О верификации аккаунта на сайте [безопасность]

Для кидка не обязательно писать что-то в раздел обмен (а бекинг зачем?) Мошенник смотрит список объявлений и предлагает с угнанного акка обмен через ЛС.

Soul @ 4.2.2013
Разузнали про СМС. Похоже, что подобный сервис стоит 20 копеек за спс. Дороговато, есть еще варианты верификации?

ИМХО, идеальный вариант - это добавить к авторизации ввод кода, которое генерируется мобильным приложением. По типу enum у webmoney или как в гуглопочте сейчас сделали двухступенчатую авторизацию.
Хотя, и у enum и гуглопочты одновременно доступно получение такого же кода и через СМС сообщение, а не только с помощью мобильного приложения и сканирования QR-кода. В целом, если 90% пользователей будут использовать авторизацию через мобильное приложение, то СМСки не так уж и дорого будут обходиться.
К тому же, у гуглопочты можно поставить галочку "Надёжный компьютер" и при авторизации с этого компьютера больше не требуется вводить никаких кодов (по крайней мере в течение какого-то времени). Опять же сильно снизит расходы на СМС, если люди будут ставить эту галочку на своих компьютерах.
В конце-концов можно добавить возможность пользователю у себя в настройках ограничить по IP вход (естественно, разрешив подставить как и конкретный IP адрес или список, типа домашний и рабочий например, так и целую подсеть, в случае, если IP динамический).
И ещё сейчас многие крупные сайты переходят на защищённый https вместо обычного http. Но это больше относится к перехвату пользовательских данных в момент передачи их по сети, что осуществить непросто в проводных сетях (хотя если ты админ этой сети. то конечно без проблем), но в открытых сетях wi-fi делается без проблем. Был даже видос на ютубе, где вконтактик какой-то девочки поимели в течение пяти минут, находясь одновременно с ней в макдональдсе.

ЗЫ: Это всё спасает конечно только тех пользователей, которые думают о своей безопасности. То есть чтобы их аккаунт не взломали и не воспользовались этим аккаунтом для всяких гадостей и кидалова. От того, что другие меняются с кем попало, это естественно не спасёт. Но тем, кто настроил свой аккаунт можно например под аватаркой вместно одной зелёной точечки онлайн выводить их несколько. За блокировку по IP например ещё одну добавлять, за код через мобильное приложение или СМС ещё одну.

valeg @ 4.2.2013
Для кидка не обязательно писать что-то в раздел обмен (а бекинг зачем?) Мошенник смотрит список объявлений и предлагает с угнанного акка обмен через ЛС.

В бекинге много мелких мошенников, которые создают темы по продаже от $2+ и потом скрываются с этими средствами.
Нужно ограничить доступ к созданию тем(через невозможность создавать темы без варификации--- то бишь это по сути невозможность писать что либо в разделе бекинг) для таких "залётных мошенников"
Сшибить денежку "по-быстрому" уже не получиться и не всякий непрофессиональный мошенник будет "заморачиваться" верификайцией ,тем более для этого нужно будет время для получения токена .
В разделе обмена--- тот, кто создаёт тему по обмену , может не реагировать на "личку", пока " вторая сторона" не отпишется в теме обмена.

http://www.rutoken.ru/

Снеговик @ 4.2.2013
http://www.rutoken.ru/

Слишком сложно в распространении. Что делать, если потерял? Месяц на форум не ходить, пока другой не получишь? Нужно с собой что-то лишнее таскать, если не только из дома ходишь на форум. В смартфоне/планшете нет USB портов в конце концов, а сейчас мобильные технологии развиваются очень активно.
С приложением, генерирующим циферки, всё относительно проще и проблем намного меньше, но уровень защиты при этом возрастает довольно значительно.

Fireball @ 4.2.2013
Слишком сложно в распространении.

Когда в России обсуждался вопрос: "нужна ли в Роcсии или нет железная дорога ?"--одним аргументов против был например такой :

"Нет не нужна --потому что при быстром перемещении из пункта А в пункт Б пассажир может забыть из-за скорости, зачем он направляется в пункт Б."

