Заметка о безопасности

В последнее время после серии взломов аккаунтов наших пользователей, мы пришли к выводу, что первичная идентификация наших пользователей - является наиболее лучшей защитой их средств. Мы понимаем что это противоречивый аргумент, поэтому мы решили написать эту заметку о безопасности.

Первое, что мы хотим сказать, что привязка акаунта к любому email -у стало широкой, но порочной практикой, потому что взлом этого email -а становится ключом, который открывает доступ к финансовым данным.
Придуманный нами когда-то пин-код во многом нам помог но до конца не решил проблемы.

Пин код не решает проблемы, потому что его забывают. Все мы люди - у всех бывают казусы, мы не роботы - и это стало рутинной задачей нашей службы безопасности. И теперь представляем ситуацию.

Злоумышленник получил доступ к email - у. Через форму восстановления пароля он получил доступ к акаунту. И первое что сделал - это запросил восстановление пин кода. И служба поддержки встает перед выбором - ведь это может быть и простой запрос от пользователя. Она естественно запросит другую информацию - например полные номера карт на которые производили выводы, но эта информация бывает частенько на взломанном ящике, еще чаще бывает информация о личности владельца акаунта. В данном случае у мошенника появляются хорошие шансы обмануть службу безопасности.

Чтобы быть более убедительней - они напишут много негативных отзывов, заспамят форумы, будут долго возмущаться в чате, я потерял(перепрошил, украли, забыл, в роуминге ) телефон кто-то их поддержит и как показала уже многолетняя практика, служба поддержки таки иногда ошибается.


Рассмотрим вариант, когда пользователь защитил акаунт двухфакторной авторизацией. В данном случае у мошенника алгоритм работы примерно такой же - я забыл, потерял, перепрошил, заспамить все ветки форумов телефон, снимите двухфакторную, в расчете на ошибку службы поддержки, которую он дожидается с какой-то вероятностью.
Нельзя сказать, что вероятность высокая, но от этого человеку не легче - это же его деньги.

И третий вариант - телефон, это кажется самым надежным вариантом авторизации, только до того момента как не произошло одно из следующих событий а) у вас украли действительно телефон б) у вас скопировали симкарту в) злоумышленник забрал себе ваш номер, через восстановление сим карты в офисе мобильного оператора. Аргумент против - "Кому я нужен"? Но все мы помним время когда биткоин стоит 20 тыс долларов. То есть злоумышленник
подглядел в кафе, не важно где, что у вас на blockchain.info 1 BTC, с одной стороны нельзя сказать, что много, а с другой стороны, вы показываете в магазинах кошелек в котором лежит тугая пачка долларов тысяч на 10, риторический вопрос.

Ни в коем случае не восстанавливать пин код, скажет пользователь, который давно работает в криптомире, но мы живем не в криптомире, и к нам приходят много людей, которые только знакомятся с криптовалютами.

В конце концов угнанная почта - просто заблокирует ваши средства у нас, что и нас ставит перед нерешаемой дилеммой. Поэтому мы пришли к выводу, что изменения настроек безопасности, через службу поддержки - должно происходить через обычную идентификацию личности.


Поэтому мы добавляем опцию в профиль пользователя - Идентификация, где каждому предлагается загрузить свое селфи, с любым документом (права, загранспаспорт действующий, обычный паспорт ), на котором есть ваше фото ну и бумажка BTC TRADE UA и число.
Мы предвидим аргумент - "Я не хочу, чтобы мои данные гуляли по сети, чтобы их можно было использовать в рекламных целях, брать кредиты и так далее, и так далее"
Поэтому согласно новому регламенту ЕС работы с пользовательскими данными, мы напишем в нашей оферте, и здесь донесем как эти данные будут использоваться.
1) Эти данные будут храниться на отдельном сервере, к которому будет доступ только у одного ответственного сотрудника.
2) доступ к этим данным будет осуществляться следующим образом, при запросе в поддержку условного пользователя, поддержка будет запрашивать в случае смены настроек безопасности - селфи этого пользователя...

