Topic: GOC.io – сервис по оплате услуг за Bitcoin | Вывод BTC,LTC - page 26. (Read 34079 times)

Даже биткоин-кошелёк coinbase использует для двухфакторной авторизации смс-уведомления...

Альфастрахование - имеет банковскую лицензию  Но дело не в этом. Банковские сервисы предоставляет Platron в своем бэкофисе. В частности это работа с платежными поручениями, выплатами и т.п. Сотрудники магазинов используют доступы к этим сервисам, которые, разумеется, должны быть защищены должным образом. Чтобы какой-нибудь сотрудник не оформил себе возврат денег за "товар" через систему денежных переводов в солнечный Таджикистан

Я написал это в предыдущем посте. Но повторю еще раз. Специально для вас, чтобы мы вместе разобрались в сути вопроса, а не бросались пустыми словами направо и налево...

Подтверждать расходные транзакции или доступ на биржу, что по сути тоже является доступом к расходу средств, возможно только, когда телефон в онлайне!

Это сделано специально!
Это так называемая "авторизация транзакции", которую ни в коем случае нельзя производить в оффлайн-режиме.
Любой банк, отправляя SMS для подтверждения платежа, подразумевает, что пользователь, только находясь в онлайне, получит ее. По-другому просто небезопасно. Так делать нельзя!
 
В частности, по этой причине, мы не стали использовать Гугл. Который предоставляет не авторизацию транзакции, а аутентификацию пользователя. Приложение, собственно, так и называется "Google Authenticator"

Аутентификация может быть использована только для подтверждения при доступе к аккаунту (чтобы подобрать логин и пароль было сложнее). Но современные хакеры работают на уровне браузера – подсаживают троян в браузер, который контролирует все, что происходит в браузере. Ему становятся доступны все логины и пароли, а так же платежные формы и остальное. Логины и пароли подбирали в 90-х годах, это – "прошлый век"...

Здесь аутентификация ничем не поможет. Потому, что когда вы будете вводить код из гугловского приложения, вы будете думать, что подтверждаете свою операцию, а в результате подтвердите транзакцию хакера, который подменил форму, находясь в вашем браузере. Причем совершенно незаметно для вас.

Только находясь, в онлайне вы можете быть уверены, что производите собственный платеж.
Вы можете обратиться к любому специалисту, он вам подтвердит мои слова.

P.S.: Возможно эта информация поможет вам так же при использовании Google Authenticator на других сайтах.
Это статейка от очень авторитетного человека:
https://www.schneier.com/blog/archives/2012/02/the_failure_of_2.html

Как я понимаю, вы поставили приложение на смартфон и привязали его (сканировали QR-code и т.п.). Верно?

Подтверждать расходные транзакции или доступ на биржу, что по сути тоже является доступом к расходу средств, возможно только, когда телефон в онлайне. Выведите телефон в онлайн и подтвердите операцию. Страница сама перезагрузится и пустит вас на биржу. Кнопку "Продолжить" нужно нажимать, если страница сама не перезагрузилась после подтверждения на смартфоне.

Это сделано специально!
Это так называемая "авторизация транзакции", которую ни в коем случае нельзя производить в оффлайн-режиме.
Любой банк, отправляя SMS для подтверждения платежа, подразумевает, что пользователь, только находясь в онлайне, получит ее. По-другому просто небезопасно.
 
В частности по этой причине, мы не стали использовать Гугл. Который предоставляет не авторизацию транзакции, а аутентификацию пользователя. Приложение, собственно, так и называется "Google Authenticator"

Аутентификация может быть использована только для подтверждения при доступе к аккаунту (чтобы подобрать логин и пароль было сложнее). Но современные хакеры работают на уровне браузера – подсаживают троян в браузер, который контролирует все, что происходит в браузере. Ему становятся доступны все логины и пароли, а так же платежные формы и остальное. Логины и пароли подбирали в 90-х годах, это – прошлый век  

Здесь аутентификация ничем не поможет. Потому, что когда вы будете вводить код из гугловского приложения, вы будете думать, что подтверждаете свою операцию, а в результате подтвердите транзакцию хакера, который подменил форму, находясь в вашем браузере. Причем совершенно незаметно для вас.

