Статьи Новости Контакты

30.05.2008
Игорь Крейн

Защита от несанкционированного доступа в MoneyMail

изучение защиты от несанкционированного доступа к средствам пользователей системы MoneyMail

MoneyMail

Очередная система электронной наличности, которая попала под наше пристальное внимание, — MoneyMail. Обороты этой системы вряд ли можно сравнить с оборотами WebMoney Transfer или «Яндекс.Денег» — они скорее соответствуют таковым в Rupay, — но нас сейчас интересует не популярность и удобство использования системы, а только защищенность денег ее пользователей. И с этой точки зрения MoneyMail производит вовсе не самое плохое впечатление.

Впрочем, обо всем по порядку.

Как и Rupay, MoneyMail предоставляет возможность работы только через веб-интерфейс. При регистрации в MoneyMail требуется ввести основной адрес электронной почты, который будет играть роль логина, пароль входа в систему, дату рождения и регион проживания. Последний параметр весьма условен — MoneyMail ориентирована на работу с гражданами РФ, и выбрать какой-то иной регион на данный момент невозможно. Это не мешает зарегистрироваться в системе подданному другого государства, тем более что для более-менее полноценного пользования ею введенных данных вполне достаточно. Однако возможности этого человека по восстановлению утраченных паролей и доступа к зависшим на электронных счетах средствах будут весьма ограничены, так что следует быть осторожнее.

Регистрация в MoneyMail
Регистрация

После регистрации можно заполнить профиль дополнительными данными, способствующими идентификации интернет-пользователя как гражданина — например, паспортными данными, телефонными номерами, другими ящиками электронной почты.

Сразу по завершении регистрации доступ к аккаунту защищен только одним паролем

Для доступа к аккаунту достаточно ввести основной адрес электронной почты и пароль входа на главной странице сайта системы. Пользователю (или злоумышленнику) дается три попытки ввести правильные логин и пароль, после чего доступ к системе ему блокируется на сутки (судя по поведению системы, блокировка производится по IP-адресу).

Предположим худший вариант: злоумышленник каким-то образом сумел узнать ваш пароль. Если вы не предприняли заранее никаких дополнительных защитных мер, вход злоумышленника в систему под вашим логином будет равносилен получению безраздельного доступа к вашим деньгам. В MoneyMail, однако, настоятельно рекомендуют эти меры предпринять.

Пользователю рекомендуется задействовать ограничение доступа по IP

Первым делом следует непременно воспользоваться функцией ограничения доступа по IP-адресу. И если в системе Rupay эта функция реализована весьма слабенько, а в «Яндекс.Деньгах» она просто отсутствует как класс, то MoneyMail, напротив, предлагает довольно богатый сервис. Во-первых, здесь можно ввести не один IP-адрес, с которого позволяется входить в систему, а целый диапазон адресов, что актуально для тех, кто не платит провайдеру за постоянный IP (то есть для большинства интернетошатающихся). А во-вторых, таких диапазонов при необходимости можно ввести несколько. Это означает, что вы можете не быть привязаны только к одному провайдеру и застраховаться от неожиданной (для вас) смены пула динамических IP-адресов.

Второй способ защиты состоит в активации системы безопасности платежей. Активация этого режима по сути означает, что, даже осуществив вход в систему, злоумышленнику останется только алчно разглядывать многочисленные нули на ваших счетах, потому что для того, чтобы перекинуть ваши деньги к себе, ему понадобится ввести также код платежа.

Система безопасности платежей защищает каждый платеж постоянным или динамическим кодом

Код платежа в MoneyMail — это значительно более широкое понятие, чем платежные пароли в «Яндекс.Деньгах» и Rupay. Конечно, самый простой вариант — генерация системой буквенно-цифрового кода (что-то вроде 3WrzDZywkWS или JxJhZyauZ2), который требуется вводить каждый раз при осуществлении платежа, — по сути своей мало отличается от своих аналогов в конкурентных системах. Разве что запомнить такой код довольно трудно, а значит, его придется где-то записать (такую рекомендацию, собственно, и дает система при выборе этой опции). Но в MoneyMail предусмотрены и два более изощренных способа защиты.

Первый из них заключается в получении так называемой ключ-карты — своеобразной таблицы с числами. При каждой попытке совершить платеж система указывает координаты четырех чисел в этой таблице, которые пользователю придется перемножать. Результатом этой операции и будет код платежа.

Активация системы защиты платежей по ключ-карте в MoneyMail
Активация системы защиты платежей по ключ-карте

Второй из продвинутых способов защиты платежей состоит в получении от системы SMS-сообщений с кодами. Для этого в MoneyMail придется зарегистрировать хотя бы один мобильный телефон и подтвердить себя как его владельца.

Очевидно, что с точки зрения безопасности эти два способа представляются более предпочтительными, поскольку предполагают использование динамического кода платежа. Таким образом, чтобы добраться до ваших денег, злоумышленнику придется завладеть либо ключ-картой, либо сотовым аппаратом. Что же касается удобства, то вариант с таблицей трудно назвать дружественным. (В связи с этим нельзя не вспомнить о E-num-авторизации, которая доступна для пользователей системы WebMoney. Здесь также требуется вычислять код, однако вычисления ложатся исключительно на плечи электроники в виде мобильного телефона. Кроме того, эти вычисления требуется производить только при входе в систему, а не при каждом платеже.)

