinist
Никаким другим способом С МОЕГО ноутбука пароли получить НЕ УДАСТСЯ.
этот аргумент равносилен аргументу: "У МЕНЯ карту ключей украсть НЕВОЗМОЖНО"
T
TSergey
3а) имя/пароль входа в систему
3б) пароль доступа к ключу ЭЦП
3б) пароль доступа к ключу ЭЦП
2а) PIN карты
2б) PIN криптокалькулятора
2б) PIN криптокалькулятора
Основная теорема терморектального криптоанализа: время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.
:-d
C
°C
Почитал. Проникся. Попробовал засунуть калькулятор в бумажник, предварительно вынув карту одноразовых кодиков, вошло туго. Засунул бумажник в карман как обычно. Сел. Пипец калькулятору.
U
.1
Я уже приводил пример: глухая зимбабвийская деревня, занюханное интернет-кафе, пьяный в дупель админ, который ни в какую не разрешает подключать что-либо к своей загаженной троянами и keylogger'ами сети. К тому же - я не владею суахили, чтобы
выразить ему своё непочтение...
Единственный способ дать банку распоряжение на пополнение карты - с публичного компьютера по ОРП.
Единственный способ дать банку распоряжение на пополнение карты - с публичного компьютера по ОРП.
и что вы там в этой помойке неделями сидите бабосы туда сюда переводите и пары сотен операций недостаточно? задача надуманная.
Основная теорема терморектального криптоанализа: время, необходимое для дешифрования сообщения не зависит от алгоритма шифрования и длины ключа.
вот это здравая мысль
г
генерал Пурпоз
этот аргумент равносилен аргументу: "У МЕНЯ карту ключей украсть НЕВОЗМОЖНО"
Пожалуйста, обоснуйте утверждение о равновильности.
То есть, я ожидаю прочесть доказательство следующего:
"на загружаемый с CDROM'а компьютер невозможно установить постороннее ПО" равносильно "У mystery man невозможно украсть карту".
Основная теорема терморектального криптоанализа
Я бы сказал, что это лемма или даже постулат.
Авторизуйтесь, чтобы принять участие в дискуссии.