Поддержка будет обращаться к этому ответственному сотруднику на предмет - совпадения селфи из профиля с новыми данными или нет и получать ответ

Только ДА или Нет?

1) У этого хранилища не будет публичнодоступного АПИ, которое было бы доступно другим программным комплексам или еще хуже видно в мире.

2) Ключ к хранилищу будет только у ответственного сотрудника.

3) В бизнес-логике, ПО сайта не будет доступа к этому хранилищу - таким образом не будет возможности утечки данных в сеть, хранилище будет зашифровано, ключи будет знать только ответственный сотрудник.

4) запрос на получение данных этого хранилища будет возможен только службой безопасности

Комментарии

  1. К сожалению это не решит проблему либо приведет к еще большей проблеме. Ответственный сотрудник может заболеть гриппом, сломать ногу или вообще экстренно покинуть этот бренный мир (случаи уже были).

    Если действительно ключи будет знать только ответственный сотрудник, то работа будет парализована или (в последнем случае) полностью блокирована. Если их сможет получить кто-то другой - смысл всей затеи нивелируется.

    ОтветитьУдалить
  2. Не нужно этот геморрой уже проходили на биттрексе полониксе и не все прошли многие просто забили

    ОтветитьУдалить
  3. введете аутентификацию - свалю!

    ОтветитьУдалить
  4. від верифікації нікуди не дітись

    ОтветитьУдалить
  5. Я за то что бы оставить просто пинкод.

    ОтветитьУдалить
  6. Все верно делаете. Остается старая схема. Кому нужен доп. способ защиты - ставит его.
    Двухфакторная только через аутентификатор -спорная вещь.
    Банально разбился экран на смартфоне. С итоге несколько дней мог работать только с биржами без двкхфакторной авторизации. Все индивидуально. Ответстственость начинается с прочтения или непрочтения любых правил и условии перед тем как галрчку поставить и/или кнопку "I agree" клацнуть бездумно.

    ОтветитьУдалить
  7. Двухфакторная аутентификация нормально решает поставленную задачу.
    На случай потери смартфона или чего-либо, я завел себе второй где клонированы программы доступа, а именно Google Authenticator - прекрасно синхронно работает на двоих устройствах.
    П.С.
    Предлагаю ввести не селфи, а все таки Паспорт, как дополнительную опцию безопасности, сразу с биржи все иностранцы свалЯт)

    ОтветитьУдалить
  8. Господа описанное ерунда! Как в тюрьме - бумага с номером...на фоне паспорта....линейку еще приложить и порядок! Паспортов можно кучу накупить и наклеить свою фотку с усами без усов разные фамилии..... на большинстве ресурсов все идет через двухфакторную аунтификацию на вход, на вывод средств + номер тел, все нормально работает, вы же через жопу протаскиваете это все.

    ОтветитьУдалить
  9. Есть же аутентификация с помощью электронных ключей. Вот, например, такая
    https://cloud.google.com/titan-security-key/

    ОтветитьУдалить
  10. Не могу получить новый PIN код.Здесь нет службы поддержки.Вместо ответа и помощи дебильные роботы талдычат одно и то же.

    ОтветитьУдалить
  11. Пропишите в Соглашении, что потеря данных учетной записи или передача третьему лицуЮ не налагает на вас клб обязательств

    ОтветитьУдалить
  12. главное чтобы все было доступно и понятно к всяким задержкам отнесусь с пониманием

    ОтветитьУдалить
  13. Да выход один, генерировать на базе пользователей блокчейны в которых будет доступ к бирже. Потерял уникальный ключ? Все досвиданье.... Ни негативных отзывов бирже ни срача в чате(не имею данных технических навыков но концепт такой).

    ОтветитьУдалить
  14. Useful article, thank you for sharing the article!!!

