Яндекс.Деньги: усиленная авторизация - Страница 3 - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 05.07.2009, 18:00   #21
sperans
Академик
 
Регистрация: 02.08.2007
Сообщений: 1,589
Репутация: 193241

ТопикСтартер Ответ: Яндекс.Деньги: усиленная авторизация

uimodeller, ничего, что для этого сначала надо привязать к Деньгам телефоны? Да, привязка к логину на Яндексе - это не привязка к Деньгам.
Если некто нечто не сделал - это не значит, что оно не приходило в голову. Это значит, что некто видит гораздо больше особенностей, чем видите Вы.
__________________
Теперь я не работаю в Яндекс.Деньгах.
sperans вне форума   Ответить с цитированием

Реклама
Старый 05.07.2009, 18:43   #22
uimodeller
Аспирант
 
Аватар для uimodeller
 
Регистрация: 13.06.2009
Сообщений: 206
Репутация: 27171
Отправить сообщение для uimodeller с помощью ICQ Отправить сообщение для uimodeller с помощью Skype™
Социальные сети

По умолчанию Ответ: Яндекс.Деньги: усиленная авторизация

Цитата:
Сообщение от sperans Посмотреть сообщение
uimodeller, ничего, что для этого сначала надо привязать к Деньгам телефоны?
Обязать пользователя указать рабочий номер телефона, авторизовать изменения существующими средставами аутентификации(пароль, платежный пароль), верифицировать SMS-сообщением — это проблема? Хм, смеялся.

Цитата:
Да, привязка к логину на Яндексе - это не привязка к Деньгам.Если некто нечто не сделал - это не значит, что оно не приходило в голову. Это значит, что некто видит гораздо больше особенностей, чем видите Вы.
Если некто нечто не сделал, это отнюдь не значит, что этот некто видит гораздо больше особенностей, чем вижу я. Как минимум, потому что Вы понятия не имеете, кто я, и в мое видение предмета Вас посвящали. За сим будем оперировать информацией, которой владеем.
Яндекс. Шифровальная таблица, дающая некую защиту только при отсутствии своей цифровой копии. Её могут украсть, как сейчас воруют платежные пароли. Пришел вирь, ушел JPEG. Осталось материальное воплощение, распечатка. Для проведения операций придется носить +1 предмет. Сам носитель, бумажко, можно потерять, как любую другую плоскую фигнюшку надцать на надцать сантиметров. Быстрый износ либо доп. геморрой по ламинации либо необходимость покупать её у компании в готовом виде. Со всеми вытекающими типа потярешек, недоставок, опоздавок и пр. нюансов работы шиппинга. Ну и мистическое превращение клиента в партизана времен Великой Отечественной. Нехватает внезапных верификаций юзера в виде службы радиоразведки, подразделений противодиверсионных сил и службы контрразведки. Уже хочу!

Я, не знающий особенностей. У всех есть мобильные. Их всегда носят с собой. Ключ — SIM-карта пользователя, никаких заморочек по конфиденциальности при восстановлении убитой SIM или потере(краже) самого мобильного. В доступном переводе, не надо неделю звонить в компанию Яндекс и паять себе мозг знакомством с сногшибательными инструкциями по сабжу. Зашел за угол, поднялся в офис сотового оператора, предъявил паспорт, вышел с новой SIM. Плюс дополнительный рубеж по PIN и PUK.

Вор. С точки зрения своего алгоритма, процесс кражи бабла со счетов один и тот же, что с "Сказкой", что с мобильником:
  1. Поймать владельца кошелька.
  2. Вырубить. Связать. Отобрать ключ(тел. или табл.). Закрыть.
  3. Разобраться с первичной авторизацией — просто паролем.
  4. Ввести динамический пароль, используя отобраный ключ.
  5. Перевести деньги.
Вот давайте логично поразмышляем, что лучше? Решение людей, которые "знали особенности", но наплодили недостатков, чей подробный разбор в один пост не влезет? Или решение, ничем не хуже, во многом лучше, но предложенное мной, "особенностей" не знающим?

