Банки в Чехии

[xander 0]

Скажем на комп в интернет кафе, гостинице...

[AndyM 0]

Ну это у меня очень просто решено. Дома круглосуточно работает сервер, на который я могу из любой точки мира зайти по VPN/RDP. На нем установлены необходимые программы, в том числе и сертификаты для Интернет-банкингов. Если соединение чуть быстрее диалапа - уже все работает с приемлемой скоростью.

 

Но с чужих компьютеров надо очень аккуратно. Сниффер клавиатуры может сканировать все введенные пароли. Из Интернет-кафе вообще не рекомендуется такие вещи делать. Из гостиницы - только со своего лаптопа.

 

На покет кстати сертификаты импортируются без проблем и броузером смотрится любой сайт, требующий сертификат. В крайнем случае на покете есть тот же клиент для RDP

[AgentXXX 1]

с ПДА не зайдешь, не зайдешь и какого другого компа

Xe-Xe ©

червесборник IE

2 x ( Xe-Xe © )

[Yevgen35 0]

Скажем на комп в интернет кафе, гостинице...

А что воспользоваться сертификатом можно без пароля?

Мне казалось он предназначен только для шифрации канала между банком и клиентом?

Ну украдут его и что?

Пароль подбирать для RSA ( длина ключа от 512 до 2048 бит ) дело неблагодарное,

если не сказать практически не возможное и ради чего спрашивается?

Только за возможность увидеть приглашение входа в систему?

Ну получили вы возможность логина и что?

Полагаю через несколько неудачных попыток ваши попытки просто будут заблокированы системой.

И?

 

После того как попользовались, его разве нельзя удалить из бд сертификатов браузера?

Я ведь не говорю про сертификат который небходим для подписи платежей, его целесообразно вообще держать на отдельной флешке например.

[AgentXXX 1]

на отдельной флешке

Некоторые пристрастились к G-disk, например.

Хотя, флешка - тоже руулит.

[AndyM 0]

А что воспользоваться сертификатом можно без пароля?

Мне казалось он предназначен только для шифрации канала между банком и клиентом?

Ну украдут его и что?

Пароль подбирать для RSA ( длина ключа от 512 до 2048 бит ) дело неблагодарное,

если не сказать практически не возможное и ради чего спрашивается?

Только за возможность увидеть приглашение входа в систему?

Ну получили вы возможность логина и что?

Полагаю через несколько неудачных попыток ваши попытки просто будут заблокированы системой.

И?

 

В голове полная путаница

 

Сертификат не предназначен для шифрования, он предназначен для аутентификации. На случай кражи сертификата как раз предусмотрен дополнительный пароль, т.е. аутентификация происходит и по сертификату и по паролю. "Пароля для RSA" не бывает. В RSA присутствует пара ключей public/private. И кстати RSA 512 уже давно ломается за несколько дней и довольно успешно Рекомендуемая длина ключа 2048 и выше.

 

А на публичном компе очень легко получить доступ. В любом случае придется туда скопировать сертификат, который запущенный злоумышленником сервис может тут же утащить куда угодно. Потом получаем пароль через клавиатурный сниффер. Перевести деньги конечно не получится - нужен сертификат для подписи (который впрочем тоже мог быть скопирован если нужно было сделать перевод). А вот узнать номера счетов, баланс и любые движения по счетам - элементарно.

[xander 0]

Некоторые пристрастились к G-disk, например.

Хотя, флешка - тоже руулит.

 

 

Вы что будете импортировать в чужую систему свои сертификаты? Даже если вам кто-то даст на это права? Экстремалы.. Для использования его не просто нужно иметь где-то на диске, он должен быть зарегистрирован в системе. После чего он оказывается в реестре и кэше. В общем, пустой разговор. Любые телодвижения в этом направлении разрушают саму концепцию системы. Как альтернатива - DigiPass, используемый парексом и некоторыми другими банками.

[Dim 0]

Xander, а какую систему авторизации ты считаешь оптимальной для Е-банкинга?

[xander 0]

Самой оптимальной считаю либо логин с вводом динамического кода с устройств типа RSA SecurID, которые повсеместно используются для логина в корпоративные VPN, но для подписи наиболее безопастно использовать DigiPass, потому что он имеет возможности для оффлайна - например можно подписать его цифровой подписью платежное поручение и послать по факсу. По сути это криптокалькулятор со встроенным генератором динамического кода. Такие использует Parex-Bank. Я ему доверяю на 100%. Если число для ебанкинга, только в онлайне - SecurID более чем достаточно. Его код - дополнение к пину или паролю вводимому на сайте, т.е. просто найдя устройство зайти не получится.

 

вот дигипасс - криптокалькулятор, для онлайна и оффлайна.

 

а вот секурайди.

 

ЗЫ сам работаю в этой индустрии и в целом имею представление

[Dim 0]

Согласен.

То есть сертификатам мы отводим почётное последнее место.

Криптокалькуляторам первое.

GSM оставляем где-то посредине.

А здорово было бы портировать прогу вычисления криптоключа в телефон/Pda.

[xander 0]

Да вроде есть модули которые подключаются в USB или может быть даже как компакт флеш, чтобы не набирать код вручную. Но в них есть и маленький дисплей для альтернативного ввода. На гугле видел такие.

 

А так программа ничего не даст я думаю, никто тебе ключи просто не выдаст, чтобы импортнуть туда. Плюс, будет нарушена безопастность. Все эти девайсики, они соотвествуют стандарту FIPS по безопастности, в том числе они temper-resistant, при попытке открыть - стирают всю память, даже батарейку сам менять не можешь, отдаешь в банк на замену, и это в целом правильно. Но они работают годами, раз в 5 лет или даже реже поменять будет не проблемно.

 

Я за то, чтобы безопастность оставалась в безопастных устройствах, а не в компах или ПДА оттуда хитрый червяк может свистнуть что угодно.

[Dim 0]

Минимум в двух девайсах батерейки меняются юзверем, без проблем.

[xander 0]

Ну это у меня очень просто решено. Дома круглосуточно работает сервер, на который я могу из любой точки мира зайти по VPN/RDP. На нем установлены необходимые программы, в том числе и сертификаты для Интернет-банкингов. Если соединение чуть быстрее диалапа - уже все работает с приемлемой скоростью.

 

Но с чужих компьютеров надо очень аккуратно. Сниффер клавиатуры может сканировать все введенные пароли. Из Интернет-кафе вообще не рекомендуется такие вещи делать. Из гостиницы - только со своего лаптопа.

 

На покет кстати сертификаты импортируются без проблем и броузером смотрится любой сайт, требующий сертификат. В крайнем случае на покете есть тот же клиент для RDP

 

 

Это все варианты для технофриков, вы уж меня извините. Есть у меня знакомые которые даже никаким почтовым серверам не доверяют, только своим домашним, тоже все через впн, постоянно это все у них валится (так как дома никого нет или жена которая не поможет) - в общем смотреть на них без жалости никак нельзя. Решение должно быть простым и элегантным.

 

Минимум в двух девайсах батерейки меняются юзверем, без проблем.

 

Все может быть. Я про все не говорю.

[AgentXXX 1]

импортировать в чужую систему свои сертификаты

Зачем? к ним можно просто путь указать.

Криптокалькуляторам

[xander 0]

Зачем? к ним можно просто путь указать.

 

 

Думаю, что это не про винду было сказано.