Заметка о безопасности

В последнее время после серии взломов аккаунтов наших пользователей, мы пришли к выводу, что первичная идентификация наших пользователей - является наиболее лучшей защитой их средств. Мы понимаем что это противоречивый аргумент, поэтому мы решили написать эту заметку о безопасности.

Первое, что мы хотим сказать, что привязка акаунта к любому email -у стало широкой, но порочной практикой, потому что взлом этого email -а становится ключом, который открывает доступ к финансовым данным.
Придуманный нами когда-то пин-код во многом нам помог но до конца не решил проблемы.

Пин код не решает проблемы, потому что его забывают. Все мы люди - у всех бывают казусы, мы не роботы - и это стало рутинной задачей нашей службы безопасности. И теперь представляем ситуацию.

Злоумышленник получил доступ к email - у. Через форму восстановления пароля он получил доступ к акаунту. И первое что сделал - это запросил восстановление пин кода. И служба поддержки встает перед выбором - ведь это может быть и простой запрос от пользователя. Она естественно запросит другую информацию - например полные номера карт на которые производили выводы, но эта информация бывает частенько на взломанном ящике, еще чаще бывает информация о личности владельца акаунта. В данном случае у мошенника появляются хорошие шансы обмануть службу безопасности.

Чтобы быть более убедительней - они напишут много негативных отзывов, заспамят форумы, будут долго возмущаться в чате, я потерял(перепрошил, украли, забыл, в роуминге ) телефон кто-то их поддержит и как показала уже многолетняя практика, служба поддержки таки иногда ошибается.


Рассмотрим вариант, когда пользователь защитил акаунт двухфакторной авторизацией. В данном случае у мошенника алгоритм работы примерно такой же - я забыл, потерял, перепрошил, заспамить все ветки форумов телефон, снимите двухфакторную, в расчете на ошибку службы поддержки, которую он дожидается с какой-то вероятностью.
Нельзя сказать, что вероятность высокая, но от этого человеку не легче - это же его деньги.

И третий вариант - телефон, это кажется самым надежным вариантом авторизации, только до того момента как не произошло одно из следующих событий а) у вас украли действительно телефон б) у вас скопировали симкарту в) злоумышленник забрал себе ваш номер, через восстановление сим карты в офисе мобильного оператора. Аргумент против - "Кому я нужен"? Но все мы помним время когда биткоин стоит 20 тыс долларов. То есть злоумышленник
подглядел в кафе, не важно где, что у вас на blockchain.info 1 BTC, с одной стороны нельзя сказать, что много, а с другой стороны, вы показываете в магазинах кошелек в котором лежит тугая пачка долларов тысяч на 10, риторический вопрос.

Ни в коем случае не восстанавливать пин код, скажет пользователь, который давно работает в криптомире, но мы живем не в криптомире, и к нам приходят много людей, которые только знакомятся с криптовалютами.

В конце концов угнанная почта - просто заблокирует ваши средства у нас, что и нас ставит перед нерешаемой дилеммой. Поэтому мы пришли к выводу, что изменения настроек безопасности, через службу поддержки - должно происходить через обычную идентификацию личности.


Поэтому мы добавляем опцию в профиль пользователя - Идентификация, где каждому предлагается загрузить свое селфи, с любым документом (права, загранспаспорт действующий, обычный паспорт ), на котором есть ваше фото ну и бумажка BTC TRADE UA и число.
Мы предвидим аргумент - "Я не хочу, чтобы мои данные гуляли по сети, чтобы их можно было использовать в рекламных целях, брать кредиты и так далее, и так далее"
Поэтому согласно новому регламенту ЕС работы с пользовательскими данными, мы напишем в нашей оферте, и здесь донесем как эти данные будут использоваться.
1) Эти данные будут храниться на отдельном сервере, к которому будет доступ только у одного ответственного сотрудника.
2) доступ к этим данным будет осуществляться следующим образом, при запросе в поддержку условного пользователя, поддержка будет запрашивать в случае смены настроек безопасности - селфи этого пользователя...

Поддержка будет обращаться к этому ответственному сотруднику на предмет - совпадения селфи из профиля с новыми данными или нет и получать ответ

Только ДА или Нет?

1) У этого хранилища не будет публичнодоступного АПИ, которое было бы доступно другим программным комплексам или еще хуже видно в мире.

2) Ключ к хранилищу будет только у ответственного сотрудника.

3) В бизнес-логике, ПО сайта не будет доступа к этому хранилищу - таким образом не будет возможности утечки данных в сеть, хранилище будет зашифровано, ключи будет знать только ответственный сотрудник.

