Зачем Webmoney ввели параноидальные настройки безопасности?

Сначала WebMoney отказалось осуществлять переводы платежей, пока я не подтвержу свой телефонный номер (по SMS). После того, как я заходил с нескольких IP (каждый раз мне присылалось письмо о том, что мой WMID заблокирован (на e-mail). Наконец новый раз зашедши с авторизованного IP система решила что «Зафиксированы признаки попыток несанкционированного доступа к управлению Вашим WMID!» и решила, что каждая моя транзакция должна осуществляться с подтверждением по SMS (чего мне не нужно при каждом платеже SMS-ку отсылать). Пришлось отсылать 2 раза еще SMS чтобы отключить эту «фичу». Доколе?

С Яндекс Деньгами другая крайность (специально настройки везде по дефолту) — в ящик логинюсь с 'запомненным' в кукисах паролем. И перевод осуществляется с 'запомненным' в кукисах браузера платежным паролем (меня не спрашивая). Так что украсть у меня ЯД проще, чем отобрать у ребенка конфету.

Комментарий представителя компании

  • Контекст комментария

    Николай Кугаевский dudes.io / D³

    Платежный пароль в Яндекс.Деньгах не запоминается «в кукисах» и каждая финансовая транзакция должна быть подтверждена его вводом. Возможно, у вас включено автозаполнение пароля средствами браузера. В таком случае просто выключите его для сайта Яндекс.Денег в настройках браузера. Если опасаетесь за сохранность своего платежного пароля, можете попробовать перейти на усиленную авторизацию по одноразовым паролям.

Лучшие комментарии

  • Контекст комментария

    Vasiliy Leonov

    участились случаи угона ВМ трояном с рабочей машины, так что ничем кроме мобильного защититься нельзя. приятного мало, но это вынужденная мера ЯД — да. гораздо проще

Добавить 26 комментариев

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    Если кто-то понял, будьте добры, поясните, что такое «запомненный в кукисах пароль»? Может, автор про функцию запоминания пароля браузером (это абсолютно не про куки, если что)?

  • Ответить

    kukutz, в сookie, как и SOL, может поставить галочку не спрашивать что-либо у пользователя в следующий раз. Может вполне работать и без механизма запоминания пароля, но я не думаю, что Яндекс стал бы реализовывать это для такой щепитильной инфы, как платежный пароль.

  • Ответить
    Борис Лифановский ClassicalMusicNews.Ru

    Возможно, если использовать функцию запоминания пароля в браузере, все и работает так, как рассказано. Но я эту функцию не использую — и у меня всегда спрашивают платежный пароль.

  • Ответить
    Альтер Эго

    думаете без SMS в вебмани лучше зашита, чем с кукисами ЯДа? Поверьте мне, я лишился денег как-то без енума, не моргнув и глазом. Это видимость защиты. Включите енум с приложением (приложение на телефон) и никакие смс не будут беспокоить.

  • Ответить

    Платежный пароль в Яндекс.Деньгах не запоминается «в кукисах» и каждая финансовая транзакция должна быть подтверждена его вводом. Возможно, у вас включено автозаполнение пароля средствами браузера. В таком случае просто выключите его для сайта Яндекс.Денег в настройках браузера. Если опасаетесь за сохранность своего платежного пароля, можете попробовать перейти на усиленную авторизацию по одноразовым паролям.

  • Ответить
    Альтер Эго

    > Возможно, у вас включено автозаполнение пароля средствами браузера. В таком случае просто выключите его для сайта Яндекс.Денег в настройках браузера. Разработчики ЯДа, видимо, не в курсе, как сделать так, чтобы браузеры совсем не предлагали запомнить их пароль. Также они, видимо, не в курсе того, что все современные вирусы одной из своих функций имеют воровство все запомненных браузерами паролей. Это, в целом, хорошо характеризует отношение сотрудников ЯДа к безопасности их клиентов — «нужна безопасность — занимайтесь ей сами».

  • Ответить

    участились случаи угона ВМ трояном с рабочей машины, так что ничем кроме мобильного защититься нельзя. приятного мало, но это вынужденная мера ЯД — да. гораздо проще

  • Ответить
    ilyak организация, способная на многое

    Если честно, я предпочту заниматься безопасностью сам, нежели чтобы ей занимались за меня. Потому что «за меня» проще мне просто всё запретить, и забыть про мои проблемы. «- Вы и есть за меня будете? — Ага!» Я вот вебманями не пользуюсь потому, что сдуру завёл classic, а на light с него вообще никакой процедуры не предусмотрено. Вообще, судя по рассказам про вебмани, основная их проблема — нет вообще никакой блок-схемы, которая объясняла бы, когда что вам можно и как перейти из одного состояния в другое. В результате есть куча тупиковых состояний, из которых можно выйти с помощью саппорта только. Причём те могут помочь, а могут не помочь. У них тоже — есть рычаги, но нет общего алгоритма — что можно, что нельзя. Мне так почему-то показалось.

