• Вклады
  • Кредиты
  • Займы
  • Карты
  • Ипотека
  • Страхование
  • Инвестиции
  • Бизнес
  • Новости
  • Ещё
Все вклады и счета
Вклады онлайн на Банки.ру
Специальные предложения
Калькулятор вкладов
Накопительные счета
Вклады под высокий процент
Пополняемые вклады
Ставка ЦБ РФ
Мастер подбора кредитов
Потребительские кредиты
Рефинансирование
Кредитный рейтинг
Кредит под залог недвижимости
Микрозаймы
Автокредиты
Кредитный калькулятор
Мастер выдачи займов
Микрозаймы
Мастер выдачи займов
Займы под ПТС
Кредитные карты
Карты рассрочки
Дебетовые карты
Мастер подбора карт
Специальные предложения
Мастер подбора ипотеки
Ипотечные кредиты
Спецпредложения
Кредит под залог недвижимости
Кредит под залог "под ключ"
Строительство дома (ИЖС)
Все