Tokom ove nedelje doći će do izmene u sistemu za resetovanje zaboravljene lozinke na Limundu. Sadašnji sistem izmene lozinke, koji podrazumeva slanje sistemski generisane lozinke na e-mail korisnika, polako odlazi u zaborav a menja ga sigurniji, moderniji i lakši metod izmene.
Kako će funkcionisati novi sistem promene lozinke?
Sistem će funkcionisati u tri koraka:
Korak 1:
Klikom na link „Zaboravio sam svoje podatke“ koji se nalazi na stranici za logovanje otvara se forma za upis vaše e-mail adrese:
Korak 2:
Nakon što upišete vašu e-mail adresu i kliknete na dugme Pošalji na e-mail će vam stići poruka od Limunda koja sadrži jedinstveni link za reset lozinke. Poruka izgleda ovako:
Napomena: Kako biste bili sigurni da je e-mail zaista validan i dolazi od Limunda preporučujem vam da pročitate saveze iz bloga „Kako da se efikasno zaštitite od phishing-a“
Korak 3:
Kada kliknete na link otvoriće vam se dva polja gde je potrebno da unesete i potvrdite vašu novu lozinku:
Tek kada kliknete na dugme “Pošalji” vaša lozinka biće uspešno promenjena. Ukoliko se dvoumite kakvu lozinku da izaberete pročitajte naše savete za kreiranje sigurne lozinke.
Limundo tim će i dalje raditi na unapređenjima sistema i nastavićemo da brinemo o sigurnosti članova. Uskoro možete očekivati i nove izmene.
Mogli biste da razmislite i o uvođenju autentifikacije zasnovane na korišćenju klijentskih sertifikata.
Ja ne bi isao u tom pravcu. Izdavanje X.509 sertifikata cisto softverski za klijente podrazumeva skladistenje tih sertifikata na samom racunaru i tako umanjuje bezbednost, na ustrb udobnosti. Pri tom je u pitanju slozen proces, koji bi oduzeo puno vremena na implemntaciju i interno kostao Limundo dosta resursa, a koji bi koristilo svega par korisnika.
Sertifikati u kombinaciji sa tokenom koji bi drzao taj sertifikat bi bilo dobro resenje, ali bi takodje puno kostalo. Onda bi bilo pametnije izdavati neke one-time kripto-tokene tipa RSA SecureID, sto, ruku na srce, jeste odlicno resenje sa stanovista cisto bezbednosti, ali to tek JAKO puno kosta. Neke banke to rade, ali te banke takodje od svojih klijenata naplacuju odrzavanje racuna vise stotina dinara mesecno iz kojih pokrivaju te troskove.
Konacno, kazem, pitanje je i koliko bi to otezalo koriscenje krajnjim korisnicima.
Ne bih ulazio u kalkulacije tog tipa, niti sam na umu incijalno imao predlog koji bi podrazumevao da vi podižete svoj CA. Takođe nisam ni mislio na softverske sertifikate. Primera radi kod nas (u Srbiji) postoji više sertifikacionih tela sa nekoliko desetina hiljada izdatih sertifikata, a kada su u pitanju kvalifikovani sertifikati oni se izdaju isključivo na smart kartici/tokenu. Za one koji sertifikate poseduju potrebno bi bilo podesiti sam server, odnosno aplikativni softver. To pre svega košta vremena i živaca, pare su tu manja stavka. OTP tokeni su nikakvo rešenje, slažem se da su bolji od user/pass autentifikacije, ali i dalje imaju velikih mana. Kada su banke u pitanju, ako se ne varam Rajfajzen banka je omogućila svojim klijentima da se u njihovo e-banking rešenje prijavljuju uz pomoć KES koje je izdao MUP (građani mogu besplatmo da dobiju sertifikat na ličnoj karti sa čipom). Dakle u jednom trenutku ćete morati da krenete u tom pravcu, pitanje je samo kritične mase korisnika, odnosno protoka vremena.
