Сегодня решил изучить хваленный способ хранения ключей *.kwm в e-num storage. Вроде все неплохо, если не смотреть на небольшую ссылку "Восстановления доступа" на сайте http://enum.ru:wink2:
Итак..
Допустим вор узнал мой email и пароль к email-у (все это можно легко добыть, используя обыкновенного клавиатурного шпиона) далее ему нужно лишь угадать ответ на вопрос, который я ввел при регистрации.
3 варианта вопроса (вопрос отображается):
Девичья фамилия матери (1, 123, 123456 - самые популярные
)
Кличка домашнего животного(Мурзик, Рекс - угадать сложно, но можно)
Номер серии паспорта (обычно 220* - 10 вариантов)
После этого, можно скачать новую программу на любой мобильный телефон. При этом старая программа перестает действовать. Другими словами вор:
1) блокирует доступ для пользователя wmid
2) Получает доступ к ключу *.kwm (даже пароль взламывать не нужно).
3) Если в security.webmoney.ru стоит галочка "использовать enum для авторизации без wm keeper" спокойно снимает все деньги на кошельках.
В чем тогда безопасность e num?
Задача найти и взломать файл ключей заменяется на узнать какой email и какой пароль к email. 2е как мне кажется даже проще.
Итак..
Допустим вор узнал мой email и пароль к email-у (все это можно легко добыть, используя обыкновенного клавиатурного шпиона) далее ему нужно лишь угадать ответ на вопрос, который я ввел при регистрации.
3 варианта вопроса (вопрос отображается):
Девичья фамилия матери (1, 123, 123456 - самые популярные
)Кличка домашнего животного(Мурзик, Рекс - угадать сложно, но можно)
Номер серии паспорта (обычно 220* - 10 вариантов)
После этого, можно скачать новую программу на любой мобильный телефон. При этом старая программа перестает действовать. Другими словами вор:
1) блокирует доступ для пользователя wmid
2) Получает доступ к ключу *.kwm (даже пароль взламывать не нужно).
3) Если в security.webmoney.ru стоит галочка "использовать enum для авторизации без wm keeper" спокойно снимает все деньги на кошельках.
В чем тогда безопасность e num?
Задача найти и взломать файл ключей заменяется на узнать какой email и какой пароль к email. 2е как мне кажется даже проще.
