Бесполезно. Человеческий фактор можно убрать только вместе с самим человеком. При статичном платежном пароле, злоумышленнику достаточно выудить его один раз. При динамичном — каждый раз. На практике никто не будет мариновать краденые пароли в ожидании чуда, когда на счету у пассажира не будет 100500 миллионов рублей. Хотя бы потому, что смена пароля — это тоже чудо, но рядовое, обыденное и от того вполне вероятное. Хоть два статичных пароля, хоть статика + динамика, два сапога — кеды.
Бытует мнение, что существует две бесконечности: Вселенная и человеческая глупость. Причем автор теории, некто Эйнштейн, питает некие сомнения насчет первой, но никаких касаемо второй. Все ещё хотите забороть непреодолимое?
Можно я Вас добью?😂 Разбейте алгоритм на два канала связи:
Механика защиты кардинально меняется. Как писал постом ранее, перехватить дин.пароль на участке сервер-юзер достаточно сложно. Проще поработать на участке юзер-сервер. Если вирь сумел хапнуть первичный пароль, сможет и довести нагибание до логического конца. Наша задача сводится к тому, чтоб контроля над ПК стало недостаточно. Детализируем:
Рубежи обороны:
Вот это уже действительно ломаемо или глупыми парнями, но вместе с юзером, или умными, но с спецтехникой и умением с ней обращаться. Вполне достаточно, на мой взгляд. С технической точки зрения, конечно, не слишком вкусный вариант, но думать предлагаю именно в эту сторону.
А можно я? 😆 Теоретически, хапнуть чужой динамический пароль можно:
Первый вариант предполагает серьезную мотивацию осуществить задуманное. Самый простой вариант — отрубить-отобрать, в противном случае придется или применять спецсредства, или писать вирь под мобильные. Защита от парней, несклонных к пацифизму и с спецсредствами — это слишком сложно, для рядового юзера, у которого подобным гражданам и отобрать-то нечего. Да и нет неломаего, в отличие от недостатка мотивации и возможностей. С этой стороны достаточно надежно.
Слабое место — можно перехватить пароль, идущий на сервер. Одноразовый пасс имеет срок годности, достаточный, чтоб пользователь успел им воспользоваться, и с солидным запасом. Он становится невалиден, если ошибка авторизации произошла N раз подряд, иначе будет подбор легендарным брутфорсом. Алгоритм вскрытия:
Так мы приходим к тому, о чем я уже упоминал — банковский пластик и CVV. У злоумышленников на одно поле работы больше, но его наличие/отсутствие сути не меняет. Что с мобильником, что с "Сказкой". До тех пор, пока пользователь будет авторизовываться не просто 2+ способами, но и по 2+ различным, взаимонезависимым каналам связи, кардинальных изменений не предвидится.
Всему есть свои границы. Вы не сможете помешать идиоту, с радостной лыбой сующему свои деньги встречным-поперечным.
Обязать пользователя указать рабочий номер телефона, авторизовать изменения существующими средставами аутентификации(пароль, платежный пароль), верифицировать SMS-сообщением — это проблема? Хм, смеялся.
Если некто нечто не сделал, это отнюдь не значит, что этот некто видит гораздо больше особенностей, чем вижу я. Как минимум, потому что Вы понятия не имеете, кто я, и в мое видение предмета Вас посвящали. За сим будем оперировать информацией, которой владеем.
Яндекс. Шифровальная таблица, дающая некую защиту только при отсутствии своей цифровой копии. Её могут украсть, как сейчас воруют платежные пароли. Пришел вирь, ушел JPEG. Осталось материальное воплощение, распечатка. Для проведения операций придется носить +1 предмет. Сам носитель, бумажко, можно потерять, как любую другую плоскую фигнюшку надцать на надцать сантиметров. Быстрый износ либо доп. геморрой по ламинации либо необходимость покупать её у компании в готовом виде. Со всеми вытекающими типа потярешек, недоставок, опоздавок и пр. нюансов работы шиппинга. Ну и мистическое превращение клиента в партизана времен Великой Отечественной. Нехватает внезапных верификаций юзера в виде службы радиоразведки, подразделений противодиверсионных сил и службы контрразведки. Уже хочу! Я, не знающий особенностей. У всех есть мобильные. Их всегда носят с собой. Ключ — SIM-карта пользователя, никаких заморочек по конфиденциальности при восстановлении убитой SIM или потере(краже) самого мобильного. В доступном переводе, не надо неделю звонить в компанию Яндекс и паять себе мозг знакомством с сногшибательными инструкциями по сабжу. Зашел за угол, поднялся в офис сотового оператора, предъявил паспорт, вышел с новой SIM. Плюс дополнительный рубеж по PIN и PUK. Вор. С точки зрения своего алгоритма, процесс кражи бабла со счетов один и тот же, что с "Сказкой", что с мобильником: Поймать владельца кошелька. Вырубить. Связать. Отобрать ключ(тел. или табл.). Закрыть. Разобраться с первичной авторизацией — просто паролем. Ввести динамический пароль, используя отобраный ключ. Перевести деньги.
Вот давайте логично поразмышляем, что лучше? Решение людей, которые "знали особенности", но наплодили недостатков, чей подробный разбор в один пост не влезет? Или решение, ничем не хуже, во многом лучше, но предложенное мной, "особенностей" не знающим?
P.S. Не мешайте замысел и процесс его реализации. Перед тем как что-то делать, нужно знать что, и только потом — как.
