Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ТЕМАТИЧЕСКИЕ ФОРУМЫ > Финансы > Банки > Банк «Samarkand»
Знаете ли Вы, что ...
...нарушения правил форума наказываются. Старайтесь их не нарушать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

Банк «Samarkand» Официальные веб-сайты - SamarqandBank.uz, SAMonline.uz


Закрыто

 
Опции темы Опции просмотра
Старый 17.05.2012 12:59   #1  
Known ID Group
Аватар для MichaelR
Оффлайн
банк
типа экономист
AKA:MichaelR
Сообщений: 4,413
+ 818  2,078/1,214
– 22  43/41

Uzbekistan
Безопасность при работе с SAM.online

Цитата:
Сообщение от JH Посмотреть сообщение
Ну и чтобы окончательно добить тему страхового депозита. Его можно зачислить за год вперед, или ежемесячно надо телодвижения делать?
большой авансовый взнос на депозит это по желанию, а ежемесячные регулярные платежи на сумму не менее **** - это обязаловка! почитайте условия тарифного обслуживания. зачислять на год вперед , стало быть, нецелесообразно! ...а вот про кибер-опасности всякие надо думать всегда наперед..и не рисковать сильно большими суммами! впрочем, IT банка вроде бы думает об этом тоже. и наперед и ежемесячно!

Последний раз редактировалось MichaelR; 17.05.2012 в 13:02.
Старый 17.05.2012 14:36   #2  
Known ID Group
Аватар для Andrey Kim
Оффлайн
Сообщений: 293
+ 162  115/70
– 8  3/3

Uzbekistan
Цитата:
Сообщение от MichaelR Посмотреть сообщение
.а вот про кибер-опасности всякие надо думать всегда наперед..и не рисковать сильно большими суммами! впрочем, IT банка вроде бы думает об этом тоже
Если владелец сохранит закрытый ключ в секрете, будьте спокойны, его деньги никуда не денутся.
Старый 17.05.2012 14:50   #3  
Known ID Group
Аватар для MichaelR
Оффлайн
банк
типа экономист
AKA:MichaelR
Сообщений: 4,413
+ 818  2,078/1,214
– 22  43/41

Uzbekistan
Цитата:
Сообщение от Andrey Kim Посмотреть сообщение
Цитата:
Сообщение от MichaelR Посмотреть сообщение
.а вот про кибер-опасности всякие надо думать всегда наперед..и не рисковать сильно большими суммами! впрочем, IT банка вроде бы думает об этом тоже
Если владелец сохранит закрытый ключ в секрете, будьте спокойны, его деньги никуда не денутся.
как это сделать не изощренному в защитах пользователю, вот в чем вопрос!...сейчас сумм боьших на счетах нет, нет интереса. а дальше что?
Старый 17.05.2012 15:05   #4  
Known ID Group
Аватар для Bakhtiyor aka
Оффлайн
Сообщений: 1,425
+ 1,056  1,039/518
– 16  9/9

Uzbekistan
Цитата:
Сообщение от MichaelR Посмотреть сообщение
сейчас сумм боьших на счетах нет, нет интереса.
Смею Вас заверить суммы растут, и очень быстро. За год (Май 2011-2012) по различным SAM.online счетам(777, 555, 666, стрх депозиты, е-депозиты) прирост соcтавляет от 10 до 50 раз!

Цитата:
Сообщение от MichaelR Посмотреть сообщение
а дальше что?
Так что это "дальше" уже наступило, и по этому систему безопасности постоянно усиливаем. Внешние транзакции взяты под строгий контроль, крупные суммы уже без обоснования (или контакта с клиентом) не выводим, внутренние подозрительные суммы или операции уже автоматом блокируются. А членам клуба собираемся даже выдавать е-токены! И вообще е-токены наверное станут требованием для крупных сумм.
Старый 17.05.2012 16:27   #5  
Known ID Group
Аватар для Andrey Kim
Оффлайн
Сообщений: 293
+ 162  115/70
– 8  3/3

Uzbekistan
Цитата:
Сообщение от MichaelR Посмотреть сообщение
а дальше что?
прорабатывается один вариант, как раз для тех, у кого большие суммы на счетах но о нем позже, сейчас я не готов говорить...

Цитата:
Сообщение от Bakhtiyor aka Посмотреть сообщение
Так что это "дальше" уже наступило, и по этому систему безопасности постоянно усиливаем. Внешние транзакции взяты под строгий контроль, крупные суммы уже без обоснования (или контакта с клиентом) не выводим, внутренние подозрительные суммы или операции уже автоматом блокируются. А членам клуба собираемся даже выдавать е-токены! И вообще е-токены наверное станут требованием для крупных сумм.
Оказывается Бахтиер ака уже ответил. Раскрою карты, Unicon производит токены с неизвлекаемыми ключами по стандарту O'z DST. Ключ будет генерироваться внутри токена. Так как стандарт известен только в Узбекистане, он будет менее подвержен атакам на криптостойкость, я надеюсь.

