Сообщений в теме: 77

[-=AlexuS=-]

... как именно незнание одноразового пароля при знании всех прочих реквизитов карты не дает возможности купить билет на www.rzd.ru по данным этой карты при наличии на карт-счете денег.

Насколько я выяснил, это может происходить следующими способами:
1 вариант: счет все время заблокирован, и перед платежом вы разблокируете его на один платёж очередным одноразовым паролем полученым из списка, токена итд
2 вариант: по очередному одноразовому паролю банк вам генерит реквизиты виртуальной карточки со всеми атрибутами, но с которой можно заплатить только 1 раз и не более указанной вами суммы, и переводит на эту виртуальную карточку деньги с вашего основного счета
ну и при желании можно реализовать и другие схемы использующие одноразовые пароли, только их естественно должен поддерживать бант-эммитент

[-=AlexuS=-]

Ну от "key logger", наверно, можно просто защититься, вводя пароль не последовательным нажатием клавиш, а по частям, например, сначала вторую половину, затем переставить фокус ввода мышкой в начало строки и набрать первую половину.

Классный метод. Думаю злоумышленник скорей бросит попытки увести что-то с этой карточки, посчитав ее заблокированной, чем будет подразумевать такую хитрость за владельцем и перебирать все возможные комбинации введеных символов.

[Pavel.]

Уважаемая Зараза… условия пари действительно!
Вообще на мой взгляд инфа размещённая здесь(и Вами также…) оччень неплоха…
Почему бы всё внимательно не почитать ещё раз… посоображать… а потом отправиться с бутылочкой в гости к какому-нить неглупому душевному не рядовому сотруднику банка… (эт я конечно со своей «колокольни», но …)

при наличии на карт-счете денег

Ну рублей двести там обычно всегда есть… Я кстати этой картой дажо за сотовый телефон МТС платил находясь в Индии и авиабилеты на внутренний рейс покупал и не парился...

Вы готовы выложить данные своей карты в свободный доступ?

Ну ФИО и номер моего телефона Вы запросто в "профиле" найдёте, если немного "погуглить" возможно даже адрес моей прописки отыщете ...
А насчёт данных карты - внимательно ещё раз читаем мой предшедствущий коммент на первой странице.

[Strannitsa]

Вы не совсем поняли суть проблемы. Вы оформляете платеж за что-то в интернет-кафе. Для транзакции вам необходимо вбить в платежную форму все необходимые атрибуты. Эти же атрибуты может ввести и злоумышленник, если украдет их кейлоггером.

нет, это вы не поняли

код с бумажки вводится один раз
один код - один платеж
в след. раз, если кто-то введет все данные, которые украдет у вас, то код будет неправильным, ибо он уже использован...
в след. раз система потребует другой код.

только к сож. Электроном, думаю, не все оплатить получится
пока платила так только за РЖД, Сибирь и Скай

AlexuS, вам знаком метод защиты с использованием одноразовых паролей?

вот я про это как раз
сначала ответила, а потом прочитала дальше

Сообщение отредактировал Strannitsa: 28 ноября 2008 - 00:10

[Strannitsa]

Проведите тогда, пожалуйста, ликбез для общественности, как именно незнание одноразового пароля при знании всех прочих реквизитов карты не дает возможности купить билет на www.rzd.ru по данным этой карты при наличии на карт-счете денег.

с Электроном не купите

[kaa]

с Электроном не купите

Почему не купит-то? Электроны они разные бывают. Другое дело, что 3DSecure Сбербанка при онлайн-транзакциях, насколько я знаю, вывешивает дополнительное окно в браузере с требованием ввести одноразовый пароль (сам не видел, руками не трогал, в банке не работаю уже лет семь).

[Strannitsa]

Почему не купит-то? Электроны они разные бывают.

я про Сбер как раз ...
ага, доп. окно с требованием - все правильно
скажи-ка мне тогда как работник банка и житель Европы: насколько логично ехать с такой карточкой к вам? (виза электрон сбер в смысле)
будет ли мне в полной мере доступна с нее оплата в магазинах и, например, в евр. авиакомпаниях (через сайты)

[kaa]

Весь офлайн будет в полной мере доступен. Онлайн - скорее всего, будет работать, но сильно зависит от настроек банковского софта.

