誰がそのような複雑なシステムを開発することに同意したのかは明らかではありません。 もちろん、私は誰もが何かを養う必要があることを理解しているため、「バナナソフトウェア」を実行することは、すぐに優れた実用的な製品を提供するよりもはるかに収益性が高く、顧客をサポートするために最小限の時間とリソースが必要です。 しかし、これらは大きな国際銀行であり、それらのイメージはすべてでなければなりません!!!
まあ、ゼロから熊手を使って水をかき混ぜないように-私はいくつかの生きている例で私の論文を説明します。 まず、世界最大の銀行の1つであるHSBCのオンラインサービスを検討します。
<lj-cut text = "詳細な報告">
悪い例-HSBC
したがって、オンラインバンキングのログインフォームにアクセスするには、複雑な「インターネットバンキングID」を入力する必要があります(図1)。 もちろん、単一の通常のホモサピエンスがIB2894871987シリーズから何かを覚えているわけではありませんが、残念なことに、何らかの理由でフォームフィールドのオートフィル機能を切断することにしました。 しかし、それはポイントではありません。少なくとも1つのアカウントに少なくとも1つのクレジットカード番号が添付されていれば、数秒でインターネットバンキングIDを復元できるからです。
図 1
この単純で覚えにくいIDを正常に表示すると、ポップアップウィンドウが開き、インターネットバンキングのログインフォームが表示されます(図2)。 このフォームにたどり着くのに十分な忍耐力を示した少数の訪問者のかなりの2/3が突然椅子から転落し、彼らの目はテーブルの下に転がりました。 わあ、それはとても安全です-生年月日とPINコードから3桁を入力してください! どうやら、エンジニアはどこかでキーロガーについて読んでおり、ピンの一部だけが尋ねられた場合、攻撃者はその完全なバージョンを知ることは決してないと考えた。 これらの天才は、キーストロークロガーが通常数か月間働くとは思わなかったことは奇妙です(そして、数年前からWebページのスクリーンショットを撮り、ftpを使用して称賛します)。したがって、ピン全体を見つけることは「邪悪なハッカー」の時間と忍耐の問題です。
図 2
実際、それがすべてです。 誰かの財政を完全に制御するために必要なものすべて。 このデータを入力すると、すべてのアカウントにフルアクセスできます(図3)。 そこから、キーをすばやくすばやく押すことができます(インターフェースを把握するのに数時間かかる場合)。すべてのお金をオフショアに送金し、砂浜でカクテルを飲みます。 そして、すみません、安全はどこですか? 少しの頭脳と時間で、「犠牲者」の生年月日と彼/彼女の銀行IDとPINコードを簡単に見つけることができます。 誰のせいですか? どうする 殺すために! 発射する! リンクへ!
図 3
Nota Bene:ところで、面白いのは、HSBCが電話バンキングに同じID検証システムを使用していることです。
中規模の例-バークレイズ
バークレイ銀行、雌-大きくて金持ち。 遠い昔、彼らのセキュリティエンジニアが私たちの大学でAfigenでオンラインバンキングを行った方法について2、3の講義を行ったことを覚えています。 それは残念です-感銘を受けていません。 よく見てみましょう。
それで、再び、金融取引の子宮に入るための2つのステップ。 繰り返しますが、悪名高い「銀行ID」(図4)は、幸いにも形状が維持され、その後の回復のために畳み込みの特別なトレーニングを必要としません(そのために何が必要ですか?)。
図 4
次に、認証の2番目のステップ(図5)が続きます。この場合、生年月日は必要ありませんが、オンラインバンキングにアクセスするためにPINコードを入力し、パスワードからドロップダウンから数文字を選択する必要があります。 間違いなく、バークレイでは、IT部門のウイスキーは、HSBCのウイスキーよりもはるかに少ないです。 しかし、すべて同じケラチャト。 もちろん、ここでのセキュリティは最初の「患者」のセキュリティよりもわずかに高くなっていますが、キーロガーから私たちを救うことはできません(ただし、頭痛はまあまあ増加します)。 すべてのデータを入力し、eureka、「入力しました」(図6)!
図 5
ここのインターフェースは、より美しいものの、忠実な「患者」に勝るという事実に焦点を当てません。 繰り返しますが、祖母を他のアカウントに転送する方法を理解するには、十分な30分が必要です。 ああ、生きるなんて怖い! 殺すために! 発射する! リンクへ!
図 6 良い例-BA-CA
さて、大規模で豊かな銀行とは何ですか? 小規模で貧しい銀行であるBank Austria / Credit Anstaltによって開発された良い例をお伝えしたいと思います。
そのため、ログインは1ステップ(歓声-歓声-歓声)で行われ、8桁のIDとピン(図7)をフォームに入力するだけで十分です。ああ、ユーレカ、ブラウザーに記憶されるので、今後覚えておく必要はありません! さらに、ログインフォームは銀行のスプラッシュページにあります(他の「患者」については言えません。Googleのロボットのような情報を見つけるには才能が必要だからです)。
図 7
しかし、違います! しかし、セキュリティはどこにありますか? 認証はどこにありますか? そしてここで-インターネットバンキングBA-CAでの操作のために、ワンタイムPINを入力する必要があります。 このようなコードのリストは、一連の数字を含む単純な文字の形式でメールで送信されます(その中には約100個のコードがあります)。 どの操作でも、「確認」する必要があります-システムは「42で始まるすべてのPIN」を要求します(レター内のPINは1つのみです)。 数字を入力します。 したがって、トランザクションは「署名済み」(合法的に正しい)であり、技術的な異常からも保護されます。これは、すべての署名が一度限りであり、物理的な形式でのみ利用できるためです。 BA-CAがシステムに優れたインターフェースを備えているという事実(図8)-黙っておいた方がよいでしょう。
図 8 少しの数字
- HSBC IT R&D-本社の190人の従業員(世界で何人か-想像するのが怖い)
- バークレイズIT R&D-本社に170人の従業員(世界には明らかにもっと多くの従業員がいます)
- BA-CA-本社の従業員7人(ブランチでの研究開発はまったく行われていません)
さて、誰がダビッチですか?