P.S. Не мешайте замысел и процесс его реализации. Перед тем как что-то делать, нужно знать что, и только потом — как.
__________________
Инвалид на полставки.
uimodeller вне форума   Ответить с цитированием
Старый 05.07.2009, 19:02   #23
sperans
Академик
 
Регистрация: 02.08.2007
Сообщений: 1,589
Репутация: 193241

ТопикСтартер Ответ: Яндекс.Деньги: усиленная авторизация

uimodeller,
Цитата:
Сообщение от uimodeller
Вор. С точки зрения своего алгоритма, процесс кражи бабла со счетов один и тот же, что с "Сказкой", что с мобильником:

1. Поймать владельца кошелька.
2. Вырубить. Связать. Отобрать ключ(тел. или табл.). Закрыть.
Нет. Я моделировала несколько схем мошенничества с одноразовыми паролями на мобильный, когда мы обсуждали эту тему. Кроме того, я знаю, где и как они уже отлично работают, только Вам не скажу, простите. Я против одноразовых паролей на телефон, потому что знаю, как воспользоваться их существованием без всякого вырубания и связывания.
С банком смоделированная (и существующие её варианты) схема мошенничества не сработает, а с электронными деньгами - сработает в силу общей малограмотности населения.

(подумав)
о, мне пришло в голову, какие можно придумать "входные условия" для привязки смс-пароля, чтобы это стало менее опасно Так что есть свои плюсы, из категорического противника одноразовых смс-паролей я превращаюсь в очень осторожного не-противника

Вы, наверное, ещё не знаете, что к нам регулярно зачем-то приходят люди, обманутые без всякой связи с Яндекс.Деньгами Просто у них все электронные платежи ассоциируются либо с Яндекс.Деньгами, либо с webmoney - кто какой звон слышал И вот от них мы узнаём массу интересного о том, что ещё можно сделать, если предоставить такую возможность

Последний раз редактировалось sperans; 05.07.2009 в 19:14..
sperans вне форума   Ответить с цитированием
Старый 05.07.2009, 19:57   #24
uimodeller
Аспирант
 
Аватар для uimodeller
 
Регистрация: 13.06.2009
Сообщений: 206
Репутация: 27171
Отправить сообщение для uimodeller с помощью ICQ Отправить сообщение для uimodeller с помощью Skype™
Социальные сети

По умолчанию Ответ: Яндекс.Деньги: усиленная авторизация

Цитата:
Сообщение от sperans Посмотреть сообщение
Нет. Я моделировала несколько схем мошенничества с одноразовыми паролями на мобильный, когда мы обсуждали эту тему. Кроме того, я знаю, где и как они уже отлично работают, только Вам не скажу, простите.
А можно я? Теоретически, хапнуть чужой динамический пароль можно:
  1. Перехват при отправке получателю. Вырубить и отобрать, подключив оператора, спецтехникой.
  2. Перехват при отправке серверу авторизации.
Первый вариант предполагает серьезную мотивацию осуществить задуманное. Самый простой вариант — отрубить-отобрать, в противном случае придется или применять спецсредства, или писать вирь под мобильные. Защита от парней, несклонных к пацифизму и с спецсредствами — это слишком сложно, для рядового юзера, у которого подобным гражданам и отобрать-то нечего. Да и нет неломаего, в отличие от недостатка мотивации и возможностей. С этой стороны достаточно надежно.

Слабое место — можно перехватить пароль, идущий на сервер. Одноразовый пасс имеет срок годности, достаточный, чтоб пользователь успел им воспользоваться, и с солидным запасом. Он становится невалиден, если ошибка авторизации произошла N раз подряд, иначе будет подбор легендарным брутфорсом. Алгоритм вскрытия:
  1. Получить первичный пароль.
  2. Получить динамический пароль, например, банальным кейлоггером.
  3. Заблокировать отправку данных автор. формы на сервер.
  4. Cоздать дымзавесу произвольного цвета: инет пропал, сервер упал, комп сгорел, нужное подчеркнуть.
  5. Передать пароли в Центр.
  6. Зачистить кошельки до истечения срока действия динпароля и пока юзер не вернул себе возможность взаимодействовать с системой. Например, сгенерировать другой динпароль.
Так мы приходим к тому, о чем я уже упоминал — банковский пластик и CVV. У злоумышленников на одно поле работы больше, но его наличие/отсутствие сути не меняет. Что с мобильником, что с "Сказкой". До тех пор, пока пользователь будет авторизовываться не просто 2+ способами, но и по 2+ различным, взаимонезависимым каналам связи, кардинальных изменений не предвидится.