Вполне естественно, т.к. что-то мне подсказывает, что Вы не исполнитель, а заказчик. Бизнесу результат нужен, а не теория. Но 20% конверсия — это вопрос самого предмета и квалификации конкретного исполнителя. Осталось только понять, где Вы его толкового возьмете. Профильное образование недоступно, везде полный бардак и гигатонны бреда от всевозможных "юзабилистов" и иже с ними. Как фильтровать кандидатов будете?
Научиться отличать дурака от профи — это несколько труднее и обширнее, чем проф. подготовка классического "экстра-юзабилиста". Придется копать вопрос, на первый план выйдет не то, что Вам нужно, а как это делается. Ну, дальше по стандартному алгоритму. С чавканьем свежей бредятинкой, дисконтной картой на "зеленку" и способностью отличать позавчерашний "Персен" от вчерашнего. И чем больше скидка, тем менее Вы будете уверены в том, что цитируемый принцип имеет право на жизнь в реальном мире 🍻
Вот цикл статей Ивана Дегтяренко, Терминологические войны. Прочтите, вполне сгодится на роль если не всеобъемлющего, то минимум подробного ответа на все вопросы подобного порядка.
Юзабилити — один из критериев успеха. Причем мало что не единственный, но и далеко не самый главный. Если под "спецами по юзабилити" подразумеваются люди, способные логически мыслить и связно выражать надуманое, то указаный минимум явно занижен. Если Вы все-таки имеете ввиду UX-дизайнеров, то их в СНГ всего-то с два десятка найдется толковых.
К слову, ни один из них и в страшном сне не придумает назвать себя кем-то типа "юзабилиста", етц. В инсайдерских кругах это синонимы к здешней "школоте" или дефорумным "пионер-шахидам".
Будет время, ознакомьтесь с вот этим материалом — User Experience Evaluation Based on Values and Emotions, под авторством Piia Nurkka, Tampere University of Technology, Finland. Вот аннотация:
IntroductionDuring the past years, the HCI(Human-Computer Interaction, прим. меня) research has shown a change of focus from usability to user experience(UX). As a consequence of this change, a need for development of new evaluation methods for capturing what is really important for the users has emerged. The goal should not only be to understand the aspects that make the interaction easy, but also to know what makes it enriching. It has become obvious that the design for user experience needs to aim to satisfy human needs beyond the merely instrumental, and to focus on how to create positive experiences rather than just prevent usability problems. In other words, the aim of design is not only to serve our practical needs and to help us reach the practical goals, but also to give meaning to our life and to contribute to the quality of our life. In addition, besides taking into account the human needs beyond the merely instrumental, the affective and emotional aspects of the interaction, and the nature of experience must be understood to fully capture the essence of user experience. Consequently, in evaluating user experience, all of these aspects should be taken into consideration. Affective and emotional aspects of UX are especially important in relation to products that are mostly targeted to leisure time use. Methods of UX evaluation are important in guiding designers in designing for a desired experience. In this paper, we review the relevant literature from HCI, design and marketing relating to user experience research, and propose a user experience evaluation approach that is based on the understanding of user’s non-instrumental goals (concerns) and emotional reactions in interaction. Полный текст(PDF)
По прочтении вопрос о "конкретике" и "океанах теории" отпадет сам по себе. Все взаимосвязано. А при мысли о "конкретной психологии" или, упаси Господи, "инженерном маркетинге" меня неудержимо тянет к суициду :)
Не зная природу вещей, нельзя понять их суть. Если под "помочь ТС" подразумевается взять его за руку, дать конкретные рекомендации, это улучшит один проект. Завтра у ТС будет другой. Послезавтра — третий. Может быть лучше обтачивать не произведения, а сразу <head> их создателя?
Дополнительно, если нужны конкретные рекомендации, есть UI patterns.
Для того, чтоб получать правильные ответы, задайте правильный вопрос © Спросите про что-то конкретное, я Вам(ТС, smbd) конкретно отвечу. В этом топике можно рекомендовать только толковый book list.
Очень напомнило банковский пластик и CVV2. Ностальгировал. Публично вытирал слезу умиления не менее трех раз. Не было CVV, кардеры воровали только billing information и номер карты. Ввели CVV, кардерам увеличилось работы(на одно поле), а на практике ничего не изменилось 😂
Люди добрые, вы мне одно объясните. Куда вы дели кадры, чьи действия и образ мыслей внушали мне позитив и доверие к Яндексу? Какая нафиг "Сказка"(воен., код. обозн. шифр. табл.), вы в каком веке живете? Это куда мир катится, если один из крупнейших поисковиков Рунета не может додуматься до простейшего решения, до которого дошла даже такая дубовая контора, как украинский "ПриватБанк"? Если так и дальше пойдет, можно начинать подумывать о жилой недвижимости, на нижних этажах элитного бомбоубежища.
Печально... :(
А на Amazon нет ссылки Sign Up, хотя регистрация присутствует. Вот целая дискуссия в профессиональном(true pro, а не self rated) сообществе, почему так. Как сказал один известный дяденька, в одном известном фильме:
Видишь суслика? И я не вижу. А он есть!
В общем, не преувеличивайте, тут и без того работы валом :)
Верно, но обратите внимание на то, что... лабаз по торговле цветами никогда не будет продавать бетономешалки так, как специальный лабаз по бетономешалкам, как я выше упоминал.
Подразумевается, что ни одно коробочное решение не сравнится в эффективности с кастомной CMS. По причине своей универсальности, т.к. иначе эту "коробку" не имеет смысла разрабатывать. Для того, чтоб привести её в соответствие с спецификой конкретного рынка, в котором вертится клиентский бизнес, её придется подвергнуть интенсивному напильнингу. А где напильнинг, там и "два травмая".
1200 страниц — это не показатель :) Можете показать пример такого сателлита?
