Comments 39
Похожей системой сейчас пользуется Enum-Storage, как по мне, это самый удобный и в меру безопасный способ авторизации в WebMoney без излишней паранойи.
А вообще, статья была бы замечательной, если бы автор вдобавок привел примеры подобных сервисов, и где их можно применить. Потому что лично я не встречал еще подходящих вариантов, кроме E-num`a.
А вообще, статья была бы замечательной, если бы автор вдобавок привел примеры подобных сервисов, и где их можно применить. Потому что лично я не встречал еще подходящих вариантов, кроме E-num`a.
Ссл, отказ от сохранения пароля, удаление куки. Кому вы нужны?
Кейлоггеру на компе в интернет-кафе?
кому оно надо? и зачем?
Какой вы наивный :)
Например, студенту, который сидит в этом кафе заместо админа-кассира и считает себя умнее всех на свете. Почему бы не поставить на компы по кейлоггеру, авось чего интересного и откопается, мало ли… Все равно ни одно собака не заметит.
Например, студенту, который сидит в этом кафе заместо админа-кассира и считает себя умнее всех на свете. Почему бы не поставить на компы по кейлоггеру, авось чего интересного и откопается, мало ли… Все равно ни одно собака не заметит.
Если он что и откопает — ему это не нужно. Его интересуют аккаунты на вконтакте и торренте.
Если человеку нужен достут в туже корп. почту — он не будет её искать в и-нет кафе. Вспомните анектод про неуловимого Джо. Паранойя не есть хорошо.
Если человеку нужен достут в туже корп. почту — он не будет её искать в и-нет кафе. Вспомните анектод про неуловимого Джо. Паранойя не есть хорошо.
Его интересуют аккаунты на вконтакте и торренте.
Не путайте блондинку, не знающую ничего, кроме вконтакта, и студента-«кулхацкера», достаточно умного для того, чтобы устроиться в интернет-кафе и установить на машины кейлоггер. Последний по крайней мере знает, что делать с чужим логином и паролем от гмыла. Аналогично с корпоративной почтой.
Ему не нужно что-то целенаправленно, мы не говорим о злоумышленнике, который стремится получить доступ к мылу конкретной фирмы. А лишь о парне, которому пригодится все зачем-нибудь.
Например, чтобы, украв логин-пароль на gmail, разослать всем в контакт листе: «привет, срочно нужны вебмани на оплату хостинга, отошли 10 WMZ на кошелек Z....., завтра одам».
А послезавтра все операции на кошелке замораживаются.
Да и на гмэйле разве собираются делать одноразовые пароли?
Да и на гмэйле разве собираются делать одноразовые пароли?
>А послезавтра все операции на кошелке замораживаются.
До послезавтра злоумышленник уже успеет увести пару сотен.
> Да и на гмэйле разве собираются делать одноразовые пароли?
Я об этом ничего не знаю, сомневаюсь что в скором времени собираются. В комменте ниже я написал что использовал бы эту возможность, если бы она была реализована. Вообще, мое мнение, многим сервисам это не помешало бы (да даже тем же одноклассникам и вконтакте), чтобы можно было бы из любой дыры безопасно логиниться.
До послезавтра злоумышленник уже успеет увести пару сотен.
> Да и на гмэйле разве собираются делать одноразовые пароли?
Я об этом ничего не знаю, сомневаюсь что в скором времени собираются. В комменте ниже я написал что использовал бы эту возможность, если бы она была реализована. Вообще, мое мнение, многим сервисам это не помешало бы (да даже тем же одноклассникам и вконтакте), чтобы можно было бы из любой дыры безопасно логиниться.
/me с ужасом подумал о вконтактовцах, которых Дуров насильно пересаживает на одноразовые пароли.
Ни копейки не снимет, пока достаточно денег не наберётся. Психология у человека такая.
Особо больным паранойикам можно носить с собой флешку с пассами в факлике. контроль + цэ -> контроль + ви -> готово. Совсем не страшно. А от вирусов обороняться не так уж сложно.
Особо больным паранойикам можно носить с собой флешку с пассами в факлике. контроль + цэ -> контроль + ви -> готово. Совсем не страшно. А от вирусов обороняться не так уж сложно.
> Ни копейки не снимет, пока достаточно денег не наберётся. Психология у человека такая.
Тут дело не в психологии, а в технологии.
Поверьте, будет снимать каждую копейку сразу, как только она появится в кошельке, в течении нескольких минут, если не секунд. И сразу переводить куда-либо типа E-golda.
Причем делать это будет не вручную, зачем ему еще на это время тратить, а скриптом, который будет постоянно автоматически кошелек мониторить.
Об этих и многих других методах мошенников можете ознакомиться например тут: oborona.owebmoney.ru/
Тут дело не в психологии, а в технологии.
Поверьте, будет снимать каждую копейку сразу, как только она появится в кошельке, в течении нескольких минут, если не секунд. И сразу переводить куда-либо типа E-golda.