[deleted_user]

скажи-ка мне тогда как работник банка и житель Европы: насколько логично ехать с такой карточкой к вам? (виза электрон сбер в смысле)
будет ли мне в полной мере доступна с нее оплата в магазинах и, например, в евр. авиакомпаниях (через сайты)

я по российской (не 100% уверен, что именно сбербанковской, но скорее всего) карточке виза электрон покупал билет на EasyJet. но с другой стороны, конкретно в Германии несколько раз сталкивался с проблемами, пытаясь расплатиться русским пластиком, прилинкованным к рублёвому счету (что нельзя сказать про немецкие коммерцбанковские Маэстро и Визу Голд — в Москве их принимали повсюду на "ура", а по Маэстро даже давали деньги в самых разных банкоматах без 5.90 комиссионных).

[Yulia_D]

скажи-ка мне тогда как работник банка и житель Европы: насколько логично ехать с такой карточкой к вам? (виза электрон сбер в смысле)
будет ли мне в полной мере доступна с нее оплата в магазинах и, например, в евр. авиакомпаниях (через сайты)

Не работник банка, но с такой проблемкой сталкивалась - нужно выяснять в своём банке привязан ли к рублёвому картсчёту вспомогательный валютный.
Потому что есть чисто рублёвые электроны, по которым нет конвертации, и соответственно ими невозможно воспользоваться заграницей.

У меня в Германии один раз в магазине не сработала нормальная карточка, хотя в этот же день я ей неоднократно пользовалась (и до, и после).
В банке сказали, что видимо во время неудавшегося платежа у магазина были проблемы со связью, так как запроса в банк от них не было.

[kaa]

Не работник банка, но с такой проблемкой сталкивалась - нужно выяснять в своём банке привязан ли к рублёвому картсчёту вспомогательный валютный.

Чтобы избежать такого занятия - нужно лишь внимательно читать все документы, подписываемые при получении карты. Открытие счета - штука серьезная, и в России как минимум без карточки образца подписей не обходится.

Потому что есть чисто рублёвые электроны, по которым нет конвертации, и соответственно ими невозможно воспользоваться заграницей.

Не пишите бреда, ладно? Если у мерчанта проблемы со связью или банк ограничил работу карты только в рублевой зоне - причем здесь валюта картсчета? 98% всех карт имеют привязанный счет только в одной валюте и при этом прекрасно работают во всем мире.

[Yulia_D]

Не пишите бреда, ладно? Если у мерчанта проблемы со связью или банк ограничил работу карты только в рублевой зоне - причем здесь валюта картсчета?98% всех карт имеют привязанный счет только в одной валюте и при этом прекрасно работают во всем мире.

Валюта картсчёта не причём. А где Вы вычитали, что она причём?

GE-Bank врядли имеет проблемы со связью, но их рублёвые электроны не конвертируются (в т.ч. и в РФ).
При выдаче карты они об этом предупреждают, но если человек с такой проблемой не сталкивался, то он просто не обратит на это внимания и обнаружит ограниченность своей карты уже будучи заграницей.

Сообщение отредактировал Yulia_D: 03 декабря 2008 - 00:44

[Bulat]

Возвращаясь к теме: а что если набить заранее реквизиты карты в текстовый файл на флэшке, а потмо их оттуда копировать и вставлять в нужные поля? Тогда клавиатурные перехватчики их не увидят.

[grommit]

Возвращаясь к теме: а что если набить заранее реквизиты карты в текстовый файл на флэшке...

Зачастую в компьютер в интернет-кафе втыкнуть флешку просто некуда. Не предусмотрено.
Впрочем, раз есть интернет, то в безобидно названном письме у вас в почтовом ящике такой код вполне может храниться в неявной форме. И копировать можно оттуда. Учитывая, что у многих электронные дубли документов, фоток для документов и прочее пожарно-страховочное и так храниться в почте, то почему нет?

2kaa:Еще один такой "бред" и вам будет предоставлен "рождественский отпуск", за нарушение пп.1 и 6 правил форума.
Правила здесь: http://www.bpclub.ru...?act=boardrules

[Yulia_D]

С копированием с флешки или из почты идея хорошая.
Но вот в буфере эти данные разве не остаются?
А если остаются, то как их оттуда удалить?
Или придётся копировать кусочками по 1-2 цифры...

