У меня вопрос, дает ли подтвержеднии всех операции при помощи смс 100% защиту от взлома (ну естественно не учитывая вещей из области фантастики типа перехвата смс и т.д.)?
И еще, возможно ли чтобы при установки такой опции смена телефона происходила только при условии личного присутствия владельца со своим паспортом в центре аттестации?
Т.е. я имею ввиду чтобы даже из запущенного и проинициализированного кипера имея файл ключей и все пароли злоумышленник не мог отключить отключить эту опцию (или сменить номер) онлайн, ну или чтобы для отключения также необходимо было получить смс на мой номер. Это возможно?
Вопрос по безопасности
Автор RomanSh, дек 09 2010 17:41
7 ответов в данной теме
#1 Пользователь
Отправлено 09 декабря 2010 - 17:41
#2 Знаток
Отправлено 09 декабря 2010 - 18:27
SMS-подтверждение надежно, но неудобно. SMS-ки иногда не доходят, а еще многие ругаются на ограничение "не более 3 SMS в день".
Используйте E-NUM клиент и для подтверждения операций, и для авторизации. Сменить зарегистрированный в E-NUM номер телефона - задача архисложная, а зачастую вообще невозможная. Сменить сам E-NUM клиент тоже не получится, если хакер не знает ответ на секретный вопрос и адрес электронной почты.
Используйте E-NUM клиент и для подтверждения операций, и для авторизации. Сменить зарегистрированный в E-NUM номер телефона - задача архисложная, а зачастую вообще невозможная. Сменить сам E-NUM клиент тоже не получится, если хакер не знает ответ на секретный вопрос и адрес электронной почты.
#3 Пользователь
Отправлено 09 декабря 2010 - 18:53
Я видел темы где у людей уводили значительные суммы при том что использовался enum как для авторизации так и для подтверждения всех операций (вот например http://maulnet.ru/archives/12126). Как я понял если отследить несколько комбинаций вопрос-ответ то можно узнать алгоритм. Ну или заказать
восстановление доступа к аккаунту enum , остледить/подобрать ответ на секретный вопрос, заказать новый клиент на
мобильный злоумышленника. А затем соответственно подтверждать все что угодно.
И понимаете, проблема опять в том что все это онлайн, я же хотел бы перенести защиту в реальный мир. Согласитесь что для хакера Васи из Засранска украсть через интернет миллион из крупного банка трудно, но возможно. А вот украсть 100 рублей из ящика в моем столе у него не получится. Вот я о чем.
восстановление доступа к аккаунту enum , остледить/подобрать ответ на секретный вопрос, заказать новый клиент на
мобильный злоумышленника. А затем соответственно подтверждать все что угодно.
И понимаете, проблема опять в том что все это онлайн, я же хотел бы перенести защиту в реальный мир. Согласитесь что для хакера Васи из Засранска украсть через интернет миллион из крупного банка трудно, но возможно. А вот украсть 100 рублей из ящика в моем столе у него не получится. Вот я о чем.
#4 Знаток
Отправлено 09 декабря 2010 - 19:09
Я видел темы где у людей уводили значительные суммы при том что использовался enum как для авторизации так и для подтверждения всех операций
У вас неверные сведения по этой ситуации, там не было авторизации по Енум...
Руководство кредитора WebMoney | Удобное пополнение Skype за WM на любые суммы
#5 Знаток
Отправлено 09 декабря 2010 - 19:11
Пароль для активации енам приложения отправляется на телефон по СМС. Телефон сменить без заявления заверенного нотариусом нельзя..
То что у Вас под ссылкой бред и фантазия, нету ни одного факта чтобы украли деньги при подключенном подтверждении операций через енам.
Главное не ходите по левым ссылкам типа той что вы дали чтобы не хватать трояны
Также игнорируйте предложения зарегистрировать и подключить кипер мини, даже если это якобы решает какую то проблему.
То что у Вас под ссылкой бред и фантазия, нету ни одного факта чтобы украли деньги при подключенном подтверждении операций через енам.
Главное не ходите по левым ссылкам типа той что вы дали чтобы не хватать трояны
Также игнорируйте предложения зарегистрировать и подключить кипер мини, даже если это якобы решает какую то проблему.
#6 Пользователь
Отправлено 09 декабря 2010 - 19:29
Я не претендую на истину, мои знания в этой области достаточно поверхностны. Как говориться за что купил за то и продаю.То что у Вас под ссылкой бред и фантазия
Я только рад, просто вроде встречал монго упоминаний о том что это не так.нету ни одного факта чтобы украли деньги при подключенном подтверждении операций через енам
Вы не могли бы про это поподробнее, просто я сейчас сделал это из своего клиента с помощью ответа на контрольный вопрос, т.е. даже без участия моего старого номера. Плюс я так понимаю что и доступ к enum аккаунту можно восстановить без участия телефона (имея доступ к email пользователя и зная ответ на контрольный вопрос)?Телефон сменить без заявления заверенного нотариусом нельзя..
#7 Знаток
Отправлено 09 декабря 2010 - 19:39
Поправлюсь, если у Вас нету доступа к Енам то при попытке что то поменять в аттестате будет ошибка:
К сожалению, доступ к некоторым разделам сайта passport.webmoney.ru для Вас временно ограничен, т.к. Вы выбрали на сайте security.webmoney.ru режим подтверждения операций с помощью сервиса E-num. Войдите на сайт passport.webmoney.ru заново при помощи E-num и это ограничение будет снято. Если у Вас нет доступа к Вашей учетной записи в системе E-NUM - восстановите его.
Соответственно вы не сможете поменять номер и не сможете заполучить доступ к енаму т.к. для его активации нужен код из смс на старый номер.
Вот..
К сожалению, доступ к некоторым разделам сайта passport.webmoney.ru для Вас временно ограничен, т.к. Вы выбрали на сайте security.webmoney.ru режим подтверждения операций с помощью сервиса E-num. Войдите на сайт passport.webmoney.ru заново при помощи E-num и это ограничение будет снято. Если у Вас нет доступа к Вашей учетной записи в системе E-NUM - восстановите его.
Соответственно вы не сможете поменять номер и не сможете заполучить доступ к енаму т.к. для его активации нужен код из смс на старый номер.
Вот..
#8 Пользователь
Отправлено 09 декабря 2010 - 19:57
PocketMouse я с enum почти не знаком, а вы похоже хорошо разбираетесь, вот скажите на примере:
У меня стоит enum авторизация и подтверждение операций, я авторизовался, оставил кипер включенным и ушел купаться на час, телефон взял с собой )), в это время за мой компьютер садится нехороший человек, он:
а) знает мой вм пароль
б) имеет мой ключ
в) имеет доступ к моей почте на которую зарегистрирован enum
г) знает ответ на мой контрольный вопрос в enum
Сможет ли он совершить хищение средств (напоминаю включено enum подтверждение операций, телефон ему недоступен)?
У меня стоит enum авторизация и подтверждение операций, я авторизовался, оставил кипер включенным и ушел купаться на час, телефон взял с собой )), в это время за мой компьютер садится нехороший человек, он:
а) знает мой вм пароль
б) имеет мой ключ
в) имеет доступ к моей почте на которую зарегистрирован enum
г) знает ответ на мой контрольный вопрос в enum
Сможет ли он совершить хищение средств (напоминаю включено enum подтверждение операций, телефон ему недоступен)?