Portmone.com.ua - платіжна система через інтернет

Лично я и дальше собираюсь оплачивать счета через Портмоне (вот только открою счёт НЕ в ПриватБанке ), но никогда не буду этого делать через свою основную карту и держать на рабочей карте буду только столько, сколько нужно для оплаты исключительно текущих счетов.

Забыл самое главное! Я никогда не буду использовать для Портмоне пароли, которые я обычно использую для других случаев

macprok, спасибо за сообщение!

Действительно вопрос интересный. Да, действительно, в свое время, процедура смены пароля на Portmone.com была изменена. Вместо обычной процедуры сброса пароля было принято решение дешифровать и высылать старый пароль по почте.

Безусловно, как и в любой системе пароли не хранятся в открытом виде, а шифруются 3DES-ом. (как минимум это требование PCI DSS). Но, по опыту столкнулись с большим кол-вом, как бы так сказать... неподготовленных пользователей, который путались в старых и временных паролях.

В конце концов, это стало напрягать и скрепя сердце, было принято компромиссное решение - совершенно отдельным сервисным процессом, с отдельными грантами, с отдельным аудитом и лимитами, производится дешифрация пароля и отправляется по email клиенту.

Т.к. действительно это некоторое ослабление безопасности, то был использован ряд компенсирующих мер, как одна из них - отправляется только пароль без логина т.е. перехват пароля не приводит к компрометация экаунта(ну и не считая того, что для оплаты требуется CVV2 код).

Но, тем не менее согласны - это не совсем красиво. По этому, по Вашему замечанию, сегодня процедура смены пароля была восстановлена. Сейчас при запросе на забытый пароль :
1. Производится сборос пароля на новый, сгенерированный случайно, и он отправляется клиенту по email (обращаю Ваше внимание, что пароль отправляется в открытом виде)
2. В письме клиенту предлагается зайти с этим временным, новым паролем и сменить его на новый, собственный.


Комментарий:
- Временные ссылки решили не использовать. Мы специально отправляем email-ы в TXT формате, и наличие http ссылки - потенциальная фишинг-угроза. Хоть это и не совсем удобно - безопаснее вводить адрес сайта самостоятельно.
- Временность ссылки не является само по себе безопасным решением, т.к. всегда нужно рассчитывать что информацию перехватывается
- Перехват нового, временного пароля не приводит к компроментации экаунта, т.к. не известен логин.

Еще раз спасибо за замечание. В знак благодарности - с нас бесплатное пользование системой в течении 6-сти месяцев. Пришлите пож. в личку свой логин, мы зачислим в Ваш баланс бонусную сумму по компенсации 6 абонплат.

Если будет пожаления/зачечания к работе нашего сервиса - обращайтесь. Всегда будем рады!

С уважением,
Portmone.com

Сколько эмоций Только почему никто не думает, что пароли могут хранится не в виде хэша, а в закриптованом виде. И обратно он просто раскриптовывается на сервере. База такая с номерами карт и паролями скорее всего на какой-то PCI железке. То что пароль высылают в читом виде конечно их лажа. А в остальном я бы не стал так беспокоиться.

Позвольте вставить свои пять копеек.
Безопасность в интернете (если это не липовая контора) во много раз выше, чем при оплате карточкой в супермаркете (например). Номер вашей карты без CVV2 ничего не даст. Даже если взломать аккаунт на портмоне, достать деньги оттуда не получится.

timov

Достать на получится, а использовать не по назначению?

Тысяча вариантов CVV из трех цифр… В худшем случае!
В лучшем случае — за десять попыток можно справиться.
Не рассматриваем вариант, когда за ошибочным вводом
следует пауза, достаточная для того, чтобы владелец
вновь что-нибудь оплатил, и сбросил счетчик ошибок.
Таким образом можно перебрать все комбинации CVV.
Виртуальная клавиатура обходится в два счета.
Картинки кнопок не капча — распознавать можно даже
по контрольным суммам. Джаваскрипт — тоже не проблема.
Пополняем какой-нибудь припейд на все деньги.
Продаём пополнения за полцены.
Всё.

Когда, спустя время, я лупану Портмоне по этой схеме… хм, будет смешно.

Тысяча вариантов CVV из трех цифр… В худшем случае!
В лучшем случае — за десять попыток можно справиться.
Не рассматриваем вариант, когда за ошибочным вводом
следует пауза, достаточная для того, чтобы владелец
вновь что-нибудь оплатил, и сбросил счетчик ошибок.
Таким образом можно перебрать все комбинации CVV.
Виртуальная клавиатура обходится в два счета.
Картинки кнопок не капча — распознавать можно даже
по контрольным суммам. Джаваскрипт — тоже не проблема.
Пополняем какой-нибудь припейд на все деньги.
Продаём пополнения за полцены.
Всё.

Когда, спустя время, я лупану Портмоне по этой схеме… хм, будет смешно.

"Попытайтесь быть хотя бы немного добрее — и вы увидите, что окажетесь не в состоянии совершить дурной поступок. " (c) Конфуций

Чи можна у вас платити доларовою карткою неукраїнського банку?

Деякі компанії можуть встановлювати ліміти, наприкалад на мобільні оператори зараз не можливо, а взагалі то треба дивитися на яку компанію ви хочете сплачувати.

MAZAFAKA, вы забыли, что вам нужен номер карты. С таким подходом вы могли бы ломануть много магазинов, вот только (не обижайтесь), но придумали эту систему люди хитрее. Жизни не хватит, чтобы подобрать код, а вашу активность сразу же заметят.