Увод паролей от электронных кошельков и техническая грамотность

Даже технически подкованные пользователи часто уверены, что для того, чтобы увести пароль от некоторого “электронного кошелька” на компьютере обязательно должен сработать вирус (троян). Понятно, что такой технически подкованный пользователь не использует Windows, поэтому полагает, что и вируса у него на компьютере быть не могло (что, впрочем, не до конца верно, но это уже другая история). А кошелёк кто-то посторонний использовал.

При этом, хоть “вирусный метод” – самый массовый, есть и другие способы перехвата паролей. Правда, для того, чтобы они сработали, требуется наличие архитектурных особенностей в системе авторизации “кошелька” (платёжной системы). Так, в теории, злоумышленники могут поломать DNS-сервера интернет-провайдера, изменить адресацию, и в результате клиенты этого провайдера станут вместо настоящего сайта платёжной системы попадать на фишерский сервер, собирающий пароли. При этом домен, для клиентов атакованного провайдера, останется тем же. Если клиент работает через веб и не обучен правильному использованию HTTPS, если не используются дополнительные методы аутентификации (обоюдной), то – всё пропало. Метод с подменой DNS может работать и для специализированных приложений (например, iPhone и т.п.), если они не проводят дополнительной аутентификации.

Есть открытые сети Wi-Fi – тут всё и так понятно. Есть ещё подсадные Wi-Fi сети: тут уже и не только DNS, но и IP-адрес подменить можно. Особенно эффективно для приложений в смартфонах, пользователи которых готовы работать через любую обнаруженную сеть.

Или вот хуже сценарий: прослушивать трафик, идущий к серверам платёжной системы, могут на каком-то другом участке сети, хоть бы и непосредственно в дата-центре (с соседних серверов), если там сетевое оборудование настроено с ошибками и админы мух не ловят. Если ключи/пароли не шифруются, или шифруются с ошибками, то доступ могут увести. Массово. Впрочем, тут уже не будет вины пользователя. Независимо от его технической грамотности/неграмотности.

А основная неприятность-то тут в том, что в пользовательском соглашении наверняка сказано: владелец кошелька “сам виноват” во всех действиях, совершённых с использованием его пароля. Даже если этот пароль передаётся по сетям в открытом виде, потому что так плохо устроена авторизация. При этом для подробного аудита системы авторизации сервиса, которым хочет воспользоваться рядовой интернетчик, уже одной только технической грамотности никак не хватит, нужен ещё и доступ соответствующий.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 5

  • 1. 11th August 2011, 08:09 // Читатель Z.T. написал:

    HTTPS защищает от перехвата DNS. Кроме случая когда у воров есть private key от certificate authority которая в списке “надежных” в браузере. У государственных разведок такое есть, а у воров не должно быть.

  • 2. 11th August 2011, 12:48 // Александр Венедюхин ответил:

    Защищает-то он защищает, но только в том случае, если пользователь подготовлен к защите. На практике люди привычно кликают “Добавить исключение”, это если вообще замечают разницу между http и https (что очень редко наблюдается).

  • 3. 11th August 2011, 13:52 // Читатель sarin написал:

    вообще, по идеи, в договоре платёжная система обязуется хранить данные пользователя в секрете. и пароль в том числе.

  • 4. 11th August 2011, 17:15 // Читатель зашел в гости написал:

    “в договоре платёжная система обязуется хранить данные пользователя в секрете”

    Это в теории. А на практике прийдется доказывать, что утечка пароля произошла из-за сбоев/недостатков в системе, а не по вине пользователя.

  • 5. 11th August 2011, 18:29 // Читатель jno написал:

    > На практике люди привычно кликают ?Добавить исключение?

    особливо с учётом того, что даже крупные и серьёзные (на первый взгляд) конторы сплошь и рядом лепят неверные ключи/сертификаты (ну, зайдите смеха ради на https://slovari.yandex.ru/ да посмотрите на это чудо).

    ещё у кучи контор (и банки там – нифига не исключение) запросто продолжают использоваться протухшие сертификаты.

    и далее – везде.

    а народ – да, не читает ничего, жмёт “далее”, “принять”, “ок”…