Plată rapidă pe desktop?

Mă gândeam la faza asta zilele trecute. Cumpăratul pe internet pe România e încă mizerabil, că trebuie să introduci cardul de fiecare dată, plus mizeria aia de 3Dsecure, care nu folosește la nimic, dar dacă o dezactivezi banca o va folosi ca scuză pentru a refuza orice dacă va avea ocazia.

Și e ciudat că toate mințile alea luminate din Silicon Valley-ul Europei nu au venit cu o idee care să facă plata mai rapidă. Ceva. Un dongle. Sigur, să-ți salvezi datele în Windows nu e o soluție, n-a fost niciodată, dar e 2018.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 3$

84 comentarii

  1. Pai nu poti sa faci plata aia de pe telefon?

    Thumb up 3 Thumb down 7
  2. O solutie mai buna ar fi optimizarea 3D secure. Confirmarea tranzactiei se va face prin telefon (fingerprint scan). Tehnic, 3Dsecure trimite notificare catre telefon si menține conexiunea cu serverul deschis real-time (ex websockets). Tu confirmi din telefon, serverul trimite push catre 3dsecure, pagina trece mai departe automat . Metoda e simpla si implementata de netflix, hbo go, facebook pentru confirmarea codurilor de join intre deviceuri.
    Scopul e sa reduci timpul cat trebuie sa introduci codul

    Thumb up 8 Thumb down 6
  3. Unele password managers includ si optiunea de a salva unul sau mai multe carduri si a le folosi cu 1 click.
    Eu folosesc Dashlane si include asta si eu consider ca e suficient de secure. Oricum e mai bun decat “securitatea” de la unele banci romanesti cu user si parola fixa din 5-6 caractere + coduri transmise prin SMS.

    In rest ai Paypal. Da, e o companie mizerabila si idioata, dar in general serviciul merge ok.

    Thumb up 12 Thumb down 9
  4. Poate imi scapa ceva, dar de ce e 3DSecure o mizerie si, mai ales, de ce nu foloseste la nimic? E two-factor authentication de fapt, nu?

    Cat despre de ce nu exista inca sistem mai rapid, probabil pentru ca ori ai avea nevoie de hardware nou in laptop (NFC sau ceva sa poti face swipe la card ca la POS) ori trebuie salvat cardul “undeva”, ceea ce sperie oamenii.


    Comentariu apreciat. Thumb up 51 Thumb down 2
    • Probabil pt ca degeaba o ai daca poti/cineva poate baga cardul pe un site care nu o cere.

      Thumb up 11 Thumb down 1
    • Daca iti vine sms nu e 2FA.
      E un compromis care miroase a 2FA dar nu e.
      2FA inseamna “ceva ce stii – parola” plus “ceva ce ai asupra ta – token hardware, coduri de unica folosinta sau Google Authenticator sau Authy”.
      Mesajele prin SMS pot fi citite de orice operator telecom, fie un rogue tower, rogue telecom company sau un “state actor”.
      Daca ai nr de telefon si cateva mii de euro sau skilluri de socual engineering … codurile prin SMS nu sunt greu de interceptat.
      Iar parola se obtine cu un troian, un keylogger sau un Man in the Middle attack (retea wireless moka, cu decriptare SSL, inregistrare si recriptare SSL).
      Deci da.. 3dSecure e praf daca ai multi bani de pierdut.


      Comentariu indecis. Tu ce zici? Thumb up 13 Thumb down 26
    • 3D secure este o porcarie pentru care are multe neajunsuri. De exemplu, am fost in vacanta peste mari si tari si din anumite motive nu imi functiona roamingul.
      Incearca tu sa platesti bilete de avion sau alte chestii online cand ai o urgenta sau nu ai telefonul la tine.
      Am mai patit sa mi se strice telefonul in deplasare. Cum as fi avut acces la plata cu cardul? Nici macar la banca nu puteam sa sun.

