Дорогой Альфа-банк (и другие борцы за безопасность своих веб-интерфейсов), пожалуйста, дайте нам, пользователям, опцию с SecurID, чтобы не проходить процедуру «пароль - смс - пароль и ещё раз смс - пароль при каждом платеже». Ну невозможно же. (По ссылке статья в Википедии про SecurID) - http://en.wikipedia.org/wiki...

Я готов заплатить 200-500 рублей в год за «поддержку и обслуживание», ок. Вон, E-trade предлагает их за 25$, Paypal — за 5$, у Wells Fargo вообще бесплатно в комплекте (http://friendfeed.com/paul...). Даже Близзард продаёт. #нужные_вещи - × × ×

боюсь, они скорее введут смс, на кажый пункт меню :) - IvIotor

что-то не вижу SecurID у пэйпала. Я не в той стране живу? - alf

Пытаюсь из статьи в википедии понять, как это работает. Я правильно понимаю, что эта штука каждые 30 секунд генерит на основе неких данных число, и сервер имеет эти же данные и с такой же периодичностью генерит этот пароль? - Ivan Bessarabov

@bessarabov именно так. Два генератора случайных чисел со сверенными часами и одинаковой затравкой. А дальше something you have (токен) + something you know (пароль) как бы обеспечивают уверенность в том, что предъявитель сего действиельно вы. - alf

@alf: https://www.paypal.com/securit... - × × ×

@alf спасибо. мне еще непонятет вот такой момент: т.е. нужно успеть ввести пароль за 30 секуд, иначе он становится неактуальным? А если я зашел на страницу ввода за секунду до плановой смены пароля? - Ivan Bessarabov

Если зашли за секунду — подождите эту секунду и вводите новый. Вон на картинке на дисплее есть колонка из палочек сверху, как в мобильнике (по одной на 10 секунд). По мере истечения срока годности пароля палочки выключаются, и легко прикинуть, успеешь ввести пароль или нет. - × × ×

На брелоке отображается, сколько до смены, да. - anatoliy

есть свои сложности с реализацией и сертификацией данных токенов в Российских банках ) обсуждали эту тему еще в 2007 году, когда в одном большом банке работал. Далеко не все согласятся платить это деньги и предпочтут бесплатные скретч карты. А для банка это реализация 2 методов/систем - выливается в далеко не самые скромные затраты. История интернет банкинга физ.лиц в россии очень молода, эти нововведения постепенно прийдут, но не сразу ) - romanl

Ну вот и хочется как-то чтобы это «постепенно» происходило быстрее, да. - × × ×

@bessarabov RSA делает как уже описали, некоторые аналогичные системы просто принимают предыдущий код так же, как и текущий, тем самым исключая ситуацию «секунда до конца» - alf

Мне кажется, что я где-то читал про девайс, на котором просто кнопку нажимаешь и он тебе генерит разовый пароль. Не проще ли так делать, чем автоматом по времени все время генерить? - Ivan Bessarabov

Есть такая проблема как сертификация систем шифрования по ГОСТ )) и это касается всего, начиная от SSL сертификатов, заканчивая токенами. У многих банков стоит значек Verisign или Tawte - они не сертифицированы в россии и работаю до поры до времени ))) сейчас вступит закон о защите информации и многие банки с несертифицированными сертификатами и ситемами шифрования попадут.... - romanl

@bessarabov это именно этот брелок и есть) - romanl

А где у него кнопка? (c) - Ivan Bessarabov

Это самая простая и очень удобная в использовании штука в отличие от других подобных приборчиков. Многие брокерские конторы для торговли акциями ее используют зарубежом. - Саша Рубан

@bessarabov может быть сзади а может быть под наклейкой ) - romanl

@romanl тот, что на картинке, просто не выключается. - alf

@ubs спасибо, попробую попробовать - alf

@bessarabov: проблема с одноразовым паролем по нажатию кнопки в том, что банк на своей стороне не знает, сколько раз была нажата кнопка с последнего предъявления - Starepolsky smok

@alf да посмотрел manual он реально не выключается... что странно и вообще считается несекьюрно. да и батарейка садится постоянно. в ходу видел больше токенов с кнопкой) - romanl

@bleys для этого, навереное, можно использовать внутренние часы девайса. - Ivan Bessarabov

@alf: получится - свисти. Меня послали, говорят, нету =( - Starepolsky smok

@alex а зачем банку знать сколько раз была нажата кнопка? )) - romanl

Verisign кстати халявно дает скачать токен програму на свой телефон ) и использовать ее можно потом как минимум с ebay и paypal (для paypal кроме россии). Впринципе ничего не мешает регистрировать его в любых системах которые поодерживают verisign https://vipmobile.verisign.com/selectp... - romanl

собственно список того где можно электронный токен от verisign использовать https://vipmobile.verisign.com/whereto... - romanl

@romanl: ты предлагаешь принимать вместо этого любой пароль, следующий в цепочке за последним известным? - Starepolsky smok

@romanl на соседнем столе валяются токены как на картинке, expiration date у них в 2012. Так что батарейки хватает :) - alf

для физиков это всё-таки дороговато, а юрлицам - пжлста ) - .i.m.a.r.s.o.r.a.m.a.

@alex при нажатии кнопки не происходит генерация ключа, а просто включается дисплей насколько я помню) - romanl

@alf почти вечный двигатель inside) - romanl

@romanl: а. Ну это да, очевидная экономия. Хотя и так года на 3 токена хватает с обычной батарейкой. А если сделать кнопку тугой и ловить энергию на её нажатие, можно ещё чуть-чуть выиграть =) - Starepolsky smok

у меня RSA такой как на картинке живет уже больше 3,5 лет, expiration - 05/31/2010. для удаленного доступа в рабочие сервисы или VPNa. сервисы принимают пин-код+токен-код. плюс для интернет-банкинга у меня такой, который нажал-кнопку-сгенерил-код, только кнопка не одна нажимается. одна включает, далее ввод пин-кода, а после этого оно отдает код, в банкинг вводится только код. давали бесплатно вместе с сервисом инет-банкинга. однажды была проблема в тем, что сбился таймер, но служба поддержки по сказанному серийнику все пофиксила. - лохматая и в простыне

curlyfoxy: какой банк, если не екрет? - .i.m.a.r.s.o.r.a.m.a.

А протокол Keeloq от сигналок автомобильных имеет некоторое окно допустимых значений (если владелец поиграл брелоком вдалеке от авто), ЕМНИП. По поводу питания - пара RSA токенов лежит уже почти 4 года, работают :) - anatoliy

Интересно, а сколько может стоить комплексное решение? Просто интересен порядок цифр. - IvIotor

в ибее такую фигню выдавали сотрудникам для доступа во внутреннюю сеть по vpn-у из внешнего мира — чтобы залогиниться, надо было вводить логин, пароль и число с этой штуки - earlyadopter

В Яхе и в Гугле точно также. По-моему, местные большие конторы тоже уже давно освоили. - × × ×

В смс присылают (через несколько секунд) восьмизначные алфавитно-цифровые, и не всегда можно понять, 0 там или О, как обычно. Ввести пароль и шесть цифр мне проще, чем ждать смс (ну, или пусть в смс будет четырехзначный цифровой пин каждый раз, и то лучше, чем сейчас). - × × ×

У меня проблема решилась сама-собой. Менял номер, чтобы сменить номер для получения паролей надо было ехать писать заявление, сменить номер для смс оповещений можно и по телефону. Так что у меня получилась сим-карта только для паролей+любой GSM терминал, позволяет весьма комфортно копипастить эти пароли. - IvIotor

@imarsorama банк ЮниКредит, но в Чехии. - лохматая и в простыне

Дорогой Гугл, можно мне за 5 баксов в год брелок SecurID вместо авторизации через телефон? Или в качестве альтернативы хотя бы? Телефон у меня разряжается, выключен или находится вне зоны действия сети чаще, чем вам кажется. :( http://techcrunch.com/2010... - × × ×

(2012, февраль) Тем временем, Альфа-банк научился присылать одноразовые пароли без букв, прямо как гугл. Правда, всё равно восемь знаков. На длину компромисс пока решили не распространять. - × × ×

А гугловским генератором ключей для двухфакторного входа удобно пользоваться, поставив его на айпад и на айфон: http://support.google.com/account... И даже для жертв <s>Апартеида</s> Андроид-маркета — тоже есть. - × × ×

Угу. И научить телефон правильному времени http://support.google.com/account... - здоровое чувство зверства

Запустили «Альфа-Ключ»: http://alfabank.ru/retail... — 200 руб. за подключение, + 299 руб. за год. - × × ×

так и не узнал бы если б не прочел тут, 10x. - вприпрыжку с кладбища