March 2026

S M T W T F S
12 34567
891011121314
151617 18192021
22232425262728
293031    

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

(no subject)

stas: (Default)
[personal profile] stas
Friday, September 28th, 2007 06:48 pm
Любопытно, какие-то публичные сайты, кроме PayPal, используют security key для защиты пользователей? Копеечная ведь штука. Банки должны бы всем бесплатно раздавать, ан нет - ничего подобного, ни одного банка, который бы это делал, не знаю - вместо этого какая-то лажа типа "кличка вратаря дворовой футбольной команды, игру которой вы видели однажды в 1980-м году" и т.п.
Tags:
Flat | Top-Level Comments Only

stas: (Default)
[personal profile] stas
Sunday, September 30th, 2007 09:12 am (UTC)
Ну передаст троян зашифрованный трафик авторизации, и что?

Не зашифрованный трафик он передаст, а то, что пользователь на клавиатуре набирает.

Да существуют протоколы, работают уже годами. От драйвера никаких премудростей не ожидается

Я верю, что существует и не ожидается. А потом выходит Виста и все пользователи два года бомбардируют банк жалобами "я не могу подключить ваш ключ к своему компу", пока программисты налаживают драйвера. Я уж не говорю про всякие экзотические системы. Кому нужен этот гемор? Это ж все кучу денег стоит - каждый же будет по часу на телефоне сидеть и доставать службу поддержки. А в результате разозлится и вообще чего доброго в другой банк уйдет.
Дело ж не в существовании протоколов, а в том, чтобы они работали для любого пользователя в любой ситуации. Набрать 6 цифр способен любой человек, имеющий компьютер. А вот подключать разные хитрые устройства - это уже дело гораздо более геморное.

Я в ветке уже привел три причины, по которым нельзя запрашивать новый ключ на каждое важное действие.

Эти аргументы воспринимаются особо серьезно в свете того, что банки УЖЕ спрашивают ключ на каждое такое действие. Вы когда-нибудь в каспомате деньги пробовали переводить? :) Каспомат Леуми спрашивает. И сайт Леуми спрашивает.

[identity profile] digest.livejournal.com
Sunday, September 30th, 2007 10:05 am (UTC)
Не зашифрованный трафик он передаст, а то, что пользователь на клавиатуре набирает

Не понял, откуда взялась клавиатура. Пользователь проводит палец, а шифрует и передает биометрический девайс.

А потом выходит Виста и все пользователи два года бомбардируют банк жалобами "я не могу подключить ваш ключ к своему компу", пока программисты налаживают драйвера. Я уж не говорю про всякие экзотические системы.

Smartcard authentication существует и слабо меняется чуть ли не с Win98 и в Линуксе он существует давным давно. Это же просто канал, там нечему меняться. Конкретный протокол -- это дело девайса и authentication сервера. Если банк не меняет авторизационный сервер, то и подходящие по протоколу девайсы будут продолжать работать.

Помимо прочего, банки не поддерживали, не поддерживают и не будут поддерживать экзотические системы. Они даже другой браузер не поддерживают в одной системе.

И самое главное: брелок -- он что, не должен поддерживаться? Да проще поддерживать 10 драйверов, нежели один физический девайс. Тот потерял, у этого ребенок полизал, у третьего батарейки сели, у четвертого теща наступила.

Фишка в том, что OTP-решения НИКОГДА не смогут стать универсальными. И отвечать за них должен будет раздающий *свои* девайсы клиентам. А если найти универсальное решение, банк сможет сбросить с себя груз техподдержки. Не занимается же он проблемами с мышью или CD-ROMами.

Вы когда-нибудь в каспомате деньги пробовали переводить? :) Каспомат Леуми спрашивает. И сайт Леуми спрашивает.

В каспомате не пробовал, но каспомат -- не пример. Там вмешательство извне ограничено, да и аутентикация тривиальная. Пинкод там запрашивают скорее для подтверждения намерений совершить серьезную операцию. Сайт же -- совсем другое дело. И если Леуми постоянно запрашивает пароли, это говорит лишь о профессионализме программистов Леуми. Мы же говорим о том, как ДОЛЖНО быть сделано.

stas: (Default)
[personal profile] stas
Sunday, September 30th, 2007 07:48 pm (UTC)
Smartcard authentication существует и слабо меняется чуть ли не с Win98 и в Линуксе он существует давным давно.

Это все в теории хорошо, а на практике я уже видел несколько девайсов, которые основаны на давно известных протоколах, а в Висте их драйвера не работают. Почему - неизвестно, производители обещают "вот-вот скоро сделаем, ну еще чуть-чуть подождите".

Помимо прочего, банки не поддерживали, не поддерживают и не будут поддерживать экзотические системы. Они даже другой браузер не поддерживают в одной системе.

В Израиле. Потому что дикие.

И самое главное: брелок -- он что, не должен поддерживаться?

Не должен. Циферки ввести и все. Не работает девайс - осотслал старых, получил новый, вся поддержка.

И если Леуми постоянно запрашивает пароли, это говорит лишь о профессионализме программистов Леуми. Мы же говорим о том, как ДОЛЖНО быть сделано.

Так и должно - авторизация запрашивается в момент, когда должно совершиться действие, где авторизация нужна, а не полчаса назад.
Flat | Top-Level Comments Only