scream napisał(a):
> Cześć,
>
> Chciałbym podzielić się z Wami ciekawym rozwiązaniem dot. bezpieczeństwa.
> Otóż jeden z systemów płatności (coś jak Paypal, aczkolwiek troche inne) od
> jakiegoś czasu miewał problemy z nasilającym się zjawiskiem phisingu. Długo
> nie mogli sobie z tym poradzić, ale w końcu wymyślili rozwiązanie - wg mnie
> - genialne w swej prostocie.
>
> Użytkownik musi wybrać i podać odpowiedzi na dwa pytania, patent podobny
> jak przy odzyskiwaniu hasła z maila. Dodatkowo musi sam wymyśleć jedno
> swoje własne pytanie, i też podać odpowiedź. Ale to nie koniec. Użytkownik
> musi też wybrać (spośród wielu różnych zdefiniowanych w systemie)
> obrazek-avatar i podpisać go - czyli np. wybieramy z katalogu zdjęcie
> fajnego kociaka i podpisujemy je "mruczuś".
>
> Dotychczas logowanie odbywało się w mało bezpieczny sposób - SSL i wpisanie
> loginu oraz hasła. Teraz jest inaczej. Jak odbywa się logowanie?
>
> - użytkownik wpisuje login
> - system prosi użytkownika o udzielenie odpowiedzi na jedno z trzech pytań
> - strona z pytaniami jest opatrzona wybranym i podpisanym przez użytkownika
> avatarem
> - po podaniu prawidłowej odpowiedzi, użytkownik jest proszony o hasło
> - po podaniu prawidłowego hasła użytkownik uzyskuje dostęp do konta.
>
> Wg mnie taki system weryfikacji właściwie w 100% eliminuje wrażliwość na
> phising. Nawet jeśli oszuści zdobyliby login i hasło do konta, nic im to
> nie daje. Nawet jeśli ktoś zainstaluje w systemie keyloggera, to musiałby
> długo zbierać dane i wyławiać stamtąd odpowiedzi na pytania (za każdym
> razem system losuje inne). A nawet jeśli idealnie spreparują stronę systemu
> płatności, to każdy głupi przy logowaniu pokapuje się, że nie ma fotki jego
> kociaka-"mruczusia" i będzie wiedzieć, że coś jest nie tak.
>
> Wg mnie rozwiązanie bardzo proste i za razem bardzo skuteczne. Co o tym
> myślicie?
>

Dlaczego keylogger musiałby "długo zbierać dane i wyławiać odpowiedzi na
pytania (za każdym razem system losuje inne)"
jeżeli napisałeś, że "Użytkownik musi wybrać i podać odpowiedź na 2 pytania"

Po kilku logowaniach keylogger ma komplet danych.

Wygląda mi to na jeszcze jeden przykład w stylu "dodamy fafnastą prośbę
o potwierdzenie czy na pewno chce usunąć ten plik"

Rafał