Цитата:
С банком смоделированная (и существующие её варианты) схема мошенничества не сработает, а с электронными деньгами - сработает в силу общей малограмотности населения.
Всему есть свои границы. Вы не сможете помешать идиоту, с радостной лыбой сующему свои деньги встречным-поперечным.
uimodeller вне форума   Ответить с цитированием
Старый 05.07.2009, 20:25   #25
sperans
Академик
 
Регистрация: 02.08.2007
Сообщений: 1,589
Репутация: 193241

ТопикСтартер Ответ: Яндекс.Деньги: усиленная авторизация

uimodeller,
Цитата:
Сообщение от uimodeller
Вы не сможете помешать идиоту, с радостной лыбой сующему свои деньги встречным-поперечным.
Вы знаете, я хочу помешать именно ему, честно мне бы хотелось, чтобы он отдавал свои деньги не через нас, а через кого-нибудь другого - тогда у меня совесть будет чиста. Ну вот важно для меня это, извините

Я имела в виду не смоделированные Вами угрозы. Другую разновидность
sperans вне форума   Ответить с цитированием
Старый 05.07.2009, 20:35   #26
SMM
Добрый стоматолог
 
Аватар для SMM
 
Регистрация: 02.07.2006
Адрес: Казань
Сообщений: 925
Репутация: 83177
Отправить сообщение для SMM с помощью ICQ Отправить сообщение для SMM с помощью Skype™
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Яндекс.Деньги: усиленная авторизация

доставка карты с кодами в Казань планируется?
__________________
Размещение статей - 30 wmz (1300\5 ЯК Дмоз. 2006 год. Посещ.~60000. MR-100. Яндекс. Гугл новости.). Траст. Написание+6 wmz.
SMM вне форума   Ответить с цитированием
Старый 05.07.2009, 21:05   #27
sperans
Академик
 
Регистрация: 02.08.2007
Сообщений: 1,589
Репутация: 193241

ТопикСтартер Ответ: Яндекс.Деньги: усиленная авторизация

SMM, в рамках общей темы "как сделать доставку в города, где нет доставки карт предоплаты" (ну, этих, которые для пополнения). То есть сделать обязательно надо, но пока окончательно не определена схема.
sperans вне форума   Ответить с цитированием
Старый 05.07.2009, 21:22   #28
uimodeller
Аспирант
 
Аватар для uimodeller
 
Регистрация: 13.06.2009
Сообщений: 206
Репутация: 27171
Отправить сообщение для uimodeller с помощью ICQ Отправить сообщение для uimodeller с помощью Skype™
Социальные сети

По умолчанию Ответ: Яндекс.Деньги: усиленная авторизация

Цитата:
Сообщение от sperans Посмотреть сообщение
Я имела в виду не смоделированные Вами угрозы. Другую разновидность
Бесполезно. Человеческий фактор можно убрать только вместе с самим человеком. При статичном платежном пароле, злоумышленнику достаточно выудить его один раз. При динамичном — каждый раз. На практике никто не будет мариновать краденые пароли в ожидании чуда, когда на счету у пассажира не будет 100500 миллионов рублей. Хотя бы потому, что смена пароля — это тоже чудо, но рядовое, обыденное и от того вполне вероятное. Хоть два статичных пароля, хоть статика + динамика, два сапога — кеды.

Бытует мнение, что существует две бесконечности: Вселенная и человеческая глупость. Причем автор теории, некто Эйнштейн, питает некие сомнения насчет первой, но никаких касаемо второй. Все ещё хотите забороть непреодолимое?

