@osmosis познакомил меня с PHONECO.IN , который позволяет отправлять биткойны через SMS. Мой вопрос в том, адекватна ли их система аутентификации. С их сайта :
PhoneCo.in разработан, чтобы быть простым в использовании и безопасным. Сервер, который обрабатывает ваше текстовое сообщение, связывается с отдельным сервером, обрабатывающим транзакцию биткойнов. Данные из вашего текстового сообщения отправляются с использованием шифрования AES-265 и подписываются с использованием HMAC-SHA1. Эта комбинация мер безопасности делает очень трудной инициацию транзакции PhoneCo.in любым способом, кроме использования мобильного телефона, поскольку любые запросы к биткойн-серверу должны исходить от сервера обработки текстовых сообщений.
Мы требуем, чтобы вы ответили 5-значным кодом подтверждения в течение 5 минут при отправке платежа. Это необходимо для проверки того, что ваш телефон инициировал запрос платежа (и что кто-то не подделывает ваш номер телефона при обращении к нашему серверу). Подмена другого телефонного номера является незаконной в Соединенных Штатах и наказывается штрафом до 10 000 долларов США. Если вы получили код подтверждения для платежа, который вы не инициировали, свяжитесь с нами, чтобы мы могли помочь найти нарушителя.
Я думаю, что это, вероятно, подходит для своей цели, но не подходит для управления большими балансами.
Самой большой проблемой является риск компрометации или кражи вашего телефона или номера телефона. Любой, кто получает физический доступ к вашему телефону, когда он разблокирован (или кто может его разблокировать), может просматривать ваши текстовые сообщения и может переводить ваши биткойны себе. На данный момент биткойны фактически полностью не отслеживаются и безвозвратно утеряны.
Отсутствие способа обезопасить свою учетную запись на PhoneCo.in без телефона, на мой взгляд, серьезная проблема. Что, если я не могу найти свой телефон, но, возможно, просто оставил его дома у друга? Должен ли я отключить свой телефон у своего провайдера только для того, чтобы снова включить его через двадцать минут, когда я его найду? Или у меня должно быть 20-минутное окно, в течение которого кто-то может взломать мой телефон и украсть мои биткойны? (Отключит ли мобильная компания ваш телефон сразу, даже в 3 часа ночи?)
Если ваш телефон потерян или украден, вы должны немедленно отключить его , даже если он заблокирован, даже если вы можете найти его через несколько минут.
Еще одна проблема с учетными записями, связанными только с номером телефона, заключается в том, что я должен доверять своему оператору мобильной связи. Если я по какой-либо причине потеряю свою мобильную учетную запись, я потеряю и свои монеты. Если мой номер телефона ошибочно передается кому-то другому, он получает мои биткойны или, по крайней мере, я не могу их получить. Если мой оператор мобильной связи вдруг решит, что я нарушил какое-то правило, и расторгнет мой контракт «из соображений безопасности», как я могу доказать PhoneCo.in, что это мой аккаунт?
Итак, сервис простой. Это удобно. И его безопасность сопоставима с физическим кошельком (который также может быть потерян или украден).
Это выглядит хорошо для меня. Введя подтверждение, вы подтверждаете, что это ваш номер, и вы можете дополнительно защитить свою учетную запись паролем.
Вы не должны позволять другим получить доступ к вашему телефону. Если вы это сделаете, вам следует удалить соответствующие сообщения, чтобы они не увидели ваш пароль.
барримак
Дэйвид
барримак