      Thumb up 22 Thumb down 4
    • 3DSecure nu merge decat magazinul de unde cumperi il are activ. Daca nu, merge foarte bine fara. Deci e complet inutil.
      Oricum nu am vazut 3DSecure decat pe la magazine de prin europa de est, in vest / US pauza. Un exemplu bun e ca Amazon nu foloseste mizeria inutila.

      Thumb up 8 Thumb down 5
    • victor: sms nu e 2FA? Prima dată când aud așa o grozăvie. Cică nu-i pentru că poate citi voda sms-urile mele (da, dar voda poate face doar una din cele 2 chestii necesare pentru o plată, deci rămâne 2fa), pentru că rogue tower (100k un stingray, investiție bună dacă vrea unu să îmi cheltuie câteva sute de eur, după care banca îl blochează, pentru că iese din tiparul plăților mele, de una la 2 săptămâni, și din nou, omu’ rogue poate face doar una din 2, trebuie cumva să cunoască și security code-ul, care există doar în mintea mea, l-am răzuit cu lama de pe spatele cardului), sau nu se compară cu codurile de unică folosință sau token, păi hai să mergem pe logica ta, putem codurile la un computerul cuantic cu 48 de qubiți de la IBM, facem reverse engineering, și pac pac avem algoritmul, nici tokenul/google authenticator nu mai sunt ce-au fost, nu sunt 2FA, așa că…

      Thumb up 14 Thumb down 1
    • @krakatau

      Cash is king.


      Comentariu indecis. Tu ce zici? Thumb up 19 Thumb down 13
    • asa e alupigus, ma simt foarte relaxat cu 5 mii de euro in borseta, prin tari straine…

      Thumb up 11 Thumb down 3
    • Înțeleg argumentul legat de SMS, dar real time SSL decrypt si encrypt fara sa ai cheile?

      Thumb up 4 Thumb down 1
    • @Alupigus: nu pot sa port cash sutele de mii de euro. Nu intra in rucsac

      Thumb up 5 Thumb down 3
    • @johnny .. nu ai ce face cu super computere .. codurile 2FA au rate limiting pe server sau le rezolvi cu Burp Suite in 30 secunde.
      Am zis de codurile SMS ca seamana dar nu sunt 2FA.
      Daca nu ma crezi pe mine .. vezi NIST sau citeste niste articole:

      https://krebsonsecurity.com/2016/09/the-limits-of-sms-for-2-factor-authentication/

      https://krebsonsecurity.com/2011/02/google-adds-1-time-passwords-to-gmail-apps/#more-7935

      Un mic citat:
      “hundreds of thousands” of regular users who lost control over their accounts.

      Si problema nu e de ignorat.
      Mii de boti sau diverse armate de echipamente zombi scaneaza permanent de vulnerabilitati.
      Calculatorul ala cuantic de care zici il faci cu un CVE pe Mikrotik in 24 h si un cod de pe github.
      Iar faptul ca nu au parola .. daca ai bafta sa nu repeti parolele. Altfel cazi pe un leak (vezi pe hibp) si din ziua aia robotii vor testa zilnic combinatia ta mail/parola pe toate siteurile din top 100k Alexa.

      Oamenii dau la hectar, nu au de ce sa opreasca botii si scannerele si mistourile pe net nu fac decat sa indeparteze mai multi oameni de o politica decenta de securitate.

      Cu cod prin SMS e de 1000 de ori mai bine decat fara DAR nu e 2 FA curat, exista un risc, nu controlezi 100% toate variabilele.
      Doar cu un token hardware SAU cu o aplicatie instalata SAU cu coduri pregenerate putem vorbi de 2FA.

      Thumb up 0 Thumb down 2
  5. Chrome insista sa faca asta, dongle sau card e same thing, dar nu as salva cu un copil in casa.

    Dar revenind la esenta problemei: de ce as salva datele cardului pentru plata ramburs?


    Comentariu apreciat. Thumb up 49 Thumb down 0
  6. Nu în windows, în chrome. Serverele google au reușit să nu fie phishuite, crăckuite sau hăckuite niciodată, prin urmare eu am cardurile salvate în chrome de nu mai știu când, dintotdeauna, aproximativ zero probleme exact. 3d secure e anus contra naturii într-adevăr (contra naturii mele de leneș)

    Thumb up 8 Thumb down 12
  7. Pe afara se poate plati cu Paypal, tot mai multe magazine de la noi au aceasta optiune.