Только находясь, в онлайне вы можете быть уверены, что производите собственный платеж.

Не вижу ни одного банка...

Не впечатляет, от слова совсем.
Это всё слова, с тем же успехом можно сказать, что вы и этот azid.ru - одно и тоже, так как реклама этого "стороннего сервиса" прёт у вас из всех щелей, а действительно независимого сервиса от гугла поносите.

У меня активирована двухфакторная авторизация. Смартфон в оффлайне. На сайт захожу через логин/пароль, затем нажимаю на кнопку биржа и вижу надпись и две кнопки - продолжить и отказаться. Если запустить taplogin показывается код, но куда его вводить не понятно.

Мы знаем разработчиков этого сервиса. Это основатели достаточно крупного росиийского платежного агрегатора http://www.platron.ru
Обратите внимание на клиентов, которые с ними работают...


Эти клиенты используют TapLogin для доступа к финансовым сервисам http://www.platron.ru, в том числе банковским. Это сотрудники компаний, клиенты некоторых магазинов и т.п. Вы можете нажать "Вход" и убедиться в этом.

Мы искали качественное решение, так как знаем, что стандарт в этой области еще не определен. Нам понравился их подход. И компания вполне достойна доверия.

Гугл имеет ряд недостатков, и он не готов работать с нами оперативно. Доделывать фичи и т.п. А в повседневной работе это важно. Поэтому это просто логичный выбор с нашей стороны – более удобный партнер и более качественный сервис.

Поэтому вы точно можете быть уверены, что это не кидалово дворовое какое-нибудь там ...

Когда с таким упорством рекламируют стороннее приложение не может не возникнуть мысль - "это не с проста". Ну кто такие azid.ru со своим taplogin-ом? Мало ли таких *.ru, почему я им должен доверять?

Что многие пользуют мы знаем В том числе по тому, что нормальной альтернативы не было, или об этом не знают другие биржи...
А чем удобнее?

Мы используем TapLogin по двум причинам:

1. Он удобнее, когда есть связь, это 99% случаев (не требуется кодов вводить, только когда связи нет)

2. Он безопаснее, так как подтверждение требуется не только от сервера, но и от самого клиентского приложения, что полностью исключает возможность фрода. У гугла есть все-таки вероятность подделать код в момент ожидания, пока не ввели код, поскольку приложение находится в офлайне. Мы знаем, что хакеры обладают большими вычислительными мощностями. Имея такой арсенал можно справиться задачей.

И все таки, уже высказывались предложения прикрутить гугл аутентификатор. Удобнее и многие уже пользуют.

Ok, обязательно 

Спасибо за отзыв!
Нам очень приятно слышать такие слова

Воспользовался сервисом – удобно. Если комиссии не вырастут – буду пользоваться ещё.

Опубликовали стаканы! Теперь информация о торгах доступна неавторизованным пользователям.
Смотрите по ссылке: https://goc.io/?cmd=x

Коллеги, участились случаи взлома разных крипто-сервисов. Я стал слышать об этом буквально каждую неделю от знакомых, на форумах и т.п.

Тем не менее, практика показывает, что 99.99% случаев компрометации данных для доступа к финансовым системам происходят на компьютере пользователя вследствие заражения вирусами либо небрежности.

Мы ценим ваше доверие к нам!

Настоятельно рекомендуем тем, кто еще не использует, установить Двухфакторную защиту своего аккаунта Это не уменьшит удобства использования, но так вы сможете повысить безопасность до надежного уровня, подтверждая транзакции вывода и доступ к бирже с мобильного телефона.

Чтобы установить защиту зайдите в "профиль"



...далее выберите "Возможности двухфакторной авторизации"



... установите на телефон и привяжите приложение Tap Login, следуя инструкциям. Поддерживаются все модели телефонов. https://www.azid.ru  

OK!