    Website: bloggiaidap247.com giúp bạn giải đáp bash là gì hay bash idol là gì và nhiều thông tin hữu ích

    ОтветитьУдалить
  15. Thanks for the helpful article, it gives me a lot of good information
    Nếu bạn có nhu cầu sử dụng dịch vụ vận chuyển ô tô bắc nam, thuê xe tải chở hàng, gửi xe máy bằng tàu hỏa, chuyển hàng bằng container,... hay liên hệ với proship để được tư vẫn và sử dụng dịch vụ của chúng tôi.

    ОтветитьУдалить
  16. Этот комментарий был удален автором.

    ОтветитьУдалить
  17. бред, казино какое-то.... Проипал пин, восстанавливай на телефон или мыло при помощи секретных вопросов, проипал секретный вопрос, восстанавливай при помощи скана паспорта, данные которого заполняются при вводе средств обязательными полями, которые нельзя изменить. Изменение только администратором с запросом скана.

    В целях безопасности скрыть эти данные, оставив несколько первых и последних символов.

    ОтветитьУдалить
  18. Thanks for sharing, nice article!. Thank you
    Chuyenhangvevietnam.com là một trong những đơn vị đi đầu trong linh vực vận chuyển hàng hóa toàn quốc, chúng tôi chuyên cung cấp tới quý khách hàng các dịch vụ như: cho thuê xe tải 500kg, vận chuyển container, vận chuyển ô tô bắc nam, công ty chuyển phát nhanh, dịch vụ bốc xếp, cho thuê kho, giao hàng nhanh, ship cod,... với chất lượng tốt nhất, uy tín, nhanh chóng và giá cả cạnh tranh nhất thị trường.

    ОтветитьУдалить
  19. Введете вирификацию - будем расставаться

    ОтветитьУдалить
  20. Не удалось авторизироваться, внимательно проверьте данные и попробуйте снова*
    Почему я не могу войти в свой аккаунт уже 5 дней

    ОтветитьУдалить
  21. Вы будет поднимать биржу с колен ? Или это говно так и будет плавать в проруби ?

    ОтветитьУдалить
  22. Thanks for sharing, great post!

    Áo khoác Đà Lạt chuyên sỉ và lẻ áo khoác áo khoác nam với giá ưu đãi nhất 2020. Luôn cập nhật mẫu mới chất lượng và dày ấm nhất kể cả với thời tiết lạnh giá các nước có du học sinh và xuất khẩu lao động. Aokhoacdalat.com được đồng hành cùng các bạn!!!!

    ОтветитьУдалить
  23. Ребята это не правильный путь развития(в глобальном смысле). Почему нормальные люди должны равняться на легкомысленных и безответственных, которые забывают пароли, пины, секр. вопросы и пр,. Может это ни пусть подтягиваются до уровня нормальных людей, становятся сознательными и ответственными. Реально, давно уже бесит такая тенденция, когда всё и везде затачивается под идиотов и неоправданно усложняет жизнь нормальным людям. Нормальный чел., во первых сразу выберет себе пины, пароли и тп, которые не забудет, но и потом продублирует их где угодно, на обоях под кроватью, в блокноте, в дальней папке на компе без указания привязки к сайту, в конце концов на совершенно другом имейле, который никак не связан с данным сайтом. Куча вариантов, как не забывать пинкоды). А вместо этого что? Сначала было модно идентификация просто через скан паспорта, теперь уже и скан нужен и селфи с паспортом и бумажкой. Какой следующий этап? Лично явится в офис, сдать анализы, отпечатки пальцев, мазок для генетической идентификации? Если человек забыл пароли-пины, значит для него потерянные деньги не были критической суммой, а если и были, то он это запомнит на всю оставшуюся жизнь и уже никогда не станет забывать свои данные.

    ОтветитьУдалить
    Ответы
    1. Вот самое умное решение проблемы.Молодца!

