xander 0 Nahlásit příspěvěk Odesláno November 6, 2006 Скажем на комп в интернет кафе, гостинице... Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno November 6, 2006 Ну это у меня очень просто решено. Дома круглосуточно работает сервер, на который я могу из любой точки мира зайти по VPN/RDP. На нем установлены необходимые программы, в том числе и сертификаты для Интернет-банкингов. Если соединение чуть быстрее диалапа - уже все работает с приемлемой скоростью. Но с чужих компьютеров надо очень аккуратно. Сниффер клавиатуры может сканировать все введенные пароли. Из Интернет-кафе вообще не рекомендуется такие вещи делать. Из гостиницы - только со своего лаптопа. На покет кстати сертификаты импортируются без проблем и броузером смотрится любой сайт, требующий сертификат. В крайнем случае на покете есть тот же клиент для RDP Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AgentXXX 1 Nahlásit příspěvěk Odesláno November 6, 2006 с ПДА не зайдешь, не зайдешь и какого другого компа Xe-Xe © червесборник IE 2 x ( Xe-Xe © ) Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Yevgen35 0 Nahlásit příspěvěk Odesláno November 6, 2006 Скажем на комп в интернет кафе, гостинице... А что воспользоваться сертификатом можно без пароля? Мне казалось он предназначен только для шифрации канала между банком и клиентом? Ну украдут его и что? Пароль подбирать для RSA ( длина ключа от 512 до 2048 бит ) дело неблагодарное, если не сказать практически не возможное и ради чего спрашивается? Только за возможность увидеть приглашение входа в систему? Ну получили вы возможность логина и что? Полагаю через несколько неудачных попыток ваши попытки просто будут заблокированы системой. И? После того как попользовались, его разве нельзя удалить из бд сертификатов браузера? Я ведь не говорю про сертификат который небходим для подписи платежей, его целесообразно вообще держать на отдельной флешке например. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AgentXXX 1 Nahlásit příspěvěk Odesláno November 6, 2006 на отдельной флешке Некоторые пристрастились к G-disk, например. Хотя, флешка - тоже руулит. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno November 6, 2006 А что воспользоваться сертификатом можно без пароля? Мне казалось он предназначен только для шифрации канала между банком и клиентом? Ну украдут его и что? Пароль подбирать для RSA ( длина ключа от 512 до 2048 бит ) дело неблагодарное, если не сказать практически не возможное и ради чего спрашивается? Только за возможность увидеть приглашение входа в систему? Ну получили вы возможность логина и что? Полагаю через несколько неудачных попыток ваши попытки просто будут заблокированы системой. И? В голове полная путаница Сертификат не предназначен для шифрования, он предназначен для аутентификации. На случай кражи сертификата как раз предусмотрен дополнительный пароль, т.е. аутентификация происходит и по сертификату и по паролю. "Пароля для RSA" не бывает. В RSA присутствует пара ключей public/private. И кстати RSA 512 уже давно ломается за несколько дней и довольно успешно Рекомендуемая длина ключа 2048 и выше. А на публичном компе очень легко получить доступ. В любом случае придется туда скопировать сертификат, который запущенный злоумышленником сервис может тут же утащить куда угодно. Потом получаем пароль через клавиатурный сниффер. Перевести деньги конечно не получится - нужен сертификат для подписи (который впрочем тоже мог быть скопирован если нужно было сделать перевод). А вот узнать номера счетов, баланс и любые движения по счетам - элементарно. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
xander 0 Nahlásit příspěvěk Odesláno November 6, 2006 Некоторые пристрастились к G-disk, например. Хотя, флешка - тоже руулит. Вы что будете импортировать в чужую систему свои сертификаты? Даже если вам кто-то даст на это права? Экстремалы.. Для использования его не просто нужно иметь где-то на диске, он должен быть зарегистрирован в системе. После чего он оказывается в реестре и кэше. В общем, пустой разговор. Любые телодвижения в этом направлении разрушают саму концепцию системы. Как альтернатива - DigiPass, используемый парексом и некоторыми другими банками. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Dim 0 Nahlásit příspěvěk Odesláno November 6, 2006 Xander, а какую систему авторизации ты считаешь оптимальной для Е-банкинга? Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