[-=AlexuS=-]

Два неплохих варианта, на первый взгляд, предложили соотвественно Serge& и Bulat:

- менять мышью фокус ввода при вводе логина-пароля, и соответственно последовательно вводить разные куски логина-пароля;
- копировать логин-пароль со флешки/почты;

К сожалению, как оказалось, современные кейлогерры умеют записывать в лог и смену фокуса ввода и буфер обмена и даже делать порой скриншоты экрана. Более того, практически ничего сложного в написании такой самопальной системы нет, практически для любого программиста. Поэтому, наврядли можно считать эти методы заметно защищающими вводимые данные, тем более если просто из-за спины или с помощью камеры, всегда можно определить кто просто пишет письмо или читает новости, а кто оформляет платёж.

[grommit]

... наврядли можно считать эти методы заметно защищающими вводимые данные...

Это не так. Был у меня как-то разговор со специалистом по безопасности. Он в начале 90-х настоятельно рекомендовал средне-крупным бизнесменам иметь свою охрану, несмотря на то, что НИКАКАЯ охрана в принципе не способна защитить не то, чтобы на 100%, но даже и на 70%. Потому, что это нереально.
Однако, наличие охраны сразу повышало ставку киллера выше 50 000 долларов (на тот момент, если мне не изменяет память). А такую сумму уже далеко не всякий обиженный себе может позволить. Отсекается подавляющее большинство тех, кто мог бы, но теперь не сможет. Подавляющее большинство.
Аналогично и здесь: применяемые меры предосторожности, даже если каждая из них не является гарантией безопасности, понижает общий риск за пределы возможности обычного администратора интернет-кафе. Что уже отсекает бОльшую часть потенциальной угрозы.
А от квалифицированного злоумышленника лучше спасаться с привязанного на уровне железа (и даже номера USB-входа! ) компа, с хардварным опять-таки ключом.
У себя дома.

[-=AlexuS=-]

Это не так.

Никак не могу согласится.

Аналогично и здесь...

Аналогия не совсем верна, потомучто в случае с охраной, "противолодочные" маневры экстремально повышают цену реализации злого умысла, а в случае с кражей пароля такого повышения цены нет. Кейлогерры с такими функциями фактически бесплатны или легко реализуются самостоятельно или подельниками.

...применяемые меры предосторожности, даже если каждая из них не является гарантией безопасности, понижают общий риск за пределы возможности обычного администратора интернет-кафе.

Как раз такого "понижения общего риска за пределы возможности обычного администратора" нет и в помине. Собственно, что мешает администратору просто проанализировать лог, где указаны все действия пользователя, а не только введённые им символы? Тем более, если легко заранее запеленговать потенциально-рыбный лог. Наврядли следует полагаться на такую несообразительность человека обуреваемого жаждой обогащения за чужой счёт.

Что уже отсекает бОльшую часть потенциальной угрозы.

Обсуждаемые меры в случае жесткой необходимости платежа в инет-кафе, конечно, стоит предпринять, но наврядли можно говорить о удалении "бОльшей части потенциальной угрозы".

А от квалифицированного злоумышленника лучше спасаться с привязанного на уровне железа (и даже номера USB-входа! ) компа, с хардварным опять-таки ключом.
У себя дома.

Ага. Как известно самый защищенный компьютер, это тот который хранится в выключенном состоянии в подземном бункере. И по аналогии самые защищенные платежи, это те от которых путешественник отказался.

[grommit]

И по аналогии самые защищенные платежи, это те от которых путешественник отказался.

Аналогия не совсем верна , потому что имеет место подмена понятий максимально возможной защищенности в принципе и минимально возможной при заданных условиях.

-=AlexuS=-, почему у путешественника в интернет кафе нет никаких шансов сохранить тайну введенных данных вы "объяснили", может быть есть мысли как все-таки их сохранить?

[-=AlexuS=-]

grommit, никаких подмен , хотите максимально защитить комп? выключите его. Хотите максимально защитить свой платёж? не осуществляйте его.

А почему слово - "объяснили" вы поставили в кавычки? Я привел какие-то псевдоаргументы?

А мысль как с высокой степенью надежности сохранить тайну уже упоминалась здесь - одноразовые пароли.