      Удалить
  24. Hiện nay, nhu cầu vận chuyển hàng hóa bằng đường sắt Bắc Nam ngày càng gia tăng. Để phục vụ đầy đủ nhu cầu của khách hàng, Ratraco Solutions đơn vị vận chuyển đường sắt uy tín, chất lượng, giá rẻ đã và đang triển khai dịch vụ vận chuyển hàng hóa đường sắt Door to Door. Chúng tôi phục vụ tất cả các khâu, từ A-Z. Ngoài ra, nếu có nhu cầu vận chuyển hàng nguyên container, chúng tôi cung cấp dịch vụ vận chuyển container đường sắt Bắc Nam với nhiều toa chuyên dùng. Liên hệ ngay với Ratraco Solutions qua hotline 0965 131 131 để được tư vấn cụ thể về các dịch vụ của chúng tôi.

    ОтветитьУдалить
  25. IEEE Project Domain management in software engineering is distinct from traditional project deveopment in that software projects have a unique lifecycle process that requires multiple rounds of testing, updating, and faculty feedback. A IEEE Domain project Final Year Projects for CSE system development life cycle is essentially a phased project model that defines the organizational constraints of a large-scale systems project. The methods used in a IEEE DOmain Project systems development life cycle strategy Project Centers in India provide clearly defined phases of work to plan, design, test, deploy, and maintain information systems.


    This is enough for me. I want to write software that anyone can use, and virtually everyone who has an internet connected device with a screen can use apps written in JavaScript. JavaScript Training in Chennai JavaScript was used for little more than mouse hover animations and little calculations to make static websites feel more interactive. Let’s assume 90% of all websites using JavaScript use it in a trivial way. That still leaves 150 million substantial JavaScript Training in Chennai JavaScript applications.

    ОтветитьУдалить
  26. Thanks for sharing!!!
    Dịch vụ vận chuyển hàng hóa bằng đường sắt của Ratraco Solutions được đánh giá cao về sự uy tín, nhanh chóng, cùng với mức giá vận hàng hóa đường sắt luôn cạnh tranh và thấp nhất hiện nay.

    ОтветитьУдалить
  27. ідея з селфі і документами, то якась маячня. ризики витоку кудись персональних даних значно вищі за крадіжку акаунта.
    є купа інших простих інструментів для підняття захисту. інші біржі нормально їх юзають.
    дайте нормально виводити кошти і псуйте свою репутацію

    ОтветитьУдалить
  28. Это стандартная процедура на многих биржах.

    ОтветитьУдалить
  29. hi,
    Freelance IT Specialist
    IT specialists participate in the design, operation and maintenance of IT systems used by companies of all types, as well as by public sector institutions. They take care of everything from hardware and software to networks and web resources. Sometimes, they work with consultants and suppliers to implement new systems and integrate IT processes for customers.

    ОтветитьУдалить
  30. sqlyog ultimate crack
    is a Database Supporting software. It allows a different type of features of databases like creating a table, dropping, altering table, DML, and DDL support. Its new version contains several features and functions.

    ОтветитьУдалить
  31. злоумышленник может взять селфи с соц сетей или с украденного телефона. если придумать восстановление так чтобы подтверждение было селфи с определенными условиями, например, сделать селфи с плакатом на котором написано то то и то то , и т.д..., тогда может быть имеет смысл...

    ОтветитьУдалить
  32. где мои ETC ? сделал вывод 0 потверждений и вывод пошел на другой адресс

    ОтветитьУдалить
  33. уже прошло 10дней от вывода ETC

    ОтветитьУдалить
  34. Nice post! You are sharing amazing information through your blog. I am a big fan of your excellent writing skills. And for more information and technical Support services about
    PayPal login |
    www.amazon.com/mytv |
    Cox login |
    Xfinity Login |
    DirecTV login |
    geek squad support |
    geek squad appointment

    ОтветитьУдалить
  35. Thank you for this brief explanation and very nice information. This post gives truly quality information. Hope to see you again. I find that this post is really amazing. know about Paypal login Click the Link and Visit

    ОтветитьУдалить
  36. mywifiext.net is a default web address for Netgear wifi extender setup. If you are unable to access mywifiext setup or www.mywifiext.net login page then our experts can guide you and help you to setup your WiFi range extender.