Последний раз редактировалось Andrey Kim; 17.05.2012 в 16:33.
Старый 17.05.2012 16:55   #6  
Known ID Group
Аватар для Andrey Kim
Оффлайн
Сообщений: 293
+ 162  115/70
– 8  3/3

Uzbekistan
Сообщение модератору.
Предлагаю несколько последних сообщений выделить и перенести в отдельную новую тему "Безопасность при работе с SAM.online". Только сейчас обратил внимание, что отдельной темы нет, а вопросов меньше не стало, еще и новые появляются, к тому же много новых пользователей. Одно время где-то шла бурная переписка, но я даже не могу вспомнить, в какой ветке и когда. Всегда был убежден, что дыры в безопасности на 80-90 процентов - результат человеческого фактора, пренебрежение элементарными правилами безопасности. Надеюсь тема станет частичным ликбезом хотя бы для посетителей форума.
Старый 17.05.2012 17:47   #7  
Known ID Group
Аватар для Andrey Kim
Оффлайн
Сообщений: 293
+ 162  115/70
– 8  3/3

Uzbekistan
Постараюсь коротко в тезисах изложить основное, что касается стороны клиента. Указанное ниже носит рекомендательный характер.

Безопасность.
Про то, что пароль к учетной записи нужно хранить в секрете, что он должен иметь требования к сложности (не менее 8 символов, малые и прописные буквы, цифры) форумчане знают.
Подбор паролей ботом помогает предотвратить Captcha.

Шаг 1.
Антивирус с актуальными базами сигнатур - обязателен. Просто напоминание.

Шаг 2.
Пароль для установки закрытого ключа и пароль для доступа к нему также должны быть сложными. Файл pfx\p12 - это оболочка, которая содержит сертификат открытого ключа и сам закрытый ключ и он защищен паролем. Теоретически, если получить доступ к этому файлу, хороший специалист может написать для него брутфорсер, который будет перебирать пароли. Поэтому рекомендуется записать этот файл куда-нибудь на внешний носитель и запрятать подальше, не хранить на жестком диске и установить сложный пароль. При установке ключа не ставить галочку напротив "пометить как экспортируемый". Тогда ключ нельзя будет экспортировать из системы.

Шаг 3.
Использование токенов с неизвлекаемыми ключами. Ключ генерируется внутри токена и не может быть оттуда скопирован.

Шаг 4.
Даже при использовании токенов не держать их постоянно в USB-разъеме. Возможен риск туннелирования трафика (перехвата) и прослушивания канала. А также удаленное подключение типа r-admin и отправка платежек прямо с компьютера "жертвы".

Помимо всего прочего есть вероятность подмены реквизитов. На экране видно одно, а подписываются совсем другие данные. Держите на вооружении хороший антивирус, чтобы по максимуму предупредить последние две атаки.

В случае подозрения или факта доступа посторонних к закрытому ключу необходимо немедленно обратиться в банк для блокировки аккаунта.

В принципе это основное и соблюдение хотя бы этих правил намного снизит риски несанкционированного доступа к вашим деньгам.
Есть много нереализованного, к примеру, привязка аккаунта к определенному мак адресу или IP (хотя последний зачастую динамический), подтверждение платежей одноразовыми паролями (СМС, ОТР-токены или OTP-приложения и пр.). Недавно коллеги из БСС (российский разработчик ДБО) показали решения компании AGSES - токен, который показывает то, что вы собираетесь подписать (это против атаки man-in-the-middle, когда подменивают реквизиты). Аутентифицирует он при помощи отпечатка пальцев. Причем датчик реагирует помимо рисунка и на температуру. Производители утверждают, что отрезанный палец после 5 минут не пройдет аутентификацию. Но стоит эта вещица о-очень дорого.

Есть еще много чего. И использование специальных криптопровайдеров (каждый разработчик разрабатывает для себя) и специально разработанных протоколов передачи данных, которые используют вместо SSL и многое другое.
Возможно у форумчан есть свои соображения на этот счет. Просим поделиться!

Последний раз редактировалось Andrey Kim; 17.05.2012 в 17:51.
Реклама и уведомления
Старый 17.05.2012 18:52   #8  
Known ID Group uParty Member Ultimate
Аватар для JH
Оффлайн
Сообщений: 10,921
+ 3,666  10,931/4,676
– 584  286/214

Uzbekistan
Цитата:
Сообщение от Andrey Kim Посмотреть сообщение
Постараюсь коротко в тезисах изложить основное, что касается стороны клиента. Указанное ниже носит рекомендательный характер.
Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
"+" от:
Старый 17.05.2012 18:57   #9  
Known ID Group uParty Member Ultimate
Аватар для Sean
Оффлайн
Сообщений: 14,696
+ 3,679  12,779/5,616
– 156  201/165

Uzbekistan
Цитата:
Сообщение от JH Посмотреть сообщение
Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
Как раз наоборот, человек уверен что у клиента лицензионная ОС с включенным по умолчанию автообновлением!!!
__________________
Все врут! (с) Доктор Хаус
2 "+" от:
Старый 17.05.2012 18:59   #10  
Known ID Group
Аватар для Bakhtiyor aka
Оффлайн
Сообщений: 1,425
+ 1,056  1,039/518
– 16  9/9

Uzbekistan
Цитата:
Сообщение от JH Посмотреть сообщение
Примечательно, что установка всех заплаток, выпущенных для операционной системы, в этом перечне советов и близко не фигурирует. То есть надежды на то, что у клиента лицензионная ОС, не питаете. Грустно (((
Не нашли пока решение как заставить помочь клиенту в этом вопросе, ведь это не только финансирование лицензированного ОС, наверное это ещё и понимание... Но мы готовы обсудить идеи, если они есть.
Закрыто
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх