Plată rapidă pe desktop?

Mă gândeam la faza asta zilele trecute. Cumpăratul pe internet pe România e încă mizerabil, că trebuie să introduci cardul de fiecare dată, plus mizeria aia de 3Dsecure, care nu folosește la nimic, dar dacă o dezactivezi banca o va folosi ca scuză pentru a refuza orice dacă va avea ocazia.

Și e ciudat că toate mințile alea luminate din Silicon Valley-ul Europei nu au venit cu o idee care să facă plata mai rapidă. Ceva. Un dongle. Sigur, să-ți salvezi datele în Windows nu e o soluție, n-a fost niciodată, dar e 2018.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 3$

84 comentarii

  1. Pai nu poti sa faci plata aia de pe telefon?

    30
  2. O solutie mai buna ar fi optimizarea 3D secure. Confirmarea tranzactiei se va face prin telefon (fingerprint scan). Tehnic, 3Dsecure trimite notificare catre telefon si menține conexiunea cu serverul deschis real-time (ex websockets). Tu confirmi din telefon, serverul trimite push catre 3dsecure, pagina trece mai departe automat . Metoda e simpla si implementata de netflix, hbo go, facebook pentru confirmarea codurilor de join intre deviceuri.
    Scopul e sa reduci timpul cat trebuie sa introduci codul

    80
  3. Unele password managers includ si optiunea de a salva unul sau mai multe carduri si a le folosi cu 1 click.
    Eu folosesc Dashlane si include asta si eu consider ca e suficient de secure. Oricum e mai bun decat “securitatea” de la unele banci romanesti cu user si parola fixa din 5-6 caractere + coduri transmise prin SMS.

    In rest ai Paypal. Da, e o companie mizerabila si idioata, dar in general serviciul merge ok.

    120
  4. Poate imi scapa ceva, dar de ce e 3DSecure o mizerie si, mai ales, de ce nu foloseste la nimic? E two-factor authentication de fapt, nu?

    Cat despre de ce nu exista inca sistem mai rapid, probabil pentru ca ori ai avea nevoie de hardware nou in laptop (NFC sau ceva sa poti face swipe la card ca la POS) ori trebuie salvat cardul “undeva”, ceea ce sperie oamenii.


    Comentariu apreciat.510
    • Probabil pt ca degeaba o ai daca poti/cineva poate baga cardul pe un site care nu o cere.

      110
    • Daca iti vine sms nu e 2FA.
      E un compromis care miroase a 2FA dar nu e.
      2FA inseamna “ceva ce stii – parola” plus “ceva ce ai asupra ta – token hardware, coduri de unica folosinta sau Google Authenticator sau Authy”.
      Mesajele prin SMS pot fi citite de orice operator telecom, fie un rogue tower, rogue telecom company sau un “state actor”.
      Daca ai nr de telefon si cateva mii de euro sau skilluri de socual engineering … codurile prin SMS nu sunt greu de interceptat.
      Iar parola se obtine cu un troian, un keylogger sau un Man in the Middle attack (retea wireless moka, cu decriptare SSL, inregistrare si recriptare SSL).
      Deci da.. 3dSecure e praf daca ai multi bani de pierdut.

      130
    • 3D secure este o porcarie pentru care are multe neajunsuri. De exemplu, am fost in vacanta peste mari si tari si din anumite motive nu imi functiona roamingul.
      Incearca tu sa platesti bilete de avion sau alte chestii online cand ai o urgenta sau nu ai telefonul la tine.
      Am mai patit sa mi se strice telefonul in deplasare. Cum as fi avut acces la plata cu cardul? Nici macar la banca nu puteam sa sun.


      Comentariu apreciat.220
    • 3DSecure nu merge decat magazinul de unde cumperi il are activ. Daca nu, merge foarte bine fara. Deci e complet inutil.
      Oricum nu am vazut 3DSecure decat pe la magazine de prin europa de est, in vest / US pauza. Un exemplu bun e ca Amazon nu foloseste mizeria inutila.

      80
    • victor: sms nu e 2FA? Prima dată când aud așa o grozăvie. Cică nu-i pentru că poate citi voda sms-urile mele (da, dar voda poate face doar una din cele 2 chestii necesare pentru o plată, deci rămâne 2fa), pentru că rogue tower (100k un stingray, investiție bună dacă vrea unu să îmi cheltuie câteva sute de eur, după care banca îl blochează, pentru că iese din tiparul plăților mele, de una la 2 săptămâni, și din nou, omu’ rogue poate face doar una din 2, trebuie cumva să cunoască și security code-ul, care există doar în mintea mea, l-am răzuit cu lama de pe spatele cardului), sau nu se compară cu codurile de unică folosință sau token, păi hai să mergem pe logica ta, putem codurile la un computerul cuantic cu 48 de qubiți de la IBM, facem reverse engineering, și pac pac avem algoritmul, nici tokenul/google authenticator nu mai sunt ce-au fost, nu sunt 2FA, așa că…

      140
    • @krakatau

      Cash is king.

