(no subject)

[stas]

Любопытно, какие-то публичные сайты, кроме PayPal, используют security key для защиты пользователей? Копеечная ведь штука. Банки должны бы всем бесплатно раздавать, ан нет - ничего подобного, ни одного банка, который бы это делал, не знаю - вместо этого какая-то лажа типа "кличка вратаря дворовой футбольной команды, игру которой вы видели однажды в 1980-м году" и т.п.

Comments

[digest.livejournal.com]

Ян, я тебе там в твоем журнале уже написал, что аутентикация -- лишь малая часть секюрити. Ну зайдет зомбированный лох с десятью одноразовыми паролями из десяти разных брелоков в банк, и все: дорога злоумышленнику УЖЕ открыта.

С другой стороны заставлять таскать с собой физический девайс есть бред и неудобство.

OpenId не приносит ничего нового. Аутентикационные центры, системы и протоколы, всякие RADIUS-ы и шмадиусы существуют образно говоря сто лет. Вопрос давно сместился в социальную сферу: как подобрать НАДЕЖНОЕ, но и ДОСТУПНОЕ дояркам комплексное средство. Брелок -- плохое средство. Почему я на работе не могу выполнить срочно понадобившиеся мне важные действия из-за брелока, оставшегося дома? Хорошего же средства пока не придумали. Но думают вовсю :)

[yankel.livejournal.com]

Эхехе. Да прав-прав. Я уже видел ответ.

При наличии троянов на компе, хер решение будет...
Разве что массово вводить в дело что то вроде Х термниналов, которые загружаются с центрального сервера. Но это тоже не выход.

[digest.livejournal.com]

У банков счас мода пошла на виртуализацию: по идее в банк выходит полностью изолированная и контролируемая виртуальная машина. Но опять же решение не для доярок, куча сложностей с установками и поддержкой и отсутствие стандартизации.

[yankel.livejournal.com]

Хммм. Интересная идея. Установка виртуальной машины не так сложна.
Microsoft Virtual Machine вполне доступна для доярок.

[stas]

У банков счас мода пошла на виртуализацию: по идее в банк выходит полностью изолированная и контролируемая виртуальная машина.

Их ожидает много интересных сюрпризов ;)

[stas]

С троянами проблема до некоторой степени решается, например, требованием нового вывода машинки при выполнении операций, меняющих состояние счета. Это, конечно, будет немного геморройно - типа Висты - ну, если троянов завел, так не жалуйся :)

[yankel.livejournal.com]

Да верно. Меня Дайджест напором смутил.
Плюс, обычно счет не ломают в риал тайм.
Троян посылает пароли хакеру, а тот уже лезет в свободное время.
В случае со случайным кодом, пароль он в жопу может засунуть.

[yankel.livejournal.com]

Кстати, а брелочек можно заменить пелефончеГом.
При подключении, после того как ввел юзернэйм/пассворд, тебе кодик высылается SMSoм на зарегестрированный в банке номер.
Учитывая всеобщую пелефонизацию...

[stas]

Это, кстати, тоже тема - например, у Леуми есть такая штука, как моментальное сообщение о любой сделке больше какого-то предела по кредитке. Т.е. если в супер ходишь, т.п. - оно молчит, а если кто-то на твою карту телевизор купит в интернете - через 10 секунд ты об этом узнаешь. По-моему, очень прогрессивная штука, пока в других местах такого не видел.

[yankel.livejournal.com]

И ведь ничего банку докупать/доделывать не надо.
Все уже есть и работает. Ан нет. Влом