Блог Денег

Мир кошелькам — война хакерам

15 июня 2009, 11:17
С сегодняшнего дня у наших пользователей появился еще более надежный способ уберечь свои Яндекс.Деньги от хакеров, вирусов или последствий собственной забывчивости. В этом им поможет новая услуга, которая называется «усиленная авторизация». Она особенно пригодится: * активным пользователям, регулярно делающим крупные покупки; * легким на подъем пользователям, которые часто заходят на сайт Яндекс.Денег с разных компьютеров (где может не быть антивируса, но быть много троянов и прочих вредителей); * рассеянным пользователям, время от времени забывающим свой платежный пароль; * и, наконец, просто очень ответственным и продвинутым пользователям. Как это работает? Для подтверждения платежей и других важных операций вы вводите не платежный пароль, а одноразовый код (уникальный набор символов). Этот код вы получаете из специальной таблицы или с экрана электронного токена непосредственно в момент оплаты. Поскольку коды никогда не повторяются, трояны вам больше не страшны. Таблицу кодов можно скачать с сайта Яндекс.Денег в виде jpg-файла или получить в виде пластиковой карты вместе с доставкой карт предоплаты. А электронные токены на первой стадии проекта выдаются только по специальным приглашениям. P.S. Усиленная авторизация доступна только тем пользователям Яндекс.Денег, которые управляют своим счетом через веб-интерфейс. ©
34 комментария
Подписаться на комментарии к посту
Егор Филиппов
15 июня 2009, 10:26
А картинка-то все время одна?
В смысле? Ты получаешь файл с таблицей и используешь его. Запрашиваемые коды каждый раз новые.
Егор Филиппов
15 июня 2009, 10:34
А картинку надо всегда носить в кармане и бояться потерять?
Именно так.
Картинка одна для всех, или индивидуальна для каждого пользователя?
Каждая таблица кодов уникальна для каждого пользователя.
Тогда тема хорошая, лучше платёжного пароля, имхо.
А если сейчас есть платёжный пароль, как можно его отключить, и пользоваться только этими кодами? Чтобы по платёжному паролю нельзя было провести те же самые операции?
После подключения услуги усиленной авторизации использовать платежный пароль невозможно. Доступ к счету и платежным операциям будет осуществляться только с помощью таблицы кодов или токена.
а если пролюбил картинку, новую заказывать?
круто. Вы молодцы, в отличии от... У вас сразу инструкция заготовлена! Но, как человек недавно ощутивных Visa 3D Secure в полный рост, мне инструкция по ссылке не нравится прямо с первого пункта :))) Это не значит, конечно, что нужно всё бросить и бежать делать "как у взрослых", просто добавьте мою параною к своим планам, в каком-то там виде :) 1. служба feedback.yandex.ru мне не кажется очень надежной с быстрой. Несколько раз я тщетно пытался отправить этот самый feedback, и обламывался. Как мне потом рассказали, "нода в кластере умерла, и на следующую попытку тебе должны были давать другую". Другу таки дали, но осадочек остался. Плюс, там по ссылке совершенно общая форма, "в которой я теряюсь". А ситуация заказа еще одного ключа - в принципе весьма конкретная: "заблокируйте будьте добры таблицу кодов". Спрашивать серийный номер смысла нет - её ведь потеряли. В общем, одна кнопка. 2. На мой скромный взгляд, запрос новой табличик должен автоматически блокировать все предыдущие (т.е. если вдуматься, пп.1 как-бы вообще не нужен, ни в каком виде) 3. Бланк заявления и лично его подать - это жесть. Как и нотариально заврееное письмо, ага. А еще "Я уведомлён ... 20 дней". Это, очень наглядно отражает заботу о "активным пользователям, регулярно делающим крупные покупки" Это скорее для "легким на подъем пользователи", фигли им в офис яндекса проехаться - плёвое дело. Или как леарство для "рассеянным пользователям", после второго визита, точно не потеряют таблицу кодов :)) Далее, какой серийный номер необходимо указать в заявлении? С той бумажки, которую я пролюбил? Как это сделано "у больших" - я прихожу к банкомату, и печатаю на чеке набор одноразовых сессионных паролей. Йоу! Я понимаю разницу между "банкомат" и "интернет", но на мой скромный взгляд, при всей крутопараноидальности новой защиты, пользоваться её будут до первого случая "пролюбил таблицу кодов". В смысле, простые люди, которые homo vulgaris. з.ы. кстати, серийный номер таблицы, с которой коды нужно вести там пишут? На скриншотах в инструкции не видно.
