Мне часто попадаются на форумах в частности, и в Сети в целом посты и топики о том, какая дырявая система Webmoney. Сие вызывает у меня недоумение. Более того, я пользуюсь ей уже около пяти лет, и до сих пор проблем с безопасностью не испытывал.
Как мне это удается? Не многие знают, а те кто знают, почему-то не используют, такую замечательную вещь как E-num. Это уникальная система идентификации пользователя. В том числе работающая с Webmoney. Изначально вы регистрируете свой почтовый ящик в E-num, и привязываете к своему кошельку. В разных типах кошельков этот процесс происходит по разному, я не буду его описывать, но там ничего сложного. Сейчас к е-нуму можно привязать и Classic и Light.
Из картинки на сайте уже примерно понятно, как происходит идентификация. Рассмотрим случай с мобильником в качестве ключа. Сайт запрашивает ваше «мыло» и выдает вам число-вопрос, которое вы вводите у себя в ява-приложении, установленном на телефон. Естественно, его предварительно надо скачать с сайта E-num. Приложение дает вам число-ответ, которое вы вводите на сайте и авторизуетесь. Вот как это выглядит в Webmoney Keeper Light:
Как видите, все просто и удобно. Никаких паролей запоминать не надо. Теперь сломать кошелек уже сложнее, ведь вторая часть «ответ»- вообще не на компьютере! Плюс, злоумышленнику нужно знать ваш рабочий «мыльник». После 5-ти неправильных попыток Webmoney блокируют доступ к сайту на 15 минут, так что подобрать пару не удастся. При постановке приложения на телефон еще приходит SMS с уникальным активационным кодом. При первом запуске приложения вы его вводите. Без него приложение будет врать. Это на случай, если кто-то сможет стырить ваше приложение.
Предвидя вопросы, отвечаю:
— Если я потеряю телефон… — Всегда можно восстановить сим-карту, а на нее получить новый код активации и слить само приложение. В сервисе идет привязка именно к номеру телефона. Восстановление произойдет на ваше «мыло», указанное в енуме.
— Если я потеряю мыльник… — Можно зайти в енум при помощи мобильного и поменять на новый, или добавить к старому новый.
Кроме ява-приложения есть еще два способа авторизации: SMS (тут все ясно, число ответ получается по SMS) и отпечаток пальца. На втором остановимся подробнее.
Минус авторизации по приложению в том, что когда у вас много платежей, заколебывает вводить цифры туда-сюда. Несмотря на то, что там есть QR-код, не каждый телефон способен его распознать. В итоге на n-ном платеже подряд вы возненавидите этот процесс… А если еще ошибаться с набором цифр…
Выход есть! Вход по отпечатку пальца. Некоторые современные ноутбуки уже оснащены подобными считывалками. Если же у вас такой нет, ее легко можно заказать тут. У меня самый простой Eikon Fingerprint за 65 баксов. Пришло из Германии в Брянск за 5 дней. Был очень удивлен скоростью работы почты 🙂
Далее, регаем в енуме свои отпечатки пальцев. Можно хоть все десять. Для параноиков есть возможность задать вход по последовательности пальцев на разных руках. 🙂
Теперь, при входе в Webmoney вы просто выбираете способ авторизации «Отпечаток пальца», проводите пальцем по машинке- и всё! Не надо возиться с цифрами и телефоном. Правда есть и минус, с собой машинку эту особо не поносишь, но к домашнему компьютеру или ноуту прикрутить- без проблем.
Вот, пожалуй и все. Скажу, что пока не читал про случае взлома именно E-num, поэтому пока считаю его наиболее безопасным. Хотя, хакеры умнеют…
Рекомендую всем переходить на этот тип авторизации. Ну и интересно послушать ваши комментарии или вопросы по теме. По возможности отвечу 🙂
