Skocz do linków, Skocz do treści

Innowacji w dziedzinie haseł ciąg dalszy

27 stycznia 2006 14:17. Autor: Robert Drózd. Komentarze (6) »

Wspominałem niedawno o serwisie ING, który blokuje konto po trzech próbach podania hasła. Amerykański oddział tej instytucji ma jeszcze „lepsze” pomysły.

Ostatnio zdarzają się oszustwa polegające na przechwyceniu hasła wpisywanego z klawiatury, przy użyciu tzw. keyloggerów. Dlatego na stronach ING Direct mamy obrazkowy panel do wpisywania numeru PIN. Można go obsługiwać myszką lub klawiaturą. Jednak w tym drugim przypadku nie wolno nam wpisywać samego PIN-u, a jedynie litery z obrazka, które odpowiadają cyfrom z PIN.

Wirtualna klawiatura w ING Direct

Pomijając oczywiste problemy dostępności – taka metoda wymaga zwiększonej uwagi za każdym razem, gdy logujemy się na konto. Ponieważ hasło za każdym razem jest inne, nie można też korzystać z automatów do wypełniania haseł – takich jak te wbudowane w przeglądarki, lub w osobnych programach typu RoboForm.

Jeden z uczestników listy Interaction Designers skomentował ten pomysł następująco:

Yeah, as a user of ING I find their login super annoying … they’ve always had the most difficult login of all my financial institutions, but this on-screen revolving keyboard thing has taken the insanity to a new level … I mean, come on … honestly … it’s part of the reason I only have a simple savings account with them and not more accounts.

Podobne artykuły:

Być może zainteresują Cię następujące artykuły:

Zapisz się na kanał RSS bloga i dołącz do ponad 1500 czytelników RSS.

Zostań fanem WebAudit na Facebooku.

Komentarze czytelników

Śledź komentarze do tego artykułu: format RSS
  1. porneL

    Na szczęście mBank od początku ma system działający bez żadnych cyrków. Działa zapamiętywanie haseł, nie wymagają instalacji żadnych ActiveXów i nie wybrzydzają na różne przeglądarki. I właśnie tam mam swoje puste konto :D

  2. Marcin Jagodziński

    a np. millenium jakie ma urocze systemy? hasła z samych cyfr, żeby było je łatwiej zapomnieć (człowiekowi) i odgadnąć (maszynie)?

  3. Paweł Tkaczyk

    A ja mam BPH i nie narzekam — login cyfrowy (jak nr tel.), hasło własne (ale z odpowiednimi restrykcjami). Ale za to jedna para login/hasło do kilku kont (np. firmowego, prywatnego i maklerskiego).

    Wracając do wpisu Roberta. W Ameryce po prostu keyloggery są zmorą niedoświadczonych użytkowników. Plus tam jest dużo więcej osób, które będą obwiniać bank za swoją ignorancję. Trudno się dziwić, że administratorzy robią, co mogą, żeby utrudnić życie crackerom. IMO nie tędy droga — trzeba edukować użytkowników. Tylko, że zawsze znajdzie się ktoś, kto chce mieć „wszystko działające bez czytania instrukcji”.

  4. Michał Fikus (Weirdo)

    Może jest to irytujące, ale jeśli ma to być koszt przez ewentualną kradzieżą pieniędzy (czasami pokaźnych sum) to ja ich popieram.

    Jednakże złotym środkiem byłaby możliwość konfiguracji procesu logowania weług osobistych preferencji.

    Przy zakładaniu konta bylibyśmy poinformowani w jaki sposób będzie przebiegało domyślne logowanie. Tu bank mógłby zaznaczyć w jakim celu są takie utrudnienia – by uzmysłowić użytkownikom niebezpieczeństwo.
    Lecz jeżeli użytkownik stwierdzi, że to mu z jakichś bliżej nie określonych przyczyn (np. użytkownik niewidomy, zaawansowany użytkownik bezpiecznego OS z bezpieczną przeglądarką [obejdę się bez kryptoreklamy :P]) nie odpowiada, to wybiera alternatywny sposób logowania.

    W ten sposób bank buduje pozytywny wizerunek wśród klientów – pokazuje, iż o nich dba. Nie naraża się także na złe opinie ze względu na nie wygodę – w końcu klient decyduje jak chce się logować. I wszyscy powinni być zadowoleni – nawet Ci (jak to ujął Paweł powyżej) „którzy chcą mieć ‚wszystko działające bez czytania instrukcji'”.

  5. Mikołaj

    Podobną metodę ma u nas Kredyt Bank. Pojawia się klawiatura (IE only) ze zmiennym układem liter – po prostu rewelacja :)

  6. Hykiqero

    digital camera pentax ist ds camera child digital fisher price

Zostaw komentarz

W komentarzu można (choć nie trzeba) używać podstawowych znaczników XHTML. Komentarze zawierające w podpisie słowa kluczowe mogą zostać potraktowane jako spam i usunięte.