|
Александр
|
|
2 ноября 2016 13:58
|
|
Предлагаю внедрить двухфакторную аутентификацию. Данные здесь хранятся ценные и их утечка в сеть может создать проблемы как пользователям, так и самому сервису.
Как на это смотрите?
|
|
|
|
Admin
|
|
2 ноября 2016 14:04
|
|
Здравствуйте.
Пока не планировали, но подумаем.
А вообще рекомендуется использовать "Дребеденьги на своём сервере", если есть повышенные требования к безопасности.
|
|
|
|
NO NAME
|
|
9 ноября 2016 14:45
|
Александр Пишет: Предлагаю внедрить двухфакторную аутентификацию. Данные здесь хранятся ценные и их утечка в сеть может создать проблемы как пользователям, так и самому сервису.
Как на это смотрите? :) Каждый год появляется новый пользователь, который "свежим взглядом" рекомендует внедрить "модную" систему безопасности и/или верификации и/или аутентифкации.
Двухфакторная аутентификация не решит проблему утечки данных из сервиса в сеть. Как максимум прикроет проблему простого пароля конкретного пользователя, да и то если за его данными кто-то целенаправленно охотится, но в этом случае двухфакторная авторизация не поможет - социальная инженерия гораздо действеннее.
Мне вот просто интересно. Александр, вы что храните здесь полные номера карт/счетов наименования Банков, ФИО или наименования ваших контрагентов?
Если нет - то все данные которые вы заносите - это не более чем неразборчивый набор расходов и доходов, из которых вы сами через пару лет вспомните хорошо если 10% трат.
Почему то вспомнился анекдот про неуловимого Джо...
|
|
|
|
Александр
|
|
9 ноября 2016 17:00
|
RsH Пишет: Александр Пишет:Предлагаю внедрить двухфакторную аутентификацию. Данные здесь хранятся ценные и их утечка в сеть может создать проблемы как пользователям, так и самому сервису.
Как на это смотрите?:) Каждый год появляется новый пользователь, который "свежим взглядом" рекомендует внедрить "модную" систему безопасности и/или верификации и/или аутентифкации.
Двухфакторная аутентификация не решит проблему утечки данных из сервиса в сеть. Как максимум прикроет проблему простого пароля конкретного пользователя, да и то если за его данными кто-то целенаправленно охотится, но в этом случае двухфакторная авторизация не поможет - социальная инженерия гораздо действеннее.
Мне вот просто интересно. Александр, вы что храните здесь полные номера карт/счетов наименования Банков, ФИО или наименования ваших контрагентов?
Если нет - то все данные которые вы заносите - это не более чем неразборчивый набор расходов и доходов, из которых вы сами через пару лет вспомните хорошо если 10% трат.
Почему то вспомнился анекдот про неуловимого Джо... Благодарю за красноречивый комментарий к этой идее! Однако приведенные доводы говорят об ответственности пользователя за свои данные, что, безусловно, правда, но не об их защите. В свою очередь качественно реализованная двухфакторная аутентификация, какой бы "модной" она ни казалась, даже вопреки социальной инженерии, дает пользователю дополнительную возможность значительно усложнить злоумышленникам доступ к своим данным.
Степень конфиденциальности информации, которую пользователь хранит в сервисе, не является фактором, по которому можно судить насколько сильно ее нужно оберегать. Также утверждение о том, что "если захотят, то всё равно украдут" для многих пользователей не является аргументом не защищать свои данные максимально доступным способом.
За себя могу сказать, что по моим записям можно установить где я работаю, сколько зарабатываю, и с кем вступаю в финансовые взаимоотношения. Сколько бы малозначимыми, на Ваш взгляд, эти данные не являлись, я не хочу, чтобы они попали в чужие руки.
В продолжение темы вспомнилась история про трёх поросят...
|
|
|
|
RsH
|
|
9 ноября 2016 18:43
|
|
Александр, если Вы обиделись - искренне прошу простить меня.
Возвращаясь к теме: давайте договримся о терминах. Двухфакторная авторизация подразумевает под собой ввод уникального в заданный момент времени авторизации электронного ключа, который и является подтверждением того, что имеющий к коду доступ человек является владельцем аккаунта.
Если вы это понимаете так же, то значит мы говорим об одном и том же.
Есть разные реализации, токены или приложения для мобильных устройств, которые генерирурют коды доступа, или карты содержащие набор кодов, или, что сейчас наиболее распространено, сервис должен присылать смс-коды.
Все вышеперечисленное дополниельные ежемесячные затраты, которые сервис должен переложить на пользователя. Александр, к Вам вопрос: вы готовы платить еще 500 - 1000 рублей в год за эту услугу?
|
|
|
|
NO NAME
|
|
24 ноября 2016 17:11
|
|
Желающим использовать двухфакторную/двухэтапную авторизацию рекомендую почитать небольшую статью на geektimes и главное комментарии к ней.
Извините за ссылку на чужой ресурс https://geektimes.ru/post/282152/
|
|
|
|
Александр
|
|
24 ноября 2016 17:48
|
RsH Пишет: Желающим использовать двухфакторную/двухэтапную авторизацию рекомендую почитать небольшую статью на geektimes и главное комментарии к ней.
Извините за ссылку на чужой ресурс https://geektimes.ru/post/282152/ Благодарю! Статья, действительно, захватывающая. Местами напоминает учебники по мат. анализу, где используются фразы как то: "несложно доказать", "очевидно что" и т.п. Например:
"Несложно найти человека, который будет устроен на работу в КЦ интересующего оператора связи, где уже с первых дней стажировки, этому сотруднику представят личный пароль к системе обслуживания абонентов".
Действительно, несложно. Вон их сколько работает. А если вы еще красивая длинноногая блондинка, то его можно заманить к себе домой, напоить и выведать все секреты получения доступа к моим Дребеденьгам.
Еще автор забыл упомянуть следующие способы: вывезти пользователя сервиса в лес и перед вырытой им самим могилой потребовать пароль; похитить близкого для пользователя человека и обменять его, опять же, на пароль от сервиса. Далее придумайте сами.
Никто не говорит, что двухфакторная аутентификация - это 100%-я гарантия защиты от посторонних глаз. Это усложнение для проходящих мимо взломщиков и дополнительный демотиватор возиться с вашей учеткой. Хуже он не делает. Пароль, который вам нужно помнить, эта технология не отменяет. Не хотите иметь возможность восстанавливать пароль через ваш телефон - не пользуйтесь этим сервисом. Но двухфакторная аутентификация здесь не при чем.
Разговор напоминает рассуждения автовладельцев, не желающих ставить себе на авто сигнализацию: "захотят - всё равно угонют". Только угонщики при выборе цели не выберут из двух идентичных автомобиль с сигнализацией, когда рядом будет стоять авто без нее.
|
|
|
|
RsH
|
|
24 ноября 2016 18:12
|
|
пример с автовладельцами - очень неудачный.
С 2010 года считаю, что лучшая защита от угона - это КАСКО. с тех пор перестал ставить двухсторонние сигнализации и прочие блокираторы, которые усложняют жизнь, но при этом не дают никаких профитов. И ни одного дня не пожалел. даже если ее угонят - да и фиг бы с ней :) деньги получил и пошел купил другую.
|
|
|