    Thumb up 3 Thumb down 5
  8. E o problemă până înveți numărul cardului pe de rost


    Comentariu apreciat. Thumb up 26 Thumb down 1
  9. In Estonia exista ce cauti tu. Dar ala e statul digital…La noi mai dureaza vreo 50 de ani, asa

    Thumb up 2 Thumb down 7
  10. am toate datele in chrome si trebuie doar sa introduc codul acela de 3 cifre, deci da e rapid si pe desktop.

    safe nu este, dar nici traversatul strazii in bucuresti nu e sigur.

    Thumb up 16 Thumb down 3
  11. Paypal?

    Thumb up 3 Thumb down 1
  12. Exista last pass, dashlane etc unde poti salva datele, sunt cele mai sigure optiuni. iar pe desktop 1pass. Salvarea in browser e o gluma la fel ca 3D secure. Ma distreaza cum “zbieri” ca nu exista ceva care de fapt exista de multi ani.

    Thumb up 5 Thumb down 0
  13. Apple Pay?

    Thumb up 4 Thumb down 4
    • Pleaca ma d-aici cu merele tale. Ca sa folosesti apple pay iti trebuie macos si ala nu are tema de Windows 98. Deci pica din start.

      Thumb up 14 Thumb down 4
  14. sa speram ca o sa ajunga si la noi weChat pana la faza de poti plati prin scanarea unui cod QR

    Thumb up 1 Thumb down 3
  15. Asa se zicea de desktop-uri acum cativa ani, ca e o platforma moarta etc. Nope, PC master race is still here.

    Thumb up 1 Thumb down 6
  16. Se poate si este incredibil de simplu. În scandinavia ii zice BankId.
    https://www.bankid.com/en/

    Thumb up 1 Thumb down 3
  17. Eu folosesc LastPass pentru parole si card. Am o parola foarte complexa pentru masterpass si 2FA.
    Am citit parerilor unor experti in securitate, modul cum lastpass salveaza datele si am incredere in el…. de exemplu nu poti reseta parola si recupera datele daca uiti parola principala pentru ca nu este salvata nicaieri.

    Thumb up 1 Thumb down 0
  18. desktop este pentru dinozauri, ca noi. in 10 ani, nici nu o sa stie la ce se mai foloseau

  19. Toată lumea îi dă cu parole și date salvate.
    E ca si cum ai lua un chinez să îți bage datele de card tot timpul. Poate funcționa, dar soluția trebuie să vină de la bănci/ procesatori, nu de la boți care bagă date în form.

    Thumb up 3 Thumb down 0
  20. Google pay ftw

    Thumb up 0 Thumb down 1
  21. Tocmai ce am platit factura la Enel de pe desktop, prin Chrome (sau Opera in restul timpului). LastPass imi completeaza toate datele in afara de de codul de trei cifre cu care practic confirm. Apoi, daca e activat de magazin, primesc codul 3D Secure prin SMS pe care mi-l afiseaza direct in notificare cand se aprinde telefonul si il scriu dintr-o privire. E foarte rapid. Rezumand, am dat patru clicuri de mouse, si 9 cifre bagate din tastatura. Cam 10 secunde cu tot cu un cascat.

    Protectia cardului si a banilor din cont e cu totul alta discutie.

    Thumb up 0 Thumb down 0
  22. Mai nou au simplificat codul 3D Secure – l-au facut numai din cifre, literele probabil incurcau unele persoane gen Alupigus. SMS-ul mi-l afiseaza Pushbullet in Chrome, pot sa-l iau copy/paste si sa-l introduc in form sau il bag de mana, nici nu trebuie sa deblochez telefonul.