4) запрос на получение данных этого хранилища будет возможен только службой безопасности

Комментарии

  1. К сожалению это не решит проблему либо приведет к еще большей проблеме. Ответственный сотрудник может заболеть гриппом, сломать ногу или вообще экстренно покинуть этот бренный мир (случаи уже были).

    Если действительно ключи будет знать только ответственный сотрудник, то работа будет парализована или (в последнем случае) полностью блокирована. Если их сможет получить кто-то другой - смысл всей затеи нивелируется.

    ОтветитьУдалить
  2. Не нужно этот геморрой уже проходили на биттрексе полониксе и не все прошли многие просто забили

    ОтветитьУдалить
  3. введете аутентификацию - свалю!

    ОтветитьУдалить
  4. від верифікації нікуди не дітись

    ОтветитьУдалить
  5. Я за то что бы оставить просто пинкод.

    ОтветитьУдалить
  6. Все верно делаете. Остается старая схема. Кому нужен доп. способ защиты - ставит его.
    Двухфакторная только через аутентификатор -спорная вещь.
    Банально разбился экран на смартфоне. С итоге несколько дней мог работать только с биржами без двкхфакторной авторизации. Все индивидуально. Ответстственость начинается с прочтения или непрочтения любых правил и условии перед тем как галрчку поставить и/или кнопку "I agree" клацнуть бездумно.

    ОтветитьУдалить
  7. Двухфакторная аутентификация нормально решает поставленную задачу.
    На случай потери смартфона или чего-либо, я завел себе второй где клонированы программы доступа, а именно Google Authenticator - прекрасно синхронно работает на двоих устройствах.
    П.С.
    Предлагаю ввести не селфи, а все таки Паспорт, как дополнительную опцию безопасности, сразу с биржи все иностранцы свалЯт)

    ОтветитьУдалить
  8. Господа описанное ерунда! Как в тюрьме - бумага с номером...на фоне паспорта....линейку еще приложить и порядок! Паспортов можно кучу накупить и наклеить свою фотку с усами без усов разные фамилии..... на большинстве ресурсов все идет через двухфакторную аунтификацию на вход, на вывод средств + номер тел, все нормально работает, вы же через жопу протаскиваете это все.

    ОтветитьУдалить
  9. Есть же аутентификация с помощью электронных ключей. Вот, например, такая
    https://cloud.google.com/titan-security-key/

    ОтветитьУдалить
  10. Не могу получить новый PIN код.Здесь нет службы поддержки.Вместо ответа и помощи дебильные роботы талдычат одно и то же.

    ОтветитьУдалить
  11. Пропишите в Соглашении, что потеря данных учетной записи или передача третьему лицуЮ не налагает на вас клб обязательств

    ОтветитьУдалить
  12. главное чтобы все было доступно и понятно к всяким задержкам отнесусь с пониманием

    ОтветитьУдалить
  13. Да выход один, генерировать на базе пользователей блокчейны в которых будет доступ к бирже. Потерял уникальный ключ? Все досвиданье.... Ни негативных отзывов бирже ни срача в чате(не имею данных технических навыков но концепт такой).

    ОтветитьУдалить
  14. Useful article, thank you for sharing the article!!!

    Website: bloggiaidap247.com giúp bạn giải đáp bash là gì hay bash idol là gì và nhiều thông tin hữu ích

    ОтветитьУдалить
  15. Thanks for the helpful article, it gives me a lot of good information
    Nếu bạn có nhu cầu sử dụng dịch vụ vận chuyển ô tô bắc nam, thuê xe tải chở hàng, gửi xe máy bằng tàu hỏa, chuyển hàng bằng container,... hay liên hệ với proship để được tư vẫn và sử dụng dịch vụ của chúng tôi.

    ОтветитьУдалить
  16. Этот комментарий был удален автором.

    ОтветитьУдалить
  17. бред, казино какое-то.... Проипал пин, восстанавливай на телефон или мыло при помощи секретных вопросов, проипал секретный вопрос, восстанавливай при помощи скана паспорта, данные которого заполняются при вводе средств обязательными полями, которые нельзя изменить. Изменение только администратором с запросом скана.

    В целях безопасности скрыть эти данные, оставив несколько первых и последних символов.

    ОтветитьУдалить
  18. Thanks for sharing, nice article!. Thank you
    Chuyenhangvevietnam.com là một trong những đơn vị đi đầu trong linh vực vận chuyển hàng hóa toàn quốc, chúng tôi chuyên cung cấp tới quý khách hàng các dịch vụ như: cho thuê xe tải 500kg, vận chuyển container, vận chuyển ô tô bắc nam, công ty chuyển phát nhanh, dịch vụ bốc xếp, cho thuê kho, giao hàng nhanh, ship cod,... với chất lượng tốt nhất, uy tín, nhanh chóng và giá cả cạnh tranh nhất thị trường.