    Connect your Netgear extender to the router. Run the web browser and visit Netgear default IP 192.168.1.250. You land on the Netgear extender setup webpage. Netgear_ext

    ОтветитьУдалить
  37. At, ‘Fix HP Printer Setup’, we understand how much it can be annoying when your printer shows capricious behavior. Fortunately, you landed on the right page. We don’t drop an issue because it might be hard to fix. We are here 24/7 to provide you with the best HP printer support. Our experts offer quality-rich remote HP printers assistance with useful and handy help. In other words, ‘Fix Printer Setup’, protect your HP and Epson printers.

    Services:

    HP Printer Support
    Canon Printer Support
    Epson Printer Support
    Brother Printer Support
    Lexmark Printer Support

    Contact Us Feel free to get in touch with us. Phone: +1-866-869-0554
    Email: support@fixprintersetup.com
    website: https://www.fixprintersetup.com/

    ОтветитьУдалить
  38. Thanks for sharing that information, Geek Squad Tech Support is a globally recognized tech support provider, providing various support services for personal computer, gadgets, home repair and much more. We have successfully provided support services for nearly two million customers and the count has been increasing every other day.
    Please follow this link to know more about PayPal Account Login.
    PayPal Account Login is one of the best, user-friendly payment platforms. Moreover, it facilitates payments that take place via online transfers between different parties.

    ОтветитьУдалить
  39. Thanks For Sharing the information.
    If you ever suffer from bad connectivity of your internet connection or have a dead zone network in your home or workplace area. Go with mywifiext.net setup to solve your internet problem.
    netgear extender setup

    ОтветитьУдалить
  40. Our technical experts are always here to provide you with the best Amazon Alexa Troubleshooting setup assistance. Our experts can offer the best technical solutions. Chat with our experts today and let our skilled, experienced, talented, and reliable techies help you.

    For Further Information connect with Us:
    Call Us:+1-866-869-0554
    write Us:info@alexasetp.com
    Visit Us: https://www.alexasetp.com/

    ОтветитьУдалить
  41. There are some of the best platforms from where you can extend the range of your existing wifi network. Linksys extender setup-xxx is one of them, which also provides you the free setup service for your extender. So, to take the benefits, go for it. extender.linksys.com

    ОтветитьУдалить
  42. Подскажите, пожалуйста, а планируете ли вы создать профиль тикток и публиковать ваши видео? Я знаю многие сейчас думают купить Подписчиков Тикток. Это экономит время

    ОтветитьУдалить
  43. Looking for Cricket Bats? Buy Online Cricket Bats of All Sizes like Men, Youth, Boys, Kids and Junior Available at affordable price at NZ Cricket Store. We provide branded Cricket Accessories of best quality in New Zealand.

    ОтветитьУдалить
  44. MBBS in Philippines fee structure for UV Gullas College of Medicine fees structure is considered to affordable by most students who wish to study medicine in Philippines. The Philippines Medical college offers world class medical education at reasonable price. The top reasons most students choose a foreign country is quality of education is better in affordable cost. UV Gullas College of medicine fee structure for academic year 2021 is comparatively affordable to premium medical colleges accepting international students.

    ОтветитьУдалить
  45. Get the professional and helpful assignments writing services with top experts on assignments field. GoAssignmentHelp.com is the World’s best online assignment help, algebra homework help and writing assistance web provider that prides it in being the best online assignment help website for students around the world. Our team cover all subjects like nursing, health, social care, marketing, finance, medical, management, child care, science, Accounting Assignment Help etc, So Don’t waste your single minute, Call us now and Get best services for your college assignments. GoAssignmentHelp.com always aim at improving all our services and we continuously conduct our research to establish better ways to serve you. We want that, you can always be assured that you will get the best nursing assignment help at the most affordable rates. If you have any kind of questions about your assignment related, then you call us. We provide the best help with assignments at a very reasonable price.

    ОтветитьУдалить
  46. DMSF is the best international medical institute with well-educated faculty. Davao medical college Philippines fees are affordable, and Philippines mbbs college structure is economical for international students.

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

Ввод и вывод средств

Еще одна заметка о безопасности