Снеговик @ 4.2.2013
http://www.rutoken.ru/

имхо нереально это реализовать в рамках авторизации на сайт (не нашел у них даже таких решений как обычная авторизация) там же надо дрова ставить на комп с которого входишь, никто не купит это никогда

через смски самое простое решение

Снеговик @ 4.2.2013
Вы, уважаемый , посты других пользователей вообще читаете или только пишите исходя из собственного взгляда на проблему, не реагируя на сообщения других пользователей?

я, многоуважаемый, читаю только болдом написаное, а как же ещё? Тут идет обсуждение, а не защита патента по верификации аккаунтов. И мой пост это реакция на многочисленные посты из серии "всем всё верифицировать", что я собственно ремаркой про глобальность и уточнил. А глобалистов у нас как оказалось гораздо больше, чем таких рассудительных людей, как Вы. Так что извините несмышленыша, я просто сразу не понял, что после Вашего поста здесь всё и так решено.

Забили в итоге что-ли после того, как волна взломов упала?

Fireball, ты про какое решение? В теме не было рабочих. Не забили, но отложили пока, это да. По причинам, которые были описаны.

swordfish @ 7.3.2013
Fireball, ты про какое решение? В теме не было рабочих. Не забили, но отложили пока, это да. По причинам, которые были описаны.

SMS + приложение, которое цифры генерирует, как в гуглопочте и вебманях - это не решение? Уже давно всё придумано, зачем велосипед изобретать?

Fireball, к сожалению, мы зарабатываем не так много, как гугл и вебмани. А давать возможность пользователям по желанию платить за это самим - тоже проблематично, не хочется финансовые инструменты вводить на сайте, тут и без них умудряются людей кидать на деньги. А с ними вообще могут начаться суровые вещи.

Мы при этом никогда не жалеем деньги на что-то полезное, но тут непростая история, см. выше, к тому же "обмены" не являются центром сайта совсем.

swordfish @ 7.3.2013
Fireball, к сожалению, мы зарабатываем не так много, как гугл и вебмани. А давать возможность пользователям по желанию платить за это самим - тоже проблематично, не хочется финансовые инструменты вводить на сайте, тут и без них умудряются людей кидать на деньги. А с ними вообще могут начаться суровые вещи.

Мы при этом никогда не жалеем деньги на что-то полезное, но тут непростая история, см. выше, к тому же "обмены" не являются центром сайта совсем.

Ну приложение, генерирующее коды, не будет отнимать денег, только на само его создание немного денег понадобится.
Да и СМСки не дороже 20 копеек не проблема найти или даже самому реализовать. К тому же, как я уже говорил, пользователи сами будут ставить галочку на своём компьютере, чтобы не требовался код больше при входе с данного компьютера.
Я, конечно, не знаю, сколько на форуме авторизаций в день, но могу предположить, что 100 рублей в день на это будет хватать с лихвой.

Fireball, отличные прогнозы. Однако ты учел не все, но это понятно, у тебя слишком мало информации, на основе которой ты строишь свои выводы (зачем тогда?). О такой авторизации нужна будет отметка в профиле, то есть люди будут ей пользоваться при каждом обмене - просить друг друга авторизоваться, чтобы в профиле встала текущая дата, иначе зачем, опять же.

Нет времени объяснять, к сожалению, все пункты. И тебе не советую вступать в спор с позицией "вы разве не понимаете, насколько это просто?!" без полной информации. Мы все понимаем и продумали давно и подробно.

swordfish @ 7.3.2013
Fireball, отличные прогнозы. Однако ты учел не все, но это понятно, у тебя слишком мало информации, на основе которой ты строишь свои выводы (зачем тогда?). О такой авторизации нужна будет отметка в профиле, то есть люди будут ей пользоваться при каждом обмене - просить друг друга авторизоваться, чтобы в профиле встала текущая дата, иначе зачем, опять же.

