Когда я был маленьким , я однажды задумался, почему люди не пишут на брелках свой адрес? Вдруг потеряешь, а тебе их назад принесут. Детская логика, да? А что бы вы сказали, если бы я додумался, что этим адресом могут воспользоваться злоумышленники, и в качестве защиты предложил бы… наносить на брелок адрес особым шифром, известным только милиции.
Потом, можно было бы попробовать вводить повальную регистрацию всех брелков, хранить копии всех ключей в милиции, придумать (биометрическую, а лучше нанотехнологическую) процедуру подтверждения того, что пришедший за потерянным – именно тот, за кого он себя выдаёт и так далее.
Ничего не напоминает?
Хорошо. Теперь – эксперимент. Возьмите визитницу и кошелёк. Отправьтесь в ближайший магазин и купите там… что-нибудь. Вместе с деньгами – вручите кассиру свою визитку и понаблюдайте за реакцией. Глупость предлагаю, да? Тогда почему в случае с электронным кошельком – вы считаете такую ситуацию нормальной?
Что? Персональная информация на карточке предназначена для того, чтобы я мог акцептировать перевод денег? Так это неправда. Для перевода средств в наличную форму – вполне достаточно всего двух вещей – самой карточки и пинкода. Кроме того, иногда требуется безакцептный перевод, и социальные карточки жителей города N – это тоже умеют, несмотря на наличие ПД на них. И правильно умеют – возможность проведения безакцептного микроплатежа – это крайне удобная и необходимая функция.
Альтернатива персонализированным карточкам есть. Это не париться с изобретением новых сверхзащищённых алгоритмов, а использовать старый проверенный. Платёж наличными – есть частный случай безакцептного перевода. И вероятность что водитель маршрутки внезапно объявит стоимость проезда на восемнадцать рублей больше – не отличается от того, что это же действие совершит настройщик терминала.
Зачем тогда вообще карточка? А это действительно удобно. Она меньше кошелька, при этом её можно настроить только на платежи не выше определённой суммы или только на конкретные операции, например, только транспорт и школьная столовая. Опять же – легче ловить вора, тупо сняв лог платежей после кражи и опросив свидетелей.
Остаётся совсем маленькая проблема. Когда берут больше денег – это видно сразу. Когда снимают со счёта - нет. Но только эта проблема тоже уже решена. Маленький ЖК-экран с суммой остатка. Сколько держат батарейки в современных китайских часах? Года-два? Или уже пять?
Потом, можно было бы попробовать вводить повальную регистрацию всех брелков, хранить копии всех ключей в милиции, придумать (биометрическую, а лучше нанотехнологическую) процедуру подтверждения того, что пришедший за потерянным – именно тот, за кого он себя выдаёт и так далее.
Ничего не напоминает?
Хорошо. Теперь – эксперимент. Возьмите визитницу и кошелёк. Отправьтесь в ближайший магазин и купите там… что-нибудь. Вместе с деньгами – вручите кассиру свою визитку и понаблюдайте за реакцией. Глупость предлагаю, да? Тогда почему в случае с электронным кошельком – вы считаете такую ситуацию нормальной?
Что? Персональная информация на карточке предназначена для того, чтобы я мог акцептировать перевод денег? Так это неправда. Для перевода средств в наличную форму – вполне достаточно всего двух вещей – самой карточки и пинкода. Кроме того, иногда требуется безакцептный перевод, и социальные карточки жителей города N – это тоже умеют, несмотря на наличие ПД на них. И правильно умеют – возможность проведения безакцептного микроплатежа – это крайне удобная и необходимая функция.
Альтернатива персонализированным карточкам есть. Это не париться с изобретением новых сверхзащищённых алгоритмов, а использовать старый проверенный. Платёж наличными – есть частный случай безакцептного перевода. И вероятность что водитель маршрутки внезапно объявит стоимость проезда на восемнадцать рублей больше – не отличается от того, что это же действие совершит настройщик терминала.
Зачем тогда вообще карточка? А это действительно удобно. Она меньше кошелька, при этом её можно настроить только на платежи не выше определённой суммы или только на конкретные операции, например, только транспорт и школьная столовая. Опять же – легче ловить вора, тупо сняв лог платежей после кражи и опросив свидетелей.
Остаётся совсем маленькая проблема. Когда берут больше денег – это видно сразу. Когда снимают со счёта - нет. Но только эта проблема тоже уже решена. Маленький ЖК-экран с суммой остатка. Сколько держат батарейки в современных китайских часах? Года-два? Или уже пять?
А. Ерощев,
специалист по информационной безопасности компании SearchInform
