Cześć,

Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
- genialne w swej prostocie.

Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
fajnego kociaka i podpisujemy je "mruczuś".

Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
loginu oraz hasła. Teraz jest inaczej. Jak odbywa się logowanie?

- użytkownik wpisuje login
- system prosi użytkownika o udzielenie odpowiedzi na jedno z trzech pytań
- strona z pytaniami jest opatrzona wybranym i podpisanym przez użytkownika
avatarem
- po podaniu prawidłowej odpowiedzi, użytkownik jest proszony o hasło
- po podaniu prawidłowego hasła użytkownik uzyskuje dostęp do konta.

Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
phising. Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.

Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
myślicie?

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.