Сообщество банковских клиентов
Друзья банка «Авангард»
Подписаться на идею
Аватар rdc (rdc)
30.01.2012 14:31 #
Ждет рассмотрения

Безопасное и удобное подтверждение транзакций

Вкратце: если сумма проводимых операций с момента входа в ИБ менее некой суммы (например, 1000руб), для их проведения достаточно ЭЦП. Напротив, если сумма более некоторого порога, код необходимо запрашивать на каждую операцию.

Приведу конкретные примеры:
1) Нужно закинуть на мобильник 100 рублей. Сумма смешная, риск фрода ничтожен. Запрашивать код нет смысла, используется ЭЦП.
2) Делаем несколько переводов на тысячу рублей. Сумма уже достаточна для мер защиты по её сохранности. Действует текущая схема - один раз запрашивается код, далее он действителен в течение сессии.
3) Делаем перевод на 1000р - запрашивается код, далее делаем перевод на 50000р. Код запрашивается ещё раз, поскольку превышен верхний порог.
Как вариант - вместо запроса ещё одного кода, требовать и код и ЭЦП одновременно, как это было ранее. (насколько я понимаю, сейчас это действует для сумм более полумиллиона)
Эти меры одновременно обеспечат удобство микроплатежей, и увеличат безопасность платежей на заметные суммы.

В случае, если микроплатёж делается по уже подписанному шаблону, не запрашивается вообще ничего.
Также вношу предложение сделать подпись шаблонов типовых платежей, что упростит микроплатежи.

Что до конкретных величин порогов - вопрос открытый.
6

Комментарии 6

art.spb
#
В случае, если микроплатёж делается по уже подписанному шаблону, не запрашивается вообще ничего.

Отказать. Сейчас авторизация не на столько надежна, чтобы разрешить какие-либо операции без подтверждения.

В целом, мне кажется, что это все излишне и только внесет путаницу, нежели будет реальная польза. Поставьте минимальный таймаут сессии, все время нажимайте кнопку выход - будете каждый раз вводить код с карточки при следующей операции. А делать ЭЦП обязательным вообще смысла нет, т.к. иначе с мобилки будет не оплатить.
rdc
#
Микроплатежами по шаблонам ничего не украдёшь.
И уточню - речь про сумму проводимых операций: например, если сделать серию платежей по 100руб, а порог микроплатежей 1000руб - то на одиннадцатом платеже потребуется код.

А на типичных "среднестатических" операциях (ПБ виднее, какой это ценовой коридор) пусть остаётся текущая схема с одним кодом на сессию, это удобно.
Имхо, неоправданное усложнение. Вместо единой схемы (все переводы наружу подтверждаются кодом) нужно будет учитывать еще и сумму.
viabank
#
звучит заманчиво, но для части пользователей ИБ может оказаться не очевидным и сложным в понимании.
в целом, как верно было замечено, достаточно поставить короткий тайм-аут и не забывать нажимать "выход" по завершении операций.

поддержу в такой модификации: сделать настройку нарастающей суммы платежей в сессии, по достижении которой использованный разовый код автоматически аннулируется. таким образом не обязательно "выбегать" из ИБ по проведении платежей, если хочется что-то поделать еще, например, выписки посмотреть, остатки лимитов изучить. к тому же троянцы - суть роботы и работают быстро - можно и не успеть кнопку выхода нажать. лимит же, делающий ничтожным введенный код доступа, если сумма уже проведенных операций плюс сумма очередной операции превышает некий порог, настраиваемый индивидуально - обрабатывается на сервере ИБ и троянцу неподвластен. для увеличения данного лимита всегда требовать "свежий" код доступа. для уменьшения может использоваться текущий код сессии.
rdc
#
Возможно, я неудачно сформулировал идею, но я именно эту схему с нарастающей суммой и предлагаю smile:D
InOut
#
И данный лимит должен установить сам клиент - тем самым можно удовлетворить всех: кто хочет вводить код на каждую транзакцию (как я) то он поставит верхний предел в 1 рубль, если кто хочет повысить риск - поставит более крупную сумму.
И все будут счастливы!
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.