Качество познаётся в беде

[infowatch]

Растёт число пользователей разнообразных платёжных систем и всякого онлайн-банкинга. Пока растёт. Пока ещё статистически не заметны люди, которые могли бы, но боятся начать ими пользоваться. А также те, кто попробовал и отказался

Comments

[tuserus]

Точно. Не так давно подарил деньги (по счастью - маленькие) яндексу. Хотел совершить платеж, кошелек себе завел, из банка деньги перешли, в кошельке оказались. А дальше - говорят, пароль нужен. Хм. Регистрировался я несколько дней назад, никакого пароля - убейте не помню. Ни в голове, ни в почте - ничего.

Ну, ладно, есть же процедура восстановления пароля. Введите регистрационный код, говорят (кажется, он так называется). 5 попыток. После этого уже, говорят, через тырнет ничего не поможет. Теперь надо ехать к ним в офис (слава централизации, мы с ним в одном городе). Когда-нибудь я туда доберусь.

Испытываю строгое желание не общаться больше с этой системой никогда.

[shaplov]

Ну... там где деньги, то либо пароль помнишь, либо уже по паспорту... Все честно...

Процедуру регистрации можно повторить и убедиться что пароль был... А то что его нету в почте -- опять же правильно, мало ли где эта почта храниться. Будь я хакером то я такие письма в первую очередь искал бы...

Так что все крайне логично...

[infowatch]

Кстати, интересно, как себя вести в такой ситуации. Пользователь твёрдо помнит пароль, даже записал его, но авторизация не проходит. Техподдержка твёрдо уверяет, что вводимый пароль неверен.

[wml3]

Пишете заявление (бумажное). Заверяете у нотариуса. Отправляете в Яндекс. Вам все возвращают. Проверено.

[shaplov]

Вести себя кому, пользователю или оператору?

Я дважды становился участником такого сценария, дважды проблема была в том что я что-то таки не правильно помнил. Дважды звонил в службу поддержки, и дважды они не смогли мне объяснить что происходит, с какой диагностикой меня система посылает... Мне бы эта информация в обоих случаях была бы полезна...

[dil]

А чего вы хотели? Чтоб платёжная система отдавала деньги кому попало, если он пароля не знает?

На сейф, в который вы положили деньги и забыли код, тоже будете ругаться?

[tuserus]

Хотел бы более простой процедуры восстановления пароля. Типа - высылать на зарегистрированный ящик. Не понимаю, как это может повредить безопасности.

Но мир устроен иначе, увы.

[dil]

Несанкционированный доступ к почтовому ящику, в котором лежит пароль открытым текстом, позволяет злоумышленнику немедленно получить контроль над кошельком. Причём не обязательно сразу по приходу туда письма с паролем, а в любом отдалённом будущем, когда вы уже и забудете, что когда-то запрашивали пароль, и он с тех пор у вас в почте лежит.

Именно поэтому отправка паролей открытым текстом считается очень плохой практикой с точки зрения безопасности. Если что и присылать - то только одноразовую ссылку на страницу, где можно установить новый пароль. Причём тоже не просто так, а после ввода дополнительной информации (ответа на контрольный вопрос, даты рождения или ещё чего-нибудь неочевидного), которая подтверждает, что это делает владелец кошелька, а не хакер, каким-то образом получивший доступ к почтовому ящику.

[inkelyad]

Есть нормальные процедуры. Надо только параноиком в нужных местах быть. А где не нужно - не быть.

Если бы на настоятельные просьбы привязать учетку платежной системы к номеру телефона и паспорту вы ответили утвердительно, то вам бы ключик для генерации нового пароля туда бы и прислали.