Ещё про банки и проблемы

Мне в комменты пресс-служба ВТБ24 пишет, видимо её-таки поставили на уши. Или, если это хорошая пресс-служба, то она самовозбудилась. Это хорошо. Люблю, когда кто-то толково выполняет свою работу.

Честно говоря, я не очень-то поверил в историю про коварный банк. Так что и написал тот пост скорее из общей вредности, ну и желания помочь хорошим людям ускорить процесс.

Я тут немного поковырялся... Защита онлайновой системы Банк-клиент там основана на сертификатах X.509, а ввести дополнительную парольную защиту и начать настойчиво предлагать её всем пользователям банк догадался только месяц назад. Это со всей очевидностью следует из ответа пресс-службы Г.Голосову (вообще это обвинение — очень забавно). И в ситуации, когда вражеская программа получает доступ к компьютеру клиента, то получает она и этот самый сертификат, который затем может быть использо� �ан хоть из Новой Гвинеи. Собственно, затем он и придуман, чтобы им можно было пользоваться на разных компьютерах с разных IP и так далее. В принципе, возможно хранение оного сертификата в какой-нибудь там защищённой памяти на флешке. Но это довольно слабо спасает в момент использования оного сертификата на захваченном трояном компьютере. Насколько, конечно, я себе это представляю. Я же не эксперт по компьютерной безопасности.

Понятное дело, что в договоре банк возлагает всю полноту ответственности за подобные казусы на клиента. Но не менее понятно, что банк, который надеется на то, что его клиенты — разумные люди, умело заботящиеся о своей безопасности, — не лучшее место для хранения средств разумных людей, умело заботящихся о своей безопасности.

Кстати, на мой взгляд, наиболее удачный способ для онлайн-транзакций это ввод пароля с виртуальной клавиатуры с меняющимися позициями клавиш. Оно, конечно, клиенты таких систем плюются наверняка... Но тут пароль можно потырить только через видеозапись экрана. Когда-то в компьютерре читал про ещё один интересный вариант оформления пароля — по картинке. Человеку предъявляется фотография и предлагается зафиксировать на ней ряд точек. После чего его паролем становится тыкание на фотографии мышкой в соответствующие точки в определ ённом порядке. Ну или как-то так. Запомнить это куда проще, чем безумную комбинацию из букв и цифр. Другое дело, что тут уже возможен когнитивистский взлом. Можно ведь вычислить максимально вероятную траекторию движения глаз... Впрочем, можно много чего интересного предпринять. Например, использовать 10 известных человеку изображений среди кучи неизвестных, предъявляемых в случайном порядке. Этакий метод Жеглова-Шарапова, если кто понимает о чём я.

Кстати, ни капельки не удивлюсь, если у меня сопрут мои вебмани... Сам дурак потому что. Но ещё больше я не удивлюсь, если потеряю все эти мои ключи X.509...

Оригинальная запись в блоге Волохонского:
Ещё про банки и проблемы.