Одноразовые пароли от Яндекс
Сегодня утром шёл, размышляя - как бы это внедрить на работе одноразовые пароли, не закупая токены?
Поскольку тему я ещё не копал, да и не проснулся с утра - ничего не придумал.
Сейчас смотрю - а Яндекс ввёл сервис одноразовых паролей для Яндекс.Денег.
И решение для этого используется простое, как всё гениальное - кодовая таблица. Подозреваю, что это повсеместно принятая практика, которая просто ускользнула от моего внимания.
В результате я получил аж две полезности. Нужную подсказку, неожиданно упавшую прямо в RSS-ридер и возможность использования Яндекс.Денег в агрессивной среде.
Есть такой замечательный подкаст -- Security Now! http://twit.tv/sn
Однажды одному из ведущих тоже пришло в голову, что надо бы придумать какую-нибудь простую систему одноразовых паролей. Так он придумал штуку, которую назвал Perfect Paper Passwords
https://www.grc.com/ppp.htm
Поскольку он довольно известный чувак, то идею подхватили, и есть уже куча реализаций, даже PAM модуль: http://www.grc.com/ppp/software.htm
Так вот, решение Яндекса очень на это похоже :)
lxj комментирует...
15 Июнь, 2009 21:28
У меня на кредитке такая же система
Christian Archer комментирует...
17 Июнь, 2009 22:05
Финский отделение банка Nordea использует похожую же систему для своего NetBank'а: постоянный секретный логин (8 цифр) и 4-ёх значный разовый пин. Кроме того, уже после входа для подтверждения любой группы операций используется ещё один 4-ёх значный пин-код, случайно выбранный из списка 18-ти временных кодов, выдаваемых вместе со списком разовых кодов.
В итоге даже если злоумышленник убедит пользователя зайти на поддельный сайт банка и ввести текущую пару логин-пин, шанс использовать их с успехом в реальном банке очень невелик. Кстати, во многом благодаря этой системе финская ветка Nordea осталась нетронутой, когда со счетов шведской ветки увели 800 000 евро в конце 2006.
Анонимный комментирует...
26 Июнь, 2009 00:42