Тема безопасности онлайн-кредитования

Если брать конкретно тот случай, то если бы кредитор проверил всю цепочку "форум-залог-вебмани-аська", то насторожился бы. Форум и залог были угнаны, номер аськи в профиле могли сменить на свою, а вот по истории вебмани можно было сделать вывод о честности просящего. Думаю, у Астра БЛ минимум 30, а навряд ли кидала будет его набирать. А даже если и наберет, то уж никак не для 100 баксов.

По-моему, проблема в самой ВМ. Если бы можно было установить минимальный БЛ, при котором можно взять кредит + отслеживать кредитную историю юзера (например, взял 2 кредита по 200 баксов, третий на 500 уже не давать, пока с первыми 2 не рассчитается). Открыть эту кредитную историю для кредиторов (естесственно, без персональной информации, кто именно их выдавал) + даты запросов файла ключей/напоминания пароля. Таким образом, это будут лишние трудности для кидал + у кредиторов будет надежный источник информации о кредитуемом. Все запросы на кредиты проводить через эту систему, а не "окольными" путями.

ИМХО, проблема не в плохой системе авторизации у ВМ (кстати, я считаю, что она на дОлжном уровне безопасности), а в отсутствии информации. Кредитная деятельность всегда была сродни игрой, чуть зазевался - и проиграл.

А разве через биржу не эта информация дается?

На бирже дается лишь информация по текущему BL (при том и глючит к тому же, приводили уже примеры, когда "серый" человечек имеет нормальный BL), плюс информация сколько взял/сколько отдал, плюс информация не просрочены ли кредиты.

Лично нам, даже из "несекретных" возможностей, не хватает банальной информации и функций: возможность не выдавать кредиты по TL если BL ниже какого-то числа, возможность увидеть были ли у человека просроченные кредиты в принципе когда-либо, сразу удобный показ наличия претензий - плюс не только на WMID с которого запрашиваются средства - но и на все связанные, показ за какое время кредиты были набраны и сколько там действительно сторонних WMID (почти у всех кидал километровые хвалебные отзывы к WMID - черт знает откуда, нам бы и в голову не пришло писать нечто вроде "взял кредит на 2 месяца, вернул через день, достоен уважения"©), возможность единого черного списка, возможность фильтра по региону, неплохо бы видеть сколько "серых и отозванных" аттестатов у аттестационного центра который выдал аттестат конкретному пользователю, неплохо бы сразу видеть соответствие IP юзера прописке, хорошо бы иметь возможность отзыва кредита если сумма которую набирает кредитуемый по кредитам превышает определённый размер и т.д. и т.п. плюс всё то что сказал Oniks..

То есть именно вебманей при желании могли бы очень сильно облегчить всем жизнь. А объединения, ну из того что мы видим на текущий день, в принципе в 90% случаев занимаются именно собиранием где попало подобной информации. Имхо если бы появилось реальное официальное объединение... ну хотя бы полуофициальное, то вебманей могли бы пойти навстречу.

У меня кстати есть похожие отзывы. Не на километр, конечно, но я их не просила :) Кредиты беру часто, много, только через биржу и debt, исключительно из лени - выйти из дома и ввести мелкую сумму мне лень, когда все можно сделать потом, за один раз.

owebmoney.ru - не является ли объединением, близким к официальному? Я не в курсе, но впечатление у меня создалось именно такое.

Oniks, согласен, нужен толковый алгоритм, который будет основываться на поведении человека. Подключить психологов еще к разработке, чтобы вывести вероятность того или иного результата.

кажется тема начала двигаться в правильном направлении, которое я изначально и хотел задать :) Рассматривая с позиции сервиса обеспечения безопасности - главное оружия сервиса ( насколько я понял) - это информация, которая позволяет принимать верные решение кредиторов и задумываться: "А стоит ли рисковать?" - потенциальных мошенников.

Надежный метод идентификации давно найден - это двухфакторная аутентификация с помощью смарт-карт и токенов. Однако работающая по теории система как всегда в условиях российской действительности действует через ж. или вообще не действует. Типичная проблема это поддержка таких железок в программных продуктах.

Пример (немного офф, но все же пересекается с темой) : купил недавно E-token, заявленная функциональность работы с Webmoney и интернет-банкингом от ВТБ24 отсутствует. В вебманях плагин работает только с древней версией драйвера токена, с новой версией глюкает (старая версия драйвера не поддерживает новый токен). Техподдержка пишет стандартные отписки. В ВТБ24 используется древнейшая версия Inter-PRO, не работающая с токенами, а современная версия Inter-PRO требует другого формата сертификата, работа с которым не гарантируется самим ВТБ24. Итог - 150 баксов выброшенных на ветер. Надежду дает только то, что когда-нибудь они обновят поддержку в своих продуктах. Правда с вебманями можно все-таки работать, используя Light версию, потому что хранение сертификата в данном случае завязано не на Вебманях, и их нежелании обновлять свой софт, а на системе сертификатов в WinXP и Firefox.

а чего это вдруг все забыли про цифровую подпись ? Ась ?

Так я и написал про это. Кроме наличия личного ключа в инфраструктуре ЭЦП, для надежной идентификации требуется также его надежное хранение. А смарткарты и токены как раз такое хранение обеспечивают ( при аутентификации через токен личный ключ не покидает токен - фактически токен это маленький компьютер). А хранение ключей на ноутбуке и т.д. - по большому счету детский сад, ибо можно получить к любому компьютеру доступ используя троян. В случае использования токенов, даже затроянив компьютер, использовать ключ жертвы очень сложно.

И сколько таких токенов можно повесить на компьютер?