xander 0 Nahlásit příspěvěk Odesláno November 7, 2006 Самой оптимальной считаю либо логин с вводом динамического кода с устройств типа RSA SecurID, которые повсеместно используются для логина в корпоративные VPN, но для подписи наиболее безопастно использовать DigiPass, потому что он имеет возможности для оффлайна - например можно подписать его цифровой подписью платежное поручение и послать по факсу. По сути это криптокалькулятор со встроенным генератором динамического кода. Такие использует Parex-Bank. Я ему доверяю на 100%. Если число для ебанкинга, только в онлайне - SecurID более чем достаточно. Его код - дополнение к пину или паролю вводимому на сайте, т.е. просто найдя устройство зайти не получится. вот дигипасс - криптокалькулятор, для онлайна и оффлайна. а вот секурайди. ЗЫ сам работаю в этой индустрии и в целом имею представление Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Dim 0 Nahlásit příspěvěk Odesláno November 7, 2006 Согласен. То есть сертификатам мы отводим почётное последнее место. Криптокалькуляторам первое. GSM оставляем где-то посредине. А здорово было бы портировать прогу вычисления криптоключа в телефон/Pda. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
xander 0 Nahlásit příspěvěk Odesláno November 7, 2006 Да вроде есть модули которые подключаются в USB или может быть даже как компакт флеш, чтобы не набирать код вручную. Но в них есть и маленький дисплей для альтернативного ввода. На гугле видел такие. А так программа ничего не даст я думаю, никто тебе ключи просто не выдаст, чтобы импортнуть туда. Плюс, будет нарушена безопастность. Все эти девайсики, они соотвествуют стандарту FIPS по безопастности, в том числе они temper-resistant, при попытке открыть - стирают всю память, даже батарейку сам менять не можешь, отдаешь в банк на замену, и это в целом правильно. Но они работают годами, раз в 5 лет или даже реже поменять будет не проблемно. Я за то, чтобы безопастность оставалась в безопастных устройствах, а не в компах или ПДА оттуда хитрый червяк может свистнуть что угодно. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Dim 0 Nahlásit příspěvěk Odesláno November 7, 2006 Минимум в двух девайсах батерейки меняются юзверем, без проблем. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
xander 0 Nahlásit příspěvěk Odesláno November 7, 2006 Ну это у меня очень просто решено. Дома круглосуточно работает сервер, на который я могу из любой точки мира зайти по VPN/RDP. На нем установлены необходимые программы, в том числе и сертификаты для Интернет-банкингов. Если соединение чуть быстрее диалапа - уже все работает с приемлемой скоростью. Но с чужих компьютеров надо очень аккуратно. Сниффер клавиатуры может сканировать все введенные пароли. Из Интернет-кафе вообще не рекомендуется такие вещи делать. Из гостиницы - только со своего лаптопа. На покет кстати сертификаты импортируются без проблем и броузером смотрится любой сайт, требующий сертификат. В крайнем случае на покете есть тот же клиент для RDP Это все варианты для технофриков, вы уж меня извините. Есть у меня знакомые которые даже никаким почтовым серверам не доверяют, только своим домашним, тоже все через впн, постоянно это все у них валится (так как дома никого нет или жена которая не поможет) - в общем смотреть на них без жалости никак нельзя. Решение должно быть простым и элегантным. Минимум в двух девайсах батерейки меняются юзверем, без проблем. Все может быть. Я про все не говорю. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AgentXXX 1 Nahlásit příspěvěk Odesláno November 7, 2006 импортировать в чужую систему свои сертификаты Зачем? к ним можно просто путь указать. Криптокалькуляторам Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
xander 0 Nahlásit příspěvěk Odesláno November 7, 2006 Зачем? к ним можно просто путь указать. Думаю, что это не про винду было сказано. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky