Cześć,

Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
- genialne w swej prostocie.

Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
fajnego kociaka i podpisujemy je "mruczuś".

Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
loginu oraz hasła. Teraz jest inaczej. Jak odbywa się logowanie?

- użytkownik wpisuje login
- system prosi użytkownika o udzielenie odpowiedzi na jedno z trzech pytań
- strona z pytaniami jest opatrzona wybranym i podpisanym przez użytkownika
avatarem
- po podaniu prawidłowej odpowiedzi, użytkownik jest proszony o hasło
- po podaniu prawidłowego hasła użytkownik uzyskuje dostęp do konta.

Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
phising. Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.

Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
myślicie?

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry

> Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
> myślicie?

Mysle, ze niektorzy nienawidzą tych scierściuchów ... poza tym ilość
osób dających radę poprawnie się zalogować spadnie do 5%. Bank tym samym
będzie miał samych inteligentnych klientów i przestanie zarabiać ... :)

--
Krzysiek, Krakow, http://kp.oz.pl/

do góry

scream wrote:

> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
> phising. Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
> nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
> długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
> razem system losuje inne). A nawet jeśli idealnie spreparują stronę
> systemu płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma
> fotki jego kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.
>
> Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
> myślicie?

A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na nigeryjskie
historie, to bardzo ryzykownie jest zakładać żę "każdy głupi przy logowaniu
pokapuje się że....".

p. m.

do góry

On 18 Gru, 00:24, mvoicem <m...@g...com> wrote:

>
> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na nigeryjskie
> historie, to bardzo ryzykownie jest zakładać żę "każdy głupi przy logowaniu
> pokapuje się że....".
>

Dac plik dzwiekowy zamiast lub oprocz zdjecia.
Moze pomoc spersonalizowac logowanie.

do góry

Dnia Tue, 18 Dec 2007 00:24:21 +0100, mvoicem napisał(a):

> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na nigeryjskie
> historie, to bardzo ryzykownie jest zakładać żę "każdy głupi przy logowaniu
> pokapuje się że....".

Pewnie tak, ale weź pod uwagę, że ludzie są z reguły wzrokowcami. Jeśli
ktoś przyzwyczai się do widoku swojego obrazka, to kiedy go nie zobaczy
przy logowaniu, podświadomie będzie czuł że "coś jest nie tak" :))

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry

krzysztofsf wrote:

> On 18 Gru, 00:24, mvoicem <m...@g...com> wrote:
>
>>
>> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na
>> nigeryjskie historie, to bardzo ryzykownie jest zakładać żę "każdy głupi
>> przy logowaniu pokapuje się że....".
>>
>
> Dac plik dzwiekowy zamiast lub oprocz zdjecia.
> Moze pomoc spersonalizowac logowanie.

Ale to nic nie zmieni. Po prostu niektórzy sa tak bezgranicznie głupi, że im
nie pomoże nawet jakby mieli wielkimi czewonymi wołami na górze strony "to
my złodzieje. tak naprawdę to jest oszustwo. uważaj, okradniemy cię". :)

p. m.

do góry

scream wrote:

> Dnia Tue, 18 Dec 2007 00:24:21 +0100, mvoicem napisał(a):
>
>> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na
>> nigeryjskie historie, to bardzo ryzykownie jest zakładać żę "każdy głupi
>> przy logowaniu pokapuje się że....".
>
> Pewnie tak, ale weź pod uwagę, że ludzie są z reguły wzrokowcami. Jeśli
> ktoś przyzwyczai się do widoku swojego obrazka, to kiedy go nie zobaczy
> przy logowaniu, podświadomie będzie czuł że "coś jest nie tak" :))

No to się walnie obrazek który ma jakąś szansę być podobnym na pierwszy rzut
oka do tego który użytkownik zuploadował.

Weź pod uwagę, że wsadzić jakiś obrazek na stronę, to jest pewien wysiłek.
Niektórym nie będzie się chciało, więc wsadzą piewszy z brzegu. Dla
użytkowników windowsa pierwszym z brzegu obrazkiem jest *chyba* obraz
tapety windowsa (to takie zielono/niebieskie coś).

p. m.

do góry

>
> Weź pod uwagę, że wsadzić jakiś obrazek na stronę, to jest pewien wysiłek.
> Niektórym nie będzie się chciało, więc wsadzą piewszy z brzegu. Dla
> użytkowników windowsa pierwszym z brzegu obrazkiem jest *chyba* obraz
> tapety windowsa (to takie zielono/niebieskie coś).
>
W większości sprzedawanych obecnie laptopów można znaleźć czytnik lini
papilarnych. O ile jest on zupełnie nieprzydatny w zwykłym użytkowaniu
komputera, to może jest to jakiś krok w stronę zniany sposobu logowania do
serwisów www.
LemonR

do góry

Dnia Tue, 18 Dec 2007 02:38:43 +0100, mvoicem napisał(a):

> No to się walnie obrazek który ma jakąś szansę być podobnym na pierwszy rzut
> oka do tego który użytkownik zuploadował.

Piękno tego rozwiązania polega na tym, że użytkownik nie uploaduje swojego
obrazka. Obrazki są zdefiniowane przez system płatności, w ich katalogu
online, jest ich kilkaset w różnych kategoriach i w tymże katalogu
wyświetlają się losowo. Nawet jeśli użytkownik wybierze pierwszy z brzegu,
to nie będzie on "pierwszym z brzegu" tylko którymś z kolei :))

> Weź pod uwagę, że wsadzić jakiś obrazek na stronę, to jest pewien wysiłek.
> Niektórym nie będzie się chciało, więc wsadzą piewszy z brzegu. Dla
> użytkowników windowsa pierwszym z brzegu obrazkiem jest *chyba* obraz
> tapety windowsa (to takie zielono/niebieskie coś).

J/w, takie cuś tu nie nastąpi.

--
best regards,
scream (at)w.pl
Samobójcy są arystokracją wśród umarłych.

do góry

On 18 Gru, 02:36, mvoicem <m...@g...com> wrote:
> krzysztofsf wrote:
> > On 18 Gru, 00:24, mvoicem <m...@g...com> wrote:
>
> >> A ja myślę, że jeżeli są ludzie na tyle głupi żeby łapać się na
> >> nigeryjskie historie, to bardzo ryzykownie jest zakładać żę "każdy głupi
> >> przy logowaniu pokapuje się że....".
>
> > Dac plik dzwiekowy zamiast lub oprocz zdjecia.
> > Moze pomoc spersonalizowac logowanie.
>
> Ale to nic nie zmieni. Po prostu niektórzy sa tak bezgranicznie głupi, że im
> nie pomoże nawet jakby mieli wielkimi czewonymi wołami na górze strony "to
> my złodzieje. tak naprawdę to jest oszustwo. uważaj, okradniemy cię". :)
>

No ale jak wytlumaczy sie "Kasi", ze jak slyszy "Dzein dobry kasiu",
to ma zaczac sie slinic, ..tfu....przejsc do dalszych operacji.
Ludzie olewaja komunikaty tekstowe, na dzwiekowe jeszcze sie nie
uodporniki - naturalnie, jak Kasie siedzi ze sluchawkami na uszach i
sluch czegos tam, to komunikat moze sobie gadac.

do góry