Руководитель отдела внедрения и техподдержки компании Rainbow Security Андрей ТАРХОВ рассказал руководителю блока «Технологии» портала Банки.ру Екатерине СУВОРОВОЙ о технологиях аутентификации и идентификации. Идеальных и не совсем…
Проблематика и автоматика
Начну с проблематики. Удаленное обслуживание — наиболее выгодный канал для банков. Но чем больше клиентов переходит на интернет-канал, тем больше денег проводится через него, и тем интереснее эта сфера для киберпреступников. Как же защитить канал?
Безопасность интернет-банкинга — это, в первую очередь, аутентификация и работа по защищенным каналам связи. Передача важной финансовой информации по защищенным каналам связи уже давно считается общепринятым фактом. Аутентификация — вещь более эфемерная. О том, что стандартные статичные логин и пароль не являются гарантией безопасности в сети, стали задумываться не так давно.
Одним из наиболее популярных средств усиления безопасности стала аутентификация по динамическим данным, которые меняются от сессии к сессии. Идея использования одноразовых паролей нашла воплощение в скретч-картах и SMS-сообщениях — как наиболее распространенных методах — и аппаратных и программных генераторах паролей — как относительно новых.
Но можно ли банку ограничиться одним инструментом или технологией аутентификации, которая и по удобству использования, и по применимости в разных ситуациях удовлетворяла бы всех клиентов?
Ключ, но не от всех дверей
Допустим, в качестве устройства для аутентификации выбран электронный брелок-ключ. Но всегда ли можно подключить USB-токен к смартфону? Нет. Кроме того, на токен затрачиваются значительные средства, в то время как скретч-карта не требует больших вложений. Очевидно, что аппаратный генератор одноразовых паролей не способен удовлетворить потребности всех клиентов банка. То есть банку необходимо опираться на систему аутентификации, которая позволяет использовать разные методы в зависимости от «ситуации». Если пользователь хочет узнать о состоянии счета, ему достаточно логина и пароля. Если же он планирует провести платеж, то только пароля недостаточно — под угрозой будет находиться и пароль, и сами средства. Кроме того, чем больше сумма транзакции, тем выше риски. Соответственно, и методы аутентификации должны быть более надежными. Так, банки нередко предлагают физическим лицам проводить операции с небольшими суммами с помощью одноразовых паролей, а большие суммы подписывать электронной цифровой подписью (ЭЦП). Подобное разделение очевидно, так как, с одной стороны, одноразовые пароли проще в использовании, а с другой, как правило, суммы платежей физических лиц не сопоставимы с платежами юридических лиц.
Новая защита без ущерба для старой
С моей точки зрения, идеальная система аутентификации — та, которая может поддерживать все существующие технологии. Такой, на мой взгляд, является разработка компании ActivIdentity — 4TRESS Authentication Server, которую представляет на рынке компания Rainbow Security.
Это глобальная платформа аутентификации и идентификации, которая поддерживает различные технологии аутентификации пользователей и авторизации транзакций: генераторы одноразовых паролей, как программные, так и аппаратные, пароли, SMS- и e-mail сообщения, секретные вопросы, PKI и пр. Архитектура решения позволяет, не изменяя логики, подключить практически любой, даже принципиально отличный от существующих метод аутентификации.
В качестве примера быстрой реализации и «подключения» нового метода аутентификации можно привести разработку альтернативы отправки пароля по SMS — организацию голосового сообщения одноразового пароля пользователю. Интересный факт: прототип метода разработан и продемонстрирован заказчику за 3 дня.
Многоканальность
Следующая отличительная черта современной системы аутентификации — многоканальность. Банк общается с клиентами в офисе, по телефону, через интернет, в том числе и через мобильный интернет. Метод аутентификации может определяться не только по типу и сумме операции, но и каналу — способу взаимодействия с банком. В частности, в интернет-канале это может быть генератор одноразовых паролей, при голосовом общении — ответ на секретный вопрос.
Кроме того, если речь идет о консолидации процесса аутентификации, 4TRESS Authentication Server может использоваться и для внутреннего использования: все внутренние системы и приложения могут быть выделены в один или несколько каналов, что позволит аутентифицировать и сотрудников банка на той же единой платформе.
Предложение и спрос
Банк, в котором я обслуживаюсь, предоставляет два варианта аутентификации: по скретч-картам и на базе цифровых сертификатов, с хранением секретных ключей либо на ПК, либо на флэшке. Все действия с ключом должны выполняться на защищенном носителе, несанкционированный доступ к которому невозможен. А в случае хранения ключа на обычной флэшке или компьютере его защита полностью отсутствует.
Здесь же стоит отметить, что технологии организации мошенничества в последние пару лет стали смещаться в сторону атак типа «человек-посередине» и «человек-в-браузере». Последний тип характеризуется инфицированием браузера пользователя и дает возможность не только модифицировать параметры выполняемой транзакции «на лету», но и отправлять их на подпись в отчуждаемый носитель. В связи с этим для подтверждения транзакции появляется необходимость использования методов, не требующих подключения подписывающего устройства к компьютеру: устройств, позволяющих ввести параметры транзакции с портативной клавиатуры и вывести на их основе рассчитанную подпись.
Предпочтительней всего одноразовые пароли для аутентификации, генерируемые мобильным телефоном или банковской картой (EMV, по технологии CAP/DPA). Эти же устройства можно использовать и для подписи транзакции без подключения устройства к потенциально небезопасному компьютеру.
EMV-карты и мобильные телефоны
Карта с чипом сама по себе является генератором одноразовых паролей и может использоваться для подписи транзакций. В чип заложена соответствующая микропрограмма. Все, что нужно сделать банку, — предоставить пользователю устройство, не подключаемое к ПК, для возможности интерактивного взаимодействия с картой, такое, скажем, как Solo-reader. После того как в него вставлена карточка и введен ПИН-код, можно запросить одноразовый пароль для аутентификации или ввести параметры транзакции для ее авторизации. Это оптимальный способ проведения операции с деньгами. Для пользователя карта является наиболее привычным «денежным» инструментом: клиент привык вставлять карточку в банкомат, вводить
Альтернатива, как сказано выше, — мобильный телефон. С точки зрения логистики и основной идеи интернет-банкинга — разгрузки офисов, то есть дорогостоящих каналов, мобильный телефон — идеальное решение. Для начала его использования (персонализации) нет необходимости посещать офис: нужно скачать плагин, ввести коды активации со своего аккаунта, после чего получить генератор одноразовых паролей и устройство для подписи транзакций. Кроме того, плагины не заканчиваются, и их не нужно перемещать из в офиса в офис.
Главное — не зацикливаться на одной технологии
Идея придумать один универсальный метод обречена на провал — это как попытки придумать вечный двигатель. Здесь, как нельзя кстати, подойдет высказывание «one size doesnt fit all». Слишком много параметров, зависящих от канала, группы пользователей, рисков, влияет на выбор метода: стоимость, применимость, надежность и т. д. Поэтому оптимальный путь состоит в том, чтобы иметь возможность выбрать и предложить несколько вариантов, каждый из которых будет в наибольшей степени удовлетворять конкретному случаю.
Беседовала Екатерина СУВОРОВА, Banki.ru