Растёт число пользователей разнообразных платёжных систем и всякого онлайн-банкинга. Пока растёт. Пока ещё статистически не заметны люди, которые могли бы, но боятся начать ими пользоваться. А также те, кто попробовал и отказался
( Read more... )
Точно. Не так давно подарил деньги (по счастью - маленькие) яндексу. Хотел совершить платеж, кошелек себе завел, из банка деньги перешли, в кошельке оказались. А дальше - говорят, пароль нужен. Хм. Регистрировался я несколько дней назад, никакого пароля - убейте не помню. Ни в голове, ни в почте - ничего.
Ну, ладно, есть же процедура восстановления пароля. Введите регистрационный код, говорят (кажется, он так называется). 5 попыток. После этого уже, говорят, через тырнет ничего не поможет. Теперь надо ехать к ним в офис (слава централизации, мы с ним в одном городе). Когда-нибудь я туда доберусь.
Испытываю строгое желание не общаться больше с этой системой никогда.
Ну... там где деньги, то либо пароль помнишь, либо уже по паспорту... Все честно...
Процедуру регистрации можно повторить и убедиться что пароль был... А то что его нету в почте -- опять же правильно, мало ли где эта почта храниться. Будь я хакером то я такие письма в первую очередь искал бы...
Кстати, интересно, как себя вести в такой ситуации. Пользователь твёрдо помнит пароль, даже записал его, но авторизация не проходит. Техподдержка твёрдо уверяет, что вводимый пароль неверен.
Я дважды становился участником такого сценария, дважды проблема была в том что я что-то таки не правильно помнил. Дважды звонил в службу поддержки, и дважды они не смогли мне объяснить что происходит, с какой диагностикой меня система посылает... Мне бы эта информация в обоих случаях была бы полезна...
Несанкционированный доступ к почтовому ящику, в котором лежит пароль открытым текстом, позволяет злоумышленнику немедленно получить контроль над кошельком. Причём не обязательно сразу по приходу туда письма с паролем, а в любом отдалённом будущем, когда вы уже и забудете, что когда-то запрашивали пароль, и он с тех пор у вас в почте лежит.
Именно поэтому отправка паролей открытым текстом считается очень плохой практикой с точки зрения безопасности. Если что и присылать - то только одноразовую ссылку на страницу, где можно установить новый пароль. Причём тоже не просто так, а после ввода дополнительной информации (ответа на контрольный вопрос, даты рождения или ещё чего-нибудь неочевидного), которая подтверждает, что это делает владелец кошелька, а не хакер, каким-то образом получивший доступ к почтовому ящику.
Есть нормальные процедуры. Надо только параноиком в нужных местах быть. А где не нужно - не быть.
Если бы на настоятельные просьбы привязать учетку платежной системы к номеру телефона и паспорту вы ответили утвердительно, то вам бы ключик для генерации нового пароля туда бы и прислали.
Ну, ладно, есть же процедура восстановления пароля. Введите регистрационный код, говорят (кажется, он так называется). 5 попыток. После этого уже, говорят, через тырнет ничего не поможет. Теперь надо ехать к ним в офис (слава централизации, мы с ним в одном городе). Когда-нибудь я туда доберусь.
Испытываю строгое желание не общаться больше с этой системой никогда.
Reply
Процедуру регистрации можно повторить и убедиться что пароль был... А то что его нету в почте -- опять же правильно, мало ли где эта почта храниться. Будь я хакером то я такие письма в первую очередь искал бы...
Так что все крайне логично...
Reply
Reply
Reply
Я дважды становился участником такого сценария, дважды проблема была в том что я что-то таки не правильно помнил. Дважды звонил в службу поддержки, и дважды они не смогли мне объяснить что происходит, с какой диагностикой меня система посылает... Мне бы эта информация в обоих случаях была бы полезна...
Reply
На сейф, в который вы положили деньги и забыли код, тоже будете ругаться?
Reply
Но мир устроен иначе, увы.
Reply
Именно поэтому отправка паролей открытым текстом считается очень плохой практикой с точки зрения безопасности. Если что и присылать - то только одноразовую ссылку на страницу, где можно установить новый пароль. Причём тоже не просто так, а после ввода дополнительной информации (ответа на контрольный вопрос, даты рождения или ещё чего-нибудь неочевидного), которая подтверждает, что это делает владелец кошелька, а не хакер, каким-то образом получивший доступ к почтовому ящику.
Reply
Если бы на настоятельные просьбы привязать учетку платежной системы к номеру телефона и паспорту вы ответили утвердительно, то вам бы ключик для генерации нового пароля туда бы и прислали.
Reply
Leave a comment