  • Ответить

    @Alter Ego 20.12.2010 12:04:28 Разработчики в курсе, но, как справедливо заметил ilyak в следующем комментарии, многие пользователи сами хотят решать что им важнее: удобство (автозаполнение платежного пароля) или безопасность. В любом случае, спасибо за ваше мнение. Взвесим все за и против подобного решения и, возможно, отключим запоминалку.

  • Ответить
    Альтер Эго

    Интеллектуальное большинство ™ начинает задумываться о безопасности только когда у них уведут все деньги с кошелька. Не знаю ни одной крупной ПС, которая позволяла бы браузерам запоминать пароли к себе в password managerе. Видимо, они уже давно взвесили все «за» и «против».

  • Ответить

    Знаю один весьма популярный в России браузер, который всегда предлагает сохранять пароли на сайтах, независимо от используемого в крупных ПС методах запрещения данного действа. А также знаю несколько крупных ПС, которые данный метод не используют, и таки позволяют запоминать пароли в хранилище браузера.

  • Ответить
    Альтер Эго

    Для кого параноидальная, а по мне так единственная возможность спать спокойно. Кому надо телефон пополнять или голоса Вконтакте покупать пусть таки «непараноидальным» ЯДом и пользуются, а кто хоть какой бизнес ведет сами включили себе все эти настройки еще весной, как только ВМ возможность предоставили.

  • Ответить
    ilyak организация, способная на многое

    А недостаточно делать input-у каждый раз новый name, чтобы не запоминало? Мне вот никогда не надо было бизнес вести, поэтому WM меня и отпугнул, видимо. Если они вообще не хотят вести дел с аудиторией, которая хочет по мелочи платить-переводить, а не торговать-фрилансить — так бы честно и сказали.

  • Ответить
    Альтер Эго

    Какая версия оперы? После 7й версии она вполне нормально поддерживает autocomplete="off" http://stackoverflow.com/questions/3868299/is-autocomplete-off-compatible-with-all-modern-browsers Moneybookers действительно не отключают сохранение пароля, но там хотя бы капчу при авторизации вводить надо.

  • Ответить

    Stackoverflow, конечно, глубоко уважаемый мною ресурс, но если вы сами попробуете последней stable-версией Opera (одиннадцатой, сдается мне) аутентифицироваться на paypal.com, то станете доверять ответам на нем немного меньше.

  • Ответить
    Альтер Эго

    На пейпале автоматически подставляется только логин, пароль можно добавить в оперовский менеджер (который кстати шифруется) лишь сознательно клацнув на его сохранение.

  • Ответить

    Перечитайте, пожалуйста, предыдущие комментарии. Мы тут о чем толкуем? Любой менеджер паролей браузера предлагает сохранить пароль, предлагая пользователю сознательно клацнуть на сохранение. Так вот атрибут autocomplete="off" у поля ввода пароля позволяет сообщить браузеру, что визард сохранения пароля выводить не требуется (а следовательно и сохранять его тоже). Opera этот атрибут игнорирует, выводя визард даже в этом случае и предлагая пользователю сознательно сохранить пароль в своем шифрованном хранилище. Кстати, шифруется оно в достаточной мере только при установке на него мастер-пароля в отличие от более православных браузеров.

  • Ответить

    2 kugaevsky не слушайте всяких альтер эгов- которые почему то думают что все хотят чтоб «за них ели» У ЯД — все очень хорошо сделано и не надо ухудшать, лучшее-враг хорошего. Например Сбер сделал запрет на автоподстановку пароля. И потому пользоваться сайтом сбера (сбербанк-онлайн) — это сущее мучение, ну разве что раз в мес можно себя заставить, и то по очень большой необходимости. ЯД — тем и хорош что он удобен, и им можно пользоваться каждый день для мелких платежей. В общем паранойя — это путь к потери аудитории, как говорили мудрые: «Будьте проще и люди к вам потянуться» :)

  • Ответить
    Альтер Эго

    >>>ЯД — тем и хорош что он удобен, и им можно пользоваться каждый день для мелких платежей. >>>В общем паранойя — это путь к потери аудитории Ну разве только той аудитории, потребности которой исчерпываются теми самыми мелкими платежами. ;)) Те кто оперирует мало мальски серьезными суммами в сети, а если эти суммы еще и приходится держать там, не выводя тут же, думаю, все эти люди перекрестились трижды и может даже кто и свечку в церковь побежал поставить, когда ввели возможность подтверждать переводы через смс или e-num. :))

  • Ответить
    ilyak организация, способная на многое

    Ещё раз повторю. Зачем считать «аудиторию с мелкими платежами» людьми второго сорта? Если это официальная политика WebMoney — «аудитория с мелкими платежами нам неважна, пусть мучаются» — то надо так и сказать честно.