Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Банковские пароли
Частный клуб Алекса Экслера > Cайт Экслер.Ру
Shoom
28 сентября 2004, 08:52


А если еще учесть, что в Citibank реальной онлайновой защиты нет как класса (клиент просто вводит логин и пароль - "защита" на уровне каменного века, от такого крупного банка я подобного не ожидал)

Алекс, а как будет не каменный век?
Просто мой онлайн доступ на 5 кредитных и один дебетный аккаунт производится именно по логинам и паролям. Банки разные. Неужели все каменный век?
Alex Exler
28 сентября 2004, 09:40
Конечно. Если дальше никакой системы подтверждения проведения операциям нет, тогда жуткий каменный век.

Вот, например, система Гутабанка.

1. Уровень 1.

Логин и пароль, но при каждой операции со специальной карточки вводится уникальный код.

2. Уровень 2.

Вместо логина (пароль сохраняется) используется специальная система (программа), хранящая уникальные ключи доступа на каком-то носителе. Все транзакции подтверждаются через эти ключи и дополнительный пароль.

3. Уровень 3.
E-Token для входа плюс дополнительный пароль.


Вот это уже защита. Причем клиент сам выбирает, какой способ он будет использовать.


Alex Exler
28 сентября 2004, 11:35
Да, я уж не стал в статье писать, но в Ситибанк-онлайн логин - это номер кредитки, а пароль - ее пин-код. За такое просто убивать надо. Максимально болезненным образом.
Trina
28 сентября 2004, 11:39

Alex Exler написал: Да, я уж не стал в статье писать, но в Ситибанк-онлайн логин - это номер кредитки, а пароль - ее пин-код.

Есть такая беда... причем номер карточки ситибанк-онлайн запоминает, и при последующем входе с того же компа вооще нужно завести только пин-код. "И делай с ним, что хошь".
Dmitriy Dementyev
28 сентября 2004, 11:51

Trina написала:  причем номер карточки ситибанк-онлайн запоминает, и при последующем входе с того же компа вооще нужно завести только пин-код.

Ну хоть карточку то блокирует при неправильных вводах пин-кода?
Alex Exler
28 сентября 2004, 11:55

Dmitriy Dementyev написал:
Ну хоть карточку то блокирует при неправильных вводах пин-кода?

При неправильных вводах на сайте? Он и не должен блокировать. Зачем?
Alex Exler
28 сентября 2004, 11:56

Trina написала:
Есть такая беда... причем номер карточки ситибанк-онлайн запоминает, и при последующем входе с того же компа вооще нужно завести только пин-код. "И делай с ним, что хошь".

Я был в шоке, когда это все увидел. Позвонил менеджерам, они любезно ответили, что мое мнение очень ценно для них. Молодцы, ребята, международный банк. При таком подходе спереть бабки с карточки вообще ничего не стоит. Даже карточку не нужно иметь, благо что аппараты для прописывания треков сейчас широко распространены.
Dmitriy Dementyev
28 сентября 2004, 11:59

Alex Exler написал: При неправильных вводах на сайте? Он и не должен блокировать. Зачем?

Получается подбирай код -пока не подберешь? Четырех-значный пароль? И счет в твоих руках.
Либо я чего-то недопонял, либо это страшнейшая глупость.
Trina
28 сентября 2004, 12:02

Dmitriy Dementyev написал: Ну хоть карточку то блокирует при неправильных вводах пин-кода?

Не проверяла... после одного неправильного - точно нет.

Dmitriy Dementyev написал: Четырех-значный пароль?

Ага.

Alex Exler написал:  При таком подходе спереть бабки с карточки вообще ничего не стоит.

Угу... поэтому у меня на ней хранится очень ограниченное количество денег. Мобильник оплачивать удобно через ситибанк-онлайн.
Alex Exler
28 сентября 2004, 12:50

Dmitriy Dementyev написал:
Получается подбирай код -пока не подберешь? Четырех-значный пароль? И счет в твоих руках.
Либо я чего-то недопонял, либо это страшнейшая глупость.

При неправильном подборе они должны блокировать вход на сайт, а не карточку.

Но страшная глупость там присутствует, тут не поспоришь.
Rps
28 сентября 2004, 16:30
Мой сотрудник тут пытался открыть в Сити-банке счёт. Точнее, там целый пакет услуг с картами и набором разных счетов предоставлялся. Кинули со сроками. Всё время просили перезвонить завтра. Никто ничего не знает(делает вид). Крайне неприятное впечатление осталось.
bigmaks
28 сентября 2004, 16:39
В Германии онлайн-банкинг во всех банках происходит по следующей схеме:
Заходишь на свой аккаунт с помошью логина и пароля - при этом кукисы не пишутся. Все что ты можешь после этого сделать - посмотреть сколько денег на счету. Для проведения любой операции необходимо ввести одноразовый ТАН (Trans Aktions Nummer). Список ТАНов банк присылает по почте. После того как ТАН употребили, его нужно просто вычеркнуть из списка. Если 3 раза ввести неправильный ТАН весь список деактивируется и нужно заказать в банке новый.
Если хватает ума ТАНы оставить на бумаге, а не записывать список где-либо в компе, то система вполне надежная.
Эглинтон
28 сентября 2004, 18:22
В моём банке тоже каменный век. Логин - номер дебетовой карточки, пароль вводишь сам. То и другое можно запомнить на компьютере, если хочешь. Один вход предоставляет доступ ко всем счетам в банке, включая кредитную карту и кредитную линию. Можно гонять деньги с одного счёта на другой (внутри банка), оплачивать квитанции, а также переводить маленькие суммы денег (до 1000 долларов) другим пользователям межбанковской системы. То, что банк за 4 года не только не усилил, но даже ослабил защиту (сохранение логина и пароля), заставляет предположить, что он не сильно-то страдает от хакера. Впрочем, банк не самый маленький - 277 миллиардов в активе.

Чудище
28 сентября 2004, 18:43
Все зависит от того, насколько хорошо защищен и прострахован счет. У мурлюканцев есть ихний поганый FDIC, поэтому они не особо заморачиваются особыми е-токенами, а шуруют по обычному SSL-коннекту. У меня каждый месяц вылазит предупреждение о нежелательности использовать банковский пин в виде пароля. А я ленюсь поменять. Я один раз запомнил и все.
Trina
11 октября 2004, 15:28

Dmitriy Dementyev написал: Получается подбирай код -пока не подберешь? Четырех-значный пароль? И счет в твоих руках.

Я таки проверила. После трех раз отсылают звонить в службу работы с клиентами, ибо "вы слишком много раз неправильно ввели пин-код".
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»