      190
    • asa e alupigus, ma simt foarte relaxat cu 5 mii de euro in borseta, prin tari straine…

      110
    • Înțeleg argumentul legat de SMS, dar real time SSL decrypt si encrypt fara sa ai cheile?

      40
    • @Alupigus: nu pot sa port cash sutele de mii de euro. Nu intra in rucsac

      50
    • @johnny .. nu ai ce face cu super computere .. codurile 2FA au rate limiting pe server sau le rezolvi cu Burp Suite in 30 secunde.
      Am zis de codurile SMS ca seamana dar nu sunt 2FA.
      Daca nu ma crezi pe mine .. vezi NIST sau citeste niste articole:

      https://krebsonsecurity.com/2016/09/the-limits-of-sms-for-2-factor-authentication/

      https://krebsonsecurity.com/2011/02/google-adds-1-time-passwords-to-gmail-apps/#more-7935

      Un mic citat:
      “hundreds of thousands” of regular users who lost control over their accounts.

      Si problema nu e de ignorat.
      Mii de boti sau diverse armate de echipamente zombi scaneaza permanent de vulnerabilitati.
      Calculatorul ala cuantic de care zici il faci cu un CVE pe Mikrotik in 24 h si un cod de pe github.
      Iar faptul ca nu au parola .. daca ai bafta sa nu repeti parolele. Altfel cazi pe un leak (vezi pe hibp) si din ziua aia robotii vor testa zilnic combinatia ta mail/parola pe toate siteurile din top 100k Alexa.

      Oamenii dau la hectar, nu au de ce sa opreasca botii si scannerele si mistourile pe net nu fac decat sa indeparteze mai multi oameni de o politica decenta de securitate.

      Cu cod prin SMS e de 1000 de ori mai bine decat fara DAR nu e 2 FA curat, exista un risc, nu controlezi 100% toate variabilele.
      Doar cu un token hardware SAU cu o aplicatie instalata SAU cu coduri pregenerate putem vorbi de 2FA.

      00
  5. Chrome insista sa faca asta, dongle sau card e same thing, dar nu as salva cu un copil in casa.

    Dar revenind la esenta problemei: de ce as salva datele cardului pentru plata ramburs?


    Comentariu apreciat.490
  6. Nu în windows, în chrome. Serverele google au reușit să nu fie phishuite, crăckuite sau hăckuite niciodată, prin urmare eu am cardurile salvate în chrome de nu mai știu când, dintotdeauna, aproximativ zero probleme exact. 3d secure e anus contra naturii într-adevăr (contra naturii mele de leneș)

    80
  7. Pe afara se poate plati cu Paypal, tot mai multe magazine de la noi au aceasta optiune.

    30
  8. E o problemă până înveți numărul cardului pe de rost


    Comentariu apreciat.260
  9. In Estonia exista ce cauti tu. Dar ala e statul digital…La noi mai dureaza vreo 50 de ani, asa

    20
  10. am toate datele in chrome si trebuie doar sa introduc codul acela de 3 cifre, deci da e rapid si pe desktop.

    safe nu este, dar nici traversatul strazii in bucuresti nu e sigur.

    160
  11. Exista last pass, dashlane etc unde poti salva datele, sunt cele mai sigure optiuni. iar pe desktop 1pass. Salvarea in browser e o gluma la fel ca 3D secure. Ma distreaza cum “zbieri” ca nu exista ceva care de fapt exista de multi ani.

    50
  12. Apple Pay?

    40
    • Pleaca ma d-aici cu merele tale. Ca sa folosesti apple pay iti trebuie macos si ala nu are tema de Windows 98. Deci pica din start.

      140
  13. sa speram ca o sa ajunga si la noi weChat pana la faza de poti plati prin scanarea unui cod QR

    10
  14. Asa se zicea de desktop-uri acum cativa ani, ca e o platforma moarta etc. Nope, PC master race is still here.

    10
  15. Se poate si este incredibil de simplu. În scandinavia ii zice BankId.
    https://www.bankid.com/en/

    10
  16. Eu folosesc LastPass pentru parole si card. Am o parola foarte complexa pentru masterpass si 2FA.
    Am citit parerilor unor experti in securitate, modul cum lastpass salveaza datele si am incredere in el…. de exemplu nu poti reseta parola si recupera datele daca uiti parola principala pentru ca nu este salvata nicaieri.

    10
  17. desktop este pentru dinozauri, ca noi. in 10 ani, nici nu o sa stie la ce se mai foloseau

  18. Toată lumea îi dă cu parole și date salvate.
    E ca si cum ai lua un chinez să îți bage datele de card tot timpul. Poate funcționa, dar soluția trebuie să vină de la bănci/ procesatori, nu de la boți care bagă date în form.

