![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
noddeat«3D security», як я писав, ніхуя вас ні від чого не захищає, воно захищає продавця від того, шо хтось використовує кредитку неавторизовано, і йому доведеться повертати гроші. Тим не менш, чим більше сайтів його використовують, тим менша в зловмисника можливість зробити те, шо він зробив зі мною: якби хоча б усі авіалінії його використовували, зловмисник не міг би улетіти за межі Європейської Унії.
Шо таке 3D security (хто користується сам — не читайте цей абзац)? Це спеціальна хуйня, яка переадресовує вас зі сторінки продавця на сторінку вашого банку. Там треба ввести пароль, який, на відміну від усієї іншої інформації щодо вашої картки (номер, адреса, код CVV), ви ніколи і ніде не вводите, крім цієї сторінки банку. Якщо пароль правильний, банк повертає вас на сторінку продавця і повідомляє йому, шо транзакція пройшла успішно.
Видається безпечним, правда? Але найбільша дірка безпеки у всіх системах, шо базуються на паролі — це відновлення забутого пароля. Я зателефонував до банку і дізнався, шо відновлення не існує, треба просто зарегитись у системі наново.
Це, напевно, різниться від банку до банку, але конкретно мій банк питає такі дані:
— номер картки та термін її дії (це у потенційного зловмисника вже є);
— моє ім’я (це теж у нього є);
— моя дата народження. Це уже ліпше, бо не скрізь ця інфа передається. Моя підозра це, шо дані картки вкрав співробітник якогось з готелів. Тобто він знав моє ім’я, адресу, номер картки. Дату народження, здається, готелі не питають. Хоча інші установи можуть питати, якщо в них тарифи від віку залежать (наприклад, контори з оренди автомобіля), тому це не гіпертаємна інфа;
— останні чотири цифри мого банківського рахунку.
По суті, пароль можна відновити, якщо знаєш ці чотири цифри. І саме тому я ніколи не парюся з придумуванням складних паролів (і мене бісить, коли деякі сайти не дають ввести простий пароль): все одно потенційний злам буде полягати в брутфорсі чисел з 0000 до 9999: 10 тисяч комбінацій.
Не знаю, чи банк блокує за кілька невдалих спроб: сподіваюся, шо так.
Шо таке 3D security (хто користується сам — не читайте цей абзац)? Це спеціальна хуйня, яка переадресовує вас зі сторінки продавця на сторінку вашого банку. Там треба ввести пароль, який, на відміну від усієї іншої інформації щодо вашої картки (номер, адреса, код CVV), ви ніколи і ніде не вводите, крім цієї сторінки банку. Якщо пароль правильний, банк повертає вас на сторінку продавця і повідомляє йому, шо транзакція пройшла успішно.
Видається безпечним, правда? Але найбільша дірка безпеки у всіх системах, шо базуються на паролі — це відновлення забутого пароля. Я зателефонував до банку і дізнався, шо відновлення не існує, треба просто зарегитись у системі наново.
Це, напевно, різниться від банку до банку, але конкретно мій банк питає такі дані:
— номер картки та термін її дії (це у потенційного зловмисника вже є);
— моє ім’я (це теж у нього є);
— моя дата народження. Це уже ліпше, бо не скрізь ця інфа передається. Моя підозра це, шо дані картки вкрав співробітник якогось з готелів. Тобто він знав моє ім’я, адресу, номер картки. Дату народження, здається, готелі не питають. Хоча інші установи можуть питати, якщо в них тарифи від віку залежать (наприклад, контори з оренди автомобіля), тому це не гіпертаємна інфа;
— останні чотири цифри мого банківського рахунку.
По суті, пароль можна відновити, якщо знаєш ці чотири цифри. І саме тому я ніколи не парюся з придумуванням складних паролів (і мене бісить, коли деякі сайти не дають ввести простий пароль): все одно потенційний злам буде полягати в брутфорсі чисел з 0000 до 9999: 10 тисяч комбінацій.
Не знаю, чи банк блокує за кілька невдалих спроб: сподіваюся, шо так.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2015-07-05 05:55 pm (UTC)no subject
Date: 2015-07-05 06:05 pm (UTC)