Причем делать это будет не вручную, зачем ему еще на это время тратить, а скриптом, который будет постоянно автоматически кошелек мониторить.
Об этих и многих других методах мошенников можете ознакомиться например тут: oborona.owebmoney.ru/
Студент? Студент ставящий кейлогир в и-нет кафе? Не смешите!
Почему «делать это будет»? Неверно… Уже делается так… И уже обросло бородой… с древних 2005+ годов периодически воруют те же вебмани, переводят по цепочке и ищи-свищи…
Не забываем про трояны и кейлоггеры, которые воруют пароли.
Именно они представляют наибольшую опасность, и, скажем, в интернет-кафе их обычно рассадник.
Именно они представляют наибольшую опасность, и, скажем, в интернет-кафе их обычно рассадник.
Вообще это уже лет 10 как используется в ряде областей, например в интернет банках, где специальные девайсы генерят разовые ключи. Но обычным веб ресурсам этой возможности также недостает. Очень здраво, спасибо что обратили внимание на эту потребность.
С удовольствием бы использовал фичу «сгенерировать N одноразовых паролей» в gmail-е, если бы она была. То есть можно перед поездкой куда-либо сгенерировать себе десяток разовых паролей, забить в мобильник (можно несколько изковеркав их по какому-то своему признаку, типа добавив пару сомволов в начале), и вперед гулять по интернет-кафе в аэропортах.
С удовольствием бы использовал фичу «сгенерировать N одноразовых паролей» в gmail-е, если бы она была. То есть можно перед поездкой куда-либо сгенерировать себе десяток разовых паролей, забить в мобильник (можно несколько изковеркав их по какому-то своему признаку, типа добавив пару сомволов в начале), и вперед гулять по интернет-кафе в аэропортах.
Например, «Приват» (украинский банк) каждый раз высылает через SMS новый пароль. Вполне юзабельно.
у ВТБ24 для доступа с компьютера к Телебанку выдается карточка с переменными кодами.
В общем, решений тьма. Одно из них — RSA двухфакторная авторизация.
так используется уже давно.
например, в интернет-банкинге Альфа банка при входе в систему на телефон приходит смс-ка.
п.с. а про хабракат уже неприлично писать?
например, в интернет-банкинге Альфа банка при входе в систему на телефон приходит смс-ка.
п.с. а про хабракат уже неприлично писать?
Вот так можно из одного пароля сделать много одноразовых со своим алфавитом: www.grc.com/ppp
В мой интернет банк сейчас можно попасть только если знаешь а)логин б)длинный многоразовый пароль и в) одноразовый пароль из 4 цифр (это 1000 вариантов). Если одноразовый пароль вводится 3 раза неправильно, аккаунт блокируется и нужно самому идти в банк просить выдать новый набор одноразовых паролей. Когда на бумажке одноразовые пароли начинают заканчиватся, банк сам высылает новый набор по почте.
В мой интернет банк сейчас можно попасть только если знаешь а)логин б)длинный многоразовый пароль и в) одноразовый пароль из 4 цифр (это 1000 вариантов). Если одноразовый пароль вводится 3 раза неправильно, аккаунт блокируется и нужно самому идти в банк просить выдать новый набор одноразовых паролей. Когда на бумажке одноразовые пароли начинают заканчиватся, банк сам высылает новый набор по почте.
Ну хоть кат сделайте, а так тема хорошая. Уже реализованная в банковских системах, но такая функциональность в каких нить майл ру думаю им не повредит.
Хорошая классика.
Сам использую диджипасс. Просто и удобно.
Сам использую диджипасс. Просто и удобно.
в качестве средства получения такого пароля можно использовать СМС. Правда нужно будет настраивать поддержку на корпоративном сайте (раз уж речь в статье зашла о нем). Как вариант можно использовать функцию операторов Email2sms.
Помню в книге Кевина Митника было про то, как в какой-то фирме использовались такие вот брелки, которые через какой-то определённый промежуток времени менял ключ для авторизации в системе.
itunes.apple.com/WebObjects/MZStore.woa/wa/viewSoftware?id=318414073&mt=8 — А здесь находиться приложение для iPhone для генерации OTP. Или вот полный список софта для большинства мобил — motp.sourceforge.net/
Я собираюсь реализовать систему одноразовых паролей на своем стартапе, чтобы можно было безопасно модерить сайт из интернет-кафешек. Сделаю проще, просто сгенерю кучу случайных паролей, распечатаю их, и возьму эту бумажку с собой. При авторизации пароль проверяется и тут же удаляется из базы, воспользоваться им второй раз уже нельзя. Если бумажку потеряешь то тоже ничего страшного, ведь ни адреса, ни логина на ней нет. А когда доберешься до нормального надежного компьютера, просто их сотрешь, или даже просто можно указать срок, когда пароли будут действовать.
Sign up to leave a comment.
Одноразовые пароли. Где? Зачем? Как?