    ОтветитьУдалить
  19. Введете вирификацию - будем расставаться

    ОтветитьУдалить
  20. Не удалось авторизироваться, внимательно проверьте данные и попробуйте снова*
    Почему я не могу войти в свой аккаунт уже 5 дней

    ОтветитьУдалить
  21. Вы будет поднимать биржу с колен ? Или это говно так и будет плавать в проруби ?

    ОтветитьУдалить
  22. Thanks for sharing, great post!

    Áo khoác Đà Lạt chuyên sỉ và lẻ áo khoác áo khoác nam với giá ưu đãi nhất 2020. Luôn cập nhật mẫu mới chất lượng và dày ấm nhất kể cả với thời tiết lạnh giá các nước có du học sinh và xuất khẩu lao động. Aokhoacdalat.com được đồng hành cùng các bạn!!!!

    ОтветитьУдалить
  23. Ребята это не правильный путь развития(в глобальном смысле). Почему нормальные люди должны равняться на легкомысленных и безответственных, которые забывают пароли, пины, секр. вопросы и пр,. Может это ни пусть подтягиваются до уровня нормальных людей, становятся сознательными и ответственными. Реально, давно уже бесит такая тенденция, когда всё и везде затачивается под идиотов и неоправданно усложняет жизнь нормальным людям. Нормальный чел., во первых сразу выберет себе пины, пароли и тп, которые не забудет, но и потом продублирует их где угодно, на обоях под кроватью, в блокноте, в дальней папке на компе без указания привязки к сайту, в конце концов на совершенно другом имейле, который никак не связан с данным сайтом. Куча вариантов, как не забывать пинкоды). А вместо этого что? Сначала было модно идентификация просто через скан паспорта, теперь уже и скан нужен и селфи с паспортом и бумажкой. Какой следующий этап? Лично явится в офис, сдать анализы, отпечатки пальцев, мазок для генетической идентификации? Если человек забыл пароли-пины, значит для него потерянные деньги не были критической суммой, а если и были, то он это запомнит на всю оставшуюся жизнь и уже никогда не станет забывать свои данные.

    ОтветитьУдалить
  24. Hiện nay, nhu cầu vận chuyển hàng hóa bằng đường sắt Bắc Nam ngày càng gia tăng. Để phục vụ đầy đủ nhu cầu của khách hàng, Ratraco Solutions đơn vị vận chuyển đường sắt uy tín, chất lượng, giá rẻ đã và đang triển khai dịch vụ vận chuyển hàng hóa đường sắt Door to Door. Chúng tôi phục vụ tất cả các khâu, từ A-Z. Ngoài ra, nếu có nhu cầu vận chuyển hàng nguyên container, chúng tôi cung cấp dịch vụ vận chuyển container đường sắt Bắc Nam với nhiều toa chuyên dùng. Liên hệ ngay với Ratraco Solutions qua hotline 0965 131 131 để được tư vấn cụ thể về các dịch vụ của chúng tôi.

    ОтветитьУдалить
  25. IEEE Project Domain management in software engineering is distinct from traditional project deveopment in that software projects have a unique lifecycle process that requires multiple rounds of testing, updating, and faculty feedback. A IEEE Domain project Final Year Projects for CSE system development life cycle is essentially a phased project model that defines the organizational constraints of a large-scale systems project. The methods used in a IEEE DOmain Project systems development life cycle strategy Project Centers in India provide clearly defined phases of work to plan, design, test, deploy, and maintain information systems.


    This is enough for me. I want to write software that anyone can use, and virtually everyone who has an internet connected device with a screen can use apps written in JavaScript. JavaScript Training in Chennai JavaScript was used for little more than mouse hover animations and little calculations to make static websites feel more interactive. Let’s assume 90% of all websites using JavaScript use it in a trivial way. That still leaves 150 million substantial JavaScript Training in Chennai JavaScript applications.

    ОтветитьУдалить
  26. Thanks for sharing!!!
    Dịch vụ vận chuyển hàng hóa bằng đường sắt của Ratraco Solutions được đánh giá cao về sự uy tín, nhanh chóng, cùng với mức giá vận hàng hóa đường sắt luôn cạnh tranh và thấp nhất hiện nay.

    ОтветитьУдалить
  27. ідея з селфі і документами, то якась маячня. ризики витоку кудись персональних даних значно вищі за крадіжку акаунта.
    є купа інших простих інструментів для підняття захисту. інші біржі нормально їх юзають.
    дайте нормально виводити кошти і псуйте свою репутацію

    ОтветитьУдалить
  28. Это стандартная процедура на многих биржах.

    ОтветитьУдалить

Отправка комментария

Популярные сообщения из этого блога

Ввод и вывод средств