Спасибо (: Оно же для безопасности повышенной - читай Капитан Паранойя. О каких vulgaris ты говоришь?
Я не знаю, какое у вас отношение к формуле безопасность = 1/удобство но я считаю что она не далека от истины. С точностью до константы :) Так вот, количество неудобства, на мой скромный взгляд, выше порога "не, это уж слишком" :)
"Не, это уж слишком" - относится к процедуре "я_потерял_карточку_помогите" или к сервису в целом?
в первую очередь к процедуре "потерял, дайте новую", конечно. Но без этой отработаной удобной процедуры я смысла сервиса в целом для себя лично не вижу. Т.е. польза только против "трояны и фишинг", но с этими штуками вроде есть смысл более глобально бороться, например с помощью антивируса и опций брауезра. А из ненадежных мест (там, где не борются), просто не пользовать Я.Деньги. У меня вот такая параноя, категоричная. В общем, пока я вижу одну проблему, в сравнении с "большими" - у вас нет отработаного механизма контакта с пользователем, чтоб вы не сомневались, что он - это дейсвительно он, а не мошенник. Такой контакт только через нотариуса или лично в офис. У больших есть банкомат в который засунута пластиковой карточка и введен пинкод Может быть, как-нибудь СМС к этому несложному делу аутентификации пользователя подключить?
Чем дальше в лес...тем страшнее паранойя ((: Предложения ушли выше (:
кста, в каком-то каменте предложили приложение для телефона - я к этому предложению +500.
Подумаем.
Егор Филиппов
15 июня 2009, 10:52
Тогда рассеянным это подходит не больше, чем пароль. И самое главное, как и в случае с паролем, невозможно понять, украли у меня картинку или нет.
Таблицы кодов бывают в виде файлика (который хорошо бы распечатать и носить бумажку с собой) и в виде пластиковой краточки. В случае карточки понять украли у тебя ее или нет понять довольно-таки просто — это физический носитель.
Егор Филиппов
15 июня 2009, 11:04
А в случае файла нельзя понять. Кроме того карточку или распечатанную картинку можно сфотографировать. Оно понятно, что физическая кража пароля (или заменителя) — ничтожно редкий случай, но Капитан Паранойя поспешил одобря.
Паранойя Капитана Паранойя не позволит потерять физический носитель.
Двачую.
А в случае как файла, так и карточки такой распространенный вид мошенничества, как фишинг, уже не сработает. Вирусам на машине пользователя также нелегко будет распознать, что полученный файл является именно ключом к счету в Яндекс.Деньгах. А с физической картой вирусы вообще не страшны. Так что Капитан Паранойя стоит на своем.
И да, рассеянным и с банковскими карточками тяжело.
Очень, ага.
Спасибо, воспользуемся!
Пожалуйста (:

ВОПРОС:

Из предложения: "Сколько это стоит
Переход на усиленную авторизацию стоит 30 рублей и оплачивается только один раз, при подключении услуги. В дальнейшем переход с одного способа усиленной авторизации на другой осуществляется без дополнительной оплаты." не совсем понятно, в случае "После того, как срок действия таблицы истечет или будет достигнут лимит ее использования, вам нужно будет получить и активировать новый ключ усиленной авторизации: еще одну таблицу кодов или электронный токен." необходимо ли снова вносить платёж за новую таблицу?

СПАСИБО

Нет, там же написано —«стоит 30 рублей и оплачивается только один раз, при подключении услуги».
Спасибо. Хотел удостовериться.
На всякий случай, поясню еще раз: оплачивается (стоит 30 рублей) именно услуга под названием «Усиленная авторизация». Сами карточки, необходимые чтобы ей воспользоваться, бесплатны.
Комментарий удалён
Спасибо!
Кто знает подарочный код Умоляю срочно надо на100руб