    30
  19. Google pay ftw

    00
  20. Tocmai ce am platit factura la Enel de pe desktop, prin Chrome (sau Opera in restul timpului). LastPass imi completeaza toate datele in afara de de codul de trei cifre cu care practic confirm. Apoi, daca e activat de magazin, primesc codul 3D Secure prin SMS pe care mi-l afiseaza direct in notificare cand se aprinde telefonul si il scriu dintr-o privire. E foarte rapid. Rezumand, am dat patru clicuri de mouse, si 9 cifre bagate din tastatura. Cam 10 secunde cu tot cu un cascat.

    Protectia cardului si a banilor din cont e cu totul alta discutie.

    00
  21. Mai nou au simplificat codul 3D Secure – l-au facut numai din cifre, literele probabil incurcau unele persoane gen Alupigus. SMS-ul mi-l afiseaza Pushbullet in Chrome, pot sa-l iau copy/paste si sa-l introduc in form sau il bag de mana, nici nu trebuie sa deblochez telefonul.

    70
  22. La dongle ma gândeam și eu, dar nu pentru stocatul cardului (deși și asta ar fi o funcție minunată), ci pentru un ID digital. Aparent pentru un ID digital lucrează deja microsoft și ar mai fi proiectele astea doua: https://selfkey.org/, https://www.thekey.vip/#/homePage

    02
  23. Hai totusi sa promovam si solutii open-source (si gratuite) dovedite sigure. Va prezint Keepass. E cam geeky un pic la inceput, dar dupa ce-l setezi cum trebuie (vezi youtube) si-ti alegi un algoritm de criptare mult mai sigur decat ce are lastpass sau dashlane (nu ca ele nu ar fi deja destul de sigure) apoi totul devine destul de simplu. Keepass pe desktop + dropbox/googledrive/onedrive (pentru sincronizarea fisierului criptat ca sa-l folosesti si pe alte device-uri) + Keepass2Android (sau MiniKeePass pt iphone) si esti gata :)
    Eu folosesc asta de peste doi ani si deja nu mai stiu nicio parola de la niciun cont. Pont: setati keyboard shortcuts pentru autocomplete si pentru generarea/salvarea unei parole noi pentru un cont nou.

    20
  24. In China stiu ca se fac plati cum zici tu. Iar 3d secure, nu e degeaba. O ruda prin Europa de Est, s-a trezit cu SMS-ul, probabil ii clonase cardul cineva. Hare rostul lor toate

    10
    • Si eu m-am trezit cu un SMS de la BCR pentru confirmare plata. Probabil a fost copiat pe undeva, prin lume. Ops, sunat imediat la banca, informat si anulat cardul…

      00
    • sau poate, cum a fost cazul meu nu mai departe de acum cateva zile, am incercat sa fac o plata cu cardul mamei mele. sms-ul am avut surpriza sa mi-l trimita pe numarul pe care nu il mai are tata de 4 ani. probabil proprietarul numarului crede si el ca a fost clonat :D.

      10
  25. Luata dintr-un email primit recent, nu de pe site-uri de stiri:

    “Our investigation, which is now nearing completion, has identified that approximately 10 million records containing personal data may have been accessed in 2017”

    Concluzia: pisa-m-as pe platile voastre electronice si pe salvatul datelor in cloud/online/etc. Si sper ca nu sunteti din aia cu misa altfel kkmas

    50
  26. Unele site-uri accepta mobilpay wallet. Scanezi cu telefonul mobil un cod qr pe ecran si faci plata fara sa pui cardul pe calculator, fara 3d secure fara nimic.

    10
  27. Sa nu se mai …. pe ele bancile si sa accepte apple pay. Apoi se pot integra si pe desktop. Dai check out, pui amprenta pe telefon, gata.

    Mai simplu decat atat nici ca se poate.

    Auzi tu…. dongle… pfff

    10
  28. pentru platile on-line mi-am
    facut card de credit si am scos 3d secure. daca se intampla ceva nasol, sunt banii bancii, ma doare-n penis.

    10
  29. dongle deja există, se numește cheie de securitate FIDO U2F – funcționează touch & go.

    Google (inclusiv Gmail free și GSuite), Facebook și o mulțime de alte servicii permit să folosești asta… dar ăștia la bănci au rămas încuiați în secolul trecut.
    https://www.yubico.com/works-with/catalog/

    00
  30. Masterpass

    00
  31. boss
    pe site-urile netopia poti sa platesti cu mobilpay wallet. face din 2013 ce ceri tu acolo.
    succes

    p.s. poate vorbim putin . ma intereseaza o parere de a ta.

    10

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.

Susținere

Susține acest blog cumpărând de pe eMAG prin acest link sau de la PCGarage prin acest link.