Pozdrav
@bboskovic
Slažem se da su rešenja koja predlažete sigurna i sužavaju mogućnost za zloupotrebu ali Limundo nije banka već e-commerce sajt i uvođenje takvih načina logovanja bilo bi overkill.
Možete pogledati načine autentifikacije na vodećim svetskim e-commerce rešenjima i nigde nećete naći ništa više od UN/PASS sistema.
Eventualno sledeći korak koji ćemo preduzeti u zaštiti logovanja biće dvofaktorska autentifikacija.
Slažem se da niste banka, mada ko zna u šta ćete se pretvoriti u budućnosti. 🙂 Mada verujem da će i limundocash u nekom trenutku da se autsorsuje. Dvofaktorska autentifikacija u nekoj bližoj budućnosti sasvim lepo zvuči, pretpostavljam da ste imali u vidu onu zasnovanu na sms kodu? U svakom slučaju hvala obojici na odgovorima i izdvojenom vremenu za ovo ćaskanje.
Pozdrav
Slazem se da je potrebna neka primerene vrste bezbednosti, bezuslovno, ali glede 90% clnova Limunda, samo bi napravili pometnju, realno, korisnici Limunda bez uvrede, su prosecni korisnici koje bi visi nivo bezbednosti samo dodatno opteretio, a ruku na srce ko hoce da manipulise sa 10 dinara nek izvoli, ostavlja trag (uslovi kriscenja) moze mu se uci u trag….pa cemu onda zamaranje? Ajd da manipulise pravim ciframa, pa da se isplati provesti vreme razbijajuci zastite, skidam kapu, al za malo zabave??? pozdrav momcima koji predlazu `vrhunske` zastite, a ne pitaju se od koga se to zele stititi ili zele da sami sebe uveriti u svoje znanje?
@ZZRNIC
Inicijalni predlog (koji nisam obrazložio) je podrazumevao da bi mogla da postoji mogućnost izbora, pa da može da se prijavi ko kako želi. Ne ukidanje jednog načina autentifikacije na uštrb drugog. Ono čemu svakako treba težiti je da jedna kartica, a najlakše je ona na kojoj se nalazi KES jer ga i naše zakonodavstvo pokriva normativnim aktima, bude jedan i isti ključ za više vrata. Dakle da za onoga ko to želi ima mogućnost da zameni veći broj dokumenata (istovremeno da bude LK, vozačka dozvola, zdravstvena knjižica, bankovna kartica). Takve kartice (pametne) takođe predstavljaju dvofaktorsku autentifikacija. Potrebno je da ih neko poseduje, kao i da zna lozinku (PIN). Tek da ne bude nesporazuma da se bezrazložno predlaže nešto u tehnokratskom smislu.
Pozdrav
Pa za dobijanje lozinke nekog (bilo cijeg )naloga dovoljno je da imate pristup necijem mail-u ,i mozete zloupotrebiti taj Limundo nalog ,ako sam dobro shvatio ,posto vidim da nema cak ni ono “unesi staru lozinku ” , nego ” evo ti odmah nova” 🙂
@Bane
Ne možete uneti staru lozinku ukoliko ste je zaboravili.
Da li neko ima pristup vašem e-mail nalogu, to je već drugo pitanje, šire od sistema kojim se bavimo u ovom tekstu.
Ja bih ako moze da promenim ne lozinku nego username jer ima ovde tipova koji se sjajno zabavljaju vestacki dizuci cenu kad vide mene kao ucesnika u aukciji, pa me interesuje kako da to uradim. da ugasim ovaj i otvorim novi nalog, jer vise nisam sigurna da li to rade podizaci cena osoba kod kojih kupujem jer kupujem samo kod nekoliko ili se mozda neki dokoni posmatrac aukcija zabavlja.
Nažalost izmena korisničkog imena nije moguća na Limundu.
Ukoliko sumnjate da neko od korisnika veštački podiže cene najbolje je da nam iste korisnike prijavite kako bismo izvršili provere.
Bez uvida u kompletnu siguraciju vrlo lako možete napraviti pogrešnu procenu.