    Thumb up 7 Thumb down 1
  23. La dongle ma gândeam și eu, dar nu pentru stocatul cardului (deși și asta ar fi o funcție minunată), ci pentru un ID digital. Aparent pentru un ID digital lucrează deja microsoft și ar mai fi proiectele astea doua: https://selfkey.org/, https://www.thekey.vip/#/homePage

    Thumb up 0 Thumb down 2
  24. Hai totusi sa promovam si solutii open-source (si gratuite) dovedite sigure. Va prezint Keepass. E cam geeky un pic la inceput, dar dupa ce-l setezi cum trebuie (vezi youtube) si-ti alegi un algoritm de criptare mult mai sigur decat ce are lastpass sau dashlane (nu ca ele nu ar fi deja destul de sigure) apoi totul devine destul de simplu. Keepass pe desktop + dropbox/googledrive/onedrive (pentru sincronizarea fisierului criptat ca sa-l folosesti si pe alte device-uri) + Keepass2Android (sau MiniKeePass pt iphone) si esti gata :)
    Eu folosesc asta de peste doi ani si deja nu mai stiu nicio parola de la niciun cont. Pont: setati keyboard shortcuts pentru autocomplete si pentru generarea/salvarea unei parole noi pentru un cont nou.

    Thumb up 2 Thumb down 1
  25. In China stiu ca se fac plati cum zici tu. Iar 3d secure, nu e degeaba. O ruda prin Europa de Est, s-a trezit cu SMS-ul, probabil ii clonase cardul cineva. Hare rostul lor toate

    Thumb up 1 Thumb down 0
    • Si eu m-am trezit cu un SMS de la BCR pentru confirmare plata. Probabil a fost copiat pe undeva, prin lume. Ops, sunat imediat la banca, informat si anulat cardul…

      Thumb up 0 Thumb down 0
    • sau poate, cum a fost cazul meu nu mai departe de acum cateva zile, am incercat sa fac o plata cu cardul mamei mele. sms-ul am avut surpriza sa mi-l trimita pe numarul pe care nu il mai are tata de 4 ani. probabil proprietarul numarului crede si el ca a fost clonat :D.

      Thumb up 1 Thumb down 0
  26. Luata dintr-un email primit recent, nu de pe site-uri de stiri:

    “Our investigation, which is now nearing completion, has identified that approximately 10 million records containing personal data may have been accessed in 2017”

    Concluzia: pisa-m-as pe platile voastre electronice si pe salvatul datelor in cloud/online/etc. Si sper ca nu sunteti din aia cu misa altfel kkmas

    Thumb up 5 Thumb down 2
  27. Unele site-uri accepta mobilpay wallet. Scanezi cu telefonul mobil un cod qr pe ecran si faci plata fara sa pui cardul pe calculator, fara 3d secure fara nimic.

    Thumb up 1 Thumb down 0
  28. Sa nu se mai …. pe ele bancile si sa accepte apple pay. Apoi se pot integra si pe desktop. Dai check out, pui amprenta pe telefon, gata.

    Mai simplu decat atat nici ca se poate.

    Auzi tu…. dongle… pfff

    Thumb up 1 Thumb down 0
  29. pentru platile on-line mi-am
    facut card de credit si am scos 3d secure. daca se intampla ceva nasol, sunt banii bancii, ma doare-n penis.

    Thumb up 1 Thumb down 2
  30. dongle deja există, se numește cheie de securitate FIDO U2F – funcționează touch & go.

    Google (inclusiv Gmail free și GSuite), Facebook și o mulțime de alte servicii permit să folosești asta… dar ăștia la bănci au rămas încuiați în secolul trecut.
    https://www.yubico.com/works-with/catalog/

    Thumb up 0 Thumb down 0
  31. Masterpass

    Thumb up 0 Thumb down 0
  32. boss
    pe site-urile netopia poti sa platesti cu mobilpay wallet. face din 2013 ce ceri tu acolo.
    succes

    p.s. poate vorbim putin . ma intereseaza o parere de a ta.

    Thumb up 1 Thumb down 0

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.

Susținere

Susține acest blog cumpărând de pe eMAG prin acest link sau de la PCGarage prin acest link.