Я не имел ввиду такой сложный вариант. Мой вариант был примерно такой: пользователь включает себе двухуровневую авторизацию и об этом у него появляется отметка в профиле. Каждый раз, когда он хочет залогиниться на форуме, после ввода пароля он должен будет ввести одноразовый пароль (который придёт по СМС или будет сгенерирован мобильным приложением). При этом, на своём домашнем компьютере он может поставить галочку "Это надёжный компьютер", после чего с данного компьютера у него больше не будет запрашиваться одноразовый пароль.
Точно так же он может поставить такую галочку при авторизации на форуме с работы например. Но не ставить её, когда заходит с компьютера друга на форум.
Если злоумышленник получит каким-либо образом логин и пароль от форума, то он не сможет получить одноразовый пароль, не имея физического доступа к мобильному телефону владельца аккаунта и на форум его не пустит.
Таким образом не нужно никаких обновлений в профиле с текущей датой и просьб каждый раз друг друга авторизоваться. Это просто ещё один уровень защиты аккаунта пользователя от кражи, а в профиле будет указано, что аккаунт дополнительно защищён (можно указать, с какой даты включена дополнительная защита, избавившись от проблемы взлома + включения дополнительной защиты самим взломщиком) и таким образом любой другой человек с форума будет видеть, что риски (с оглядкой на рейтинг естественно) минимальны. Остальное остаётся неизменным, точно так же пользователи будут договариваться в скайпе, а для подтверждения того, что это не кидала в скайпе с тобой переписывается, всё равно нужно будет просить подтверждающего сообщения в личке на форуме.
Да и злоумышленники, скорей всего, не будут даже пытаться подобрать пароль, если в профиле будет информация о защищённой авторизации.

Кстати, по теме последних взломов. Предлагаю сделать так, что если у пользователя замечена подозрительная активность (например, смена пароля), то не разрешать ему изменять персональные данные в профиле в течение, допустим, трёх дней.

Fireball, звучит неплохо, но это нужно 0,001% людей, ты же согласен? Представляешь, насколько будут негодовать пользователи по поводу такой авторизации? Мы тут, допустим, договоримся, но это прочитают 10 человек, а на сайт каждый месяц заходят 130 тысяч уникальных юзеров, и число растет.

При этом растет и количество тех, кто смотрит сайт с мобильных устройств, им придется каждый раз логиниться через смс? Они же постоянно из разных мест смотрят. Это же ужас будет.

А если не делать смс-логины принудительными, то во-первых, взламывать беспечных продолжат в том же режиме, потому что единицы поставят такую авторизацию, во-вторых для единиц надо будет все это разработать, а потом придумывать какие-то публичные отметки о логинах в профилях, на которые не все будут обращать внимание, а делать их виднее всего остального будет странно.

Мы не Гугл и не Вебмани, логин тут нужен, чтобы было удобнее читать сайт (закладки, уведомления о новом контенте и прочее), а также для комментов и постов на форуме.

И мы просто тратим время, обсуждая этот вариант. Он не рабочий в нашем случае.

Да, нужно немногим. Но тем, кому нужно, будут пользоваться. Но если считаешь, что он не рабочий, то, конечно, обсуждать бесполезно. Всё что мог, я сделал )
С мобильными устройствами, кстати, проблемы нету, точно так же галочку поставить один раз, что это устройство является надёжным и больше СМСка не нужна.
Других вариантов (по крайней мере простых и надёжных), которые могут помочь уберечь от взломов и кидков со взломанных аккаунтов я не вижу.
Разве что заставить всех пользователей поставить сложный пароль и раз в три месяца заставлять его менять. Но это не спасёт от того, что у пользователя на почте окажется простой пароль и через взломанную почту пароль будет изменён.
Ещё можно сделать автоматическую отметку в профиле о том, что в последнее время у пользователя замечена подозрительная активность. Я уже говорил об этом в предыдущем посте, только там я говорил про невозможность изменения данных профиля. С другой стороны нужно предусмотреть механизм проверки пользователя для удаления такой отметки из профиля.

Надо изучить возможность проверки именно уникальных устройств в случае с мобильными. В общем, мы не забыли и не забили, продолжим этим заниматься, но после обновления форума и бекинга, я думаю, все-таки.

а можно хотя бы сделать отметку что аккаунт без обмена, которую можно сменить только раз в неделю допустим

valeg @ 8.3.2013
а можно хотя бы сделать отметку что аккаунт без обмена, которую можно сменить только раз в неделю допустим

Могу тебе поставить -1 в рэйтинг с отметкой "никогда не меняется", если хочешь. Предложено было как один из вариантов решения проблемы другим форумчанином, и мне это понравилось