Цитата:
Сообщение от sperans Посмотреть сообщение
о, мне пришло в голову, какие можно придумать "входные условия" для привязки смс-пароля, чтобы это стало менее опасно Так что есть свои плюсы, из категорического противника одноразовых смс-паролей я превращаюсь в очень осторожного не-противника
Можно я Вас добью? Разбейте алгоритм на два канала связи:
  1. Первичная авторизация. ПК-> Сервер
  2. Динамический пароль. Сервер -> Моб. тел -> Сервер
Механика защиты кардинально меняется. Как писал постом ранее, перехватить дин.пароль на участке сервер-юзер достаточно сложно. Проще поработать на участке юзер-сервер. Если вирь сумел хапнуть первичный пароль, сможет и довести нагибание до логического конца. Наша задача сводится к тому, чтоб контроля над ПК стало недостаточно. Детализируем:
  1. Первичная авторизация.
  2. Запрос на перевод средств.
  3. Бот перезванивает на моб. тел. юзера, голосом Вуди Вудпекера просит у него статичный платежный пасс.
  4. Ввод пароля с клавиатуры мобильного. А-ля IVR в колл-центрах.
  5. Если успех, отпустить транзакцию.
Рубежи обороны:
  1. Первичный пароль.
  2. Номер телефона клиента.
  3. Платежный пароль и по другому каналу.
Вот это уже действительно ломаемо или глупыми парнями, но вместе с юзером, или умными, но с спецтехникой и умением с ней обращаться. Вполне достаточно, на мой взгляд. С технической точки зрения, конечно, не слишком вкусный вариант, но думать предлагаю именно в эту сторону.
uimodeller вне форума   Ответить с цитированием
Старый 05.07.2009, 21:37   #29
sperans
Академик
 
Регистрация: 02.08.2007
Сообщений: 1,589
Репутация: 193241

ТопикСтартер Ответ: Яндекс.Деньги: усиленная авторизация

Цитата:
Сообщение от uimodeller
глупыми парнями, но вместе с юзером
мне важно, чтобы этот вариант был минимально доступен. Ну, понимаете, разные подходы бывает. Я в данном случае такой традиционный Защитник Блондинок
а по каналам и прочему у нас есть Специальные Специалисты, да они примерно такое и моделировали, что Вы рассказываете
sperans вне форума   Ответить с цитированием
Старый 05.07.2009, 23:00   #30
uimodeller
Аспирант
 
Аватар для uimodeller
 
Регистрация: 13.06.2009
Сообщений: 206
Репутация: 27171
Отправить сообщение для uimodeller с помощью ICQ Отправить сообщение для uimodeller с помощью Skype™
Социальные сети

По умолчанию Ответ: Яндекс.Деньги: усиленная авторизация

Цитата:
Сообщение от sperans Посмотреть сообщение
мне важно, чтобы этот вариант был минимально доступен.
Взлом вместе с юзером — это буквально, сначала ломаем юзера, потом пароль. Типа такого:
"Системный администратор Юкоса при обыске заявил, что для взлома паролей на базы данных потребуется несколько лет интенсивной работы многих компьютеров. ОМОНовцы "узнали" пароль за 5 минут, 3 минуты из которых они привязывали админа к стулу..." © bash.org.ru
Программной защиты от терморектального криптоанализа нет и не будет.

Цитата:
Ну, понимаете, разные подходы бывает. Я в данном случае такой традиционный Защитник Блондинок
Похвально, но бесполезно Эффективная борьба с юзерской глупостью несовместима с успехом у обладателей этого качества. Затяните вентиль — побегут. В итоге бизнес заставит Вас соблюдать баланс. Будьте готовы!

Цитата:
а по каналам и прочему у нас есть Специальные Специалисты, да они примерно такое и моделировали, что Вы рассказываете
Вы знакомы с принципом талиона? Вот по законам Хаммурапи рукожопое строительство, повлекшее за собой смерть владельца дома, каралось смертью рукожопого строителя. Это 18-й век до нашей эры.

Сейчас 21-й нашей эры, компутеры, интернеты, Юра Гагарин — подобрели мы, в общем. Потому не буду просить Вас безжалостно перестрелять этих специалистов, как вредителей, саботажников, диверсантов и прочих вражеских шпионов. Око за око, геморрой за геморрой! Немедля выдать гигантам по три "лося радиста", как посвящение в ряды, а также азбук Морзе с бюстами Маркони, как признак принадлежности к геройской касте. Маркони в чугуне. Масштаб 1:1. С интегрированой системой защиты от угона: якорная цепь + одноразовый фиксатор на хозяйскую конечность, необратимого действия и из устойчивых к брутфорсу сплавов. Вдруг "Сказки" закончатся?..
uimodeller вне форума   Ответить с цитированием
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 00:03. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны