Сообщество банковских клиентов
Друзья банка «Тинькофф Банк»
Подписаться на идею
Аватар Е. Ида. (euga11)
13.01.2012 01:30 #
Реализовано

Изменить ввод цифр при входе в ИБ

Сейчас при входе в интернет-банк запрашивается несколько цифр ("капча"). Но то, как это реализовано, напоминает сайты 10-летней давности: цифры отчётливо видны, любая программа по автоматическому перебору и взлому паролей сможет их распознать. Для ввода цифр и пароля используется обычная клавиатура (нет экранной клавиатуры). Я пользуюсь услугами разных банков, ни у кого больше нет такой простой и небезопасной реализации этой функции.

Предлагаю привести форму для логина на уровень современных стандартов безопасности и реализовать хотя бы одну из следующих идей:

* (в идеале) отправлять СМС-код на телефон после ввода пароля для подтверждения логина (как делает, к примеру, "Русский стандарт")
* использовать экранную клавиатуру для ввода пароля (как делает "Ситибанк", причём в обязательном порядке: возможности ввести пароль с клавиатуры просто нет)
* изменить написание цифр, чтобы они не могли быть распознаны в автоматическом режиме для подбора пароля

Спасибо.
8

Комментарии 8

Nik_1
#
Не надо усложнять капчу и способ ввода. От потбора пароля лучше защещаться ограничением попыток неправильного ввода.
avfalcone
#
Если и защищать вход в ИБ, то лучше кодом по СМС.
На данный момент придумали цветные красивые циферки - лучше уж пусть останутся в таком виде как есть, чем кривые "зюки", которыми глаза сломать можно.
euga11
#
Так ведь проблема в том, что "цветные красивые циферки" любой программой автоматического подбора пароля сразу же распознаются. То есть если цифры хорошо видны и читаются, то в них нет смысла, их вообще лучше тогда убрать. Любой такой капча-код имеет практическую ценность, только если его нельзя подобрать в автоматическом режиме с помощью программ распознавания.

Ограничение попыток: да, согласен, это тоже неплохой вариант. Правда, злоумышленник будет просто тупо блокировать Ваш аккаунт, вводя случайные буквы 2-3 раза вместо пароля, а Вам придётся каждый раз звонить в банк и сбрасывать пароль.

Защита кодом по СМС - самый лучший вариант. Особенно если его совместить с ограничением числа попыток smile:)
Nik_1
#
Не совсем, плохо-контрастные цифры програмно гораздо легче распознать, чем человеку smile;) Это у человека контрастность вызовит проблема, а програмно не проблема поднять контрастность, да и вообще не проблема распознать даже малое отличие в цвете. Поэтому "цветные красивые циферки" - это хорошо, усложныть жизнь надо компу, а не живому человеку.

-Ограничение попыток: да, согласен, это тоже неплохой вариант. Правда, злоумышленник будет просто тупо блокировать Ваш аккаунт, вводя случайные буквы 2-3 раза вместо пароля, а Вам придётся каждый раз звонить в банк и сбрасывать пароль.

дык никто и не говорит полностью блокировать, достаточно на 10, 20, 30 и т.д. мин. Со скоростью потбора 100 попыток в сутки даже простые пороли тупо перебором фиг подберут.
euga11
#
Про 30 минут - хорошая идея, да. Странно, что обычно другие банки совсем блокируют доступ до звонка в поддержку.

Про цветные цифры: ну эти-то вообще идеально распознаются, какого бы цвета они ни были smile:)
Обычно цифры-буквы искажаются (геометрия), а не меняется контраст.

Но, повторюсь, меня бы вполне устроила авторизация по СМС + блокировка на 30 минут после 3-х попыток.
А то, как сделано сейчас, ни рыба, ни мясо smile:)
sudar78
#
С СМС идея плохая. Может быть многие будут удивлены, но существует много ситуаций, когда у клиента есть интернет, но недоступен GSM-сигнал. Не стоит думать, что все живут и работают только в тепличных условиях Офис-Дом.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.