Как видим, возможности системы MoneyMail по защите доступа к сбережениям пользователей достаточно широки. И все же следует принимать во внимание то, что у каждого вида защиты имеются свои слабые места. Нерасторопный пользователь может забыть пароль входа, потерять ключ-карту и мобильный телефон или сменить провайдера, забыв заранее отключить ограничение по IP. Все эти проблемы должны в системе каким-то образом решаться, а значит, любой из вышеперечисленных видов защит надо уметь отключать. Именно в этих местах злоумышленник и будет проверять систему на прочность.

Пробить защиту пользователя со статусом «Доверенный» очень непросто

Надо отметить, что во многих случаях снять защиту ему будет очень непросто. Дело в том, что в системе MoneyMail важную роль играет статус пользователя. Первоначально пользователь имеет статус «Анонимный», однако ему может быть присвоен и статус «Доверенный». Для этого пользователю требуется заполнить все поля в профиле (ФИО, серия и номер паспорта и тому подобное) и подать соответствующую заявку, которая в конечном итоге влечет за собой подписание бумажных документов. (Нерезиденты РФ такого удовольствия лишены.)

Так вот, чтобы отключить ту или иную защиту, пользователь должен иметь статус «Доверенный». В качестве примера рассмотрим ограничение доступа по IP-адресу. При добавлении доверенных IP-адресов пользователя предупреждают о том, что он не сможет войти в систему с компьютера, имеющего другой IP, и что администрация MoneyMail не сможет снять это ограничение «ни при каких обстоятельствах». Это, однако, не соответствует действительности, поскольку в FAQ по системе написано нечто менее категоричное. А именно, что если связаться с администрацией, то вопрос о снятии блокировки может быть решен. Но для этого пользователю надо либо иметь статус «Доверенный», либо подать заявление на получение такого статуса, который будет присвоен ему через 45 дней, если никто другой не предъявит прав на его аккаунт.

Точно так же статус доверенного пользователя нужен для восстановления доступа после утраты кода платежа, ключ-карты или мобильного телефона (впрочем, услуга по рассылке кодов платежей по SMS и так доступна только для доверенных пользователей системы). Снятие защиты происходит после предъявления соответствующего заявления, которое должно быть лично принесено в офис компании либо же выслано по почте, будучи предварительно заверенным у нотариуса. Таким образом, фактически происходит аутентификация пользователя системы.

Как видим, если человек заранее озаботился получением статуса «Доверенный» и задействовал какой-то из видов защиты, его электронные деньги в MoneyMail будут весьма надежно защищены от посягательств со стороны. При отсутствии такого статуса у пользователя есть возможность этот статус получить — если он является гражданином России. Можно также предположить, что злоумышленник, захвативший доступ к чужому анонимному аккаунту, попытается отключить систему безопасности платежей, подав заявку на получение статуса «Доверенный». Но в такой сценарий довольно трудно поверить, поскольку, во-первых, это связано с потерей злоумышленником анонимности, а во-вторых, провернуть подобную аферу вряд ли удастся более одного раза.

Восстановление доступа при забытом пароле входа производится под контролем оператора

Что же касается первого шага — входа в систему под чужим логином, — то злоумышленник может попытаться выдать себя за пользователя, забывшего пароль входа. Но и этот этап связан с определенными трудностями. Дело в том, что процедура восстановления этого пароля предусматривает ввод следующих данных: основной адрес электронной почты, ФИО, дата рождения, контактный телефон, время для связи по этому телефону, а также примерное время последнего входа в систему. Иными словами, никакого автоматического восстановления доступа в MoneyMail нет, а все производится под контролем оператора.

Восстановление пароля входа в MoneyMail
Восстановление пароля входа

Тут, впрочем, следует понимать, что из всех этих полей только два заполняются пользователем в обязательном порядке при регистрации — адрес электронной почты и дата рождения. Электронный адрес является также логином и основным идентификатором в системе, а потому не может считаться секретной информацией, ну а дату рождения можно назвать условно секретным параметром. Так что при определенных обстоятельствах злоумышленник вполне может получить доступ к аккаунту. Ну а дальше, если пользователь оказался настолько небрежен, что не включил ни один из видов предлагающихся в MoneyMail защит, о своих электронных деньгах он может забыть.

Подводя итоги, можно сказать, что MoneyMail предлагает достаточно надежную защиту от несанкционированного доступа, однако наиболее эффективные элементы этой защиты пользователю требуется специально активировать. Принимая во внимание человеческий фактор, можно предположить, что значительная часть пользователей системы обходится без защиты. Отдельно следует отметить, что, защищая средства пользователя от чужих, система создает массу неудобств и их законному владельцу, в случае если тот сам утратит доступ к своим деньгам.




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2018 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100