С позволения модератора (нужно ли создавать отдельную тему, раз уже практически всё расписали тут?) я все-таки допишу, чтобы впредь пореже возвращаться к этому вопросу, и дать некоторый материал для FAQ (а позже ругаться на людей, оный не читавших).
Много паролей на все случаи жизни подразумевают что каждый отдельный пароль будет легко взламываемым. Это ограничение человека, которому сложно запомнить большое количество действительно хороших паролей.
Для этого есть онлайн генераторы паролей, программы. И не надо запоминать, сохранить в файл и спрятать этот файл подальше. Надо учить юзеров общим правилам создания паролей.
Скажу больше: есть и не онлайн генераторы (которые не будут сливать ваши свежие пароли налево). Только файл с паролями (пусть даже на Н-ной странице) -- всего лишь один из вариантов "пароля на бумажке". Вредность такого подхода обсуждалась многократно.
Для Интернет банкинга выдают токины, список ключей,
Вот это уже лучше. Но кто будет выдавать токены? Авторизованного центра нет. Временные пароли ведь надо периодически добавлять по мере использования, либо утраты старых.
Можно встроить генератор токенов в программу, но что тогда мешает злоумышленнику спереть ее вместе с бумажником и сгенерировать себе новые токены?
И опять-таки сгенерированные токены надо записать на бумажку..... и т.д. и т.п.
Возможно, в таком подходе есть еще какие-то минусы, которые сразу-же не пришли мне в голову.
Гораздо лучше помнить одну действительно сложную пассфразу типа "Варкалось!!! Хливкие пырьки. Шныряли по наве, И лопотали лизюки. Как мюмзики в мове!" (только не цитату, а свою). И этой самой пассфразой шифровать сразу много данных (да, это снова ТруКрипт и т.п.). Фразу, кстати, неплохо почаще менять.
доступ с определенного IP и т.п.
Вот уж это -- полная чушь, не несущая ничего кроме неудобств пользователю и лишнего риска взлома. Ключевые слова для начала -- NAT и DHCP.
Банк предоставляет все чтобы клиент, если у него украли/потерял карту не потерял свои деньги.
Как я уже напоминал выше, авторизованного центра нет. Куда вы пойдете с паспортом, когда захотите получить новый пароль вместо утерянного, и что помешает злоумышленнику поступить также, прикидываясь вами?
В случае банка, кстати, мастер-паролем для получения нового пароля, или новой карты является удостоверение вашей личности (паспорт и совпадающая подпись). Простейший вариант мошенничества: пока вы в месячном отпуске на Багамах, злоумышленник приходит в банк с поддельным паспортом на ваше имя, но своей фотографией, старательно выводит вашу подпись на заявлении о выдаче карты взамен утерянной и, вуаля, -- получает новую карту с новыми, паролями, токенами, защитами ИП, бекджеком, шлюхами и всеми вашими деньгами.
Разработчики таких систем должны думать о сохранности денег пользователей потому, что от этого зависит доверие к системе в целом.
Есть хорошая поговорка: "Не ошибается тот, кто ничего не делает". Этот замечательный принцип работает в обе стОроны, и, при больших рисках, лучше именно ничего не делать (по крайней мере, если не можешь сделать хорошо).
Предвидя встречный шквал поговорок типа "Не плюй в колодец, вылетит не поймаешь" и пр. приведу простой пример.
У вас есть некий капитал, скопленный за большую часть жизни. Скажем на квартиру в центре МСК. Но потратить вы его можете только целиком. Что вы предпочтете:
1. Целиком положить его в банк/кубышку и гарантировано остаться при своих.
2. Пойти в казино и, поставив его целиком на номер, выиграть в 35 раз больше с вероятностью 1/38?
Бытовая логика должна подсказать вам простой ответ: лучше не рисковать остаться БОМЖом и ничего не делая мирно хранить деньги в чулке, надеясь на то, что дорогому правительству не придет в голову очередная деноминация.
Для меня лично, появление в биткоине "системы паролей с защитой от взлома" будет как раз тревожным звоночком того, что в разработчики попал дилетант, имеющий смутное представление о безопасности. А как следствие встает вопрос "можно ли доверять такой системе безопасности и всей платежной системе?". (Пока писал ниже уже добавили про ремень безопасности из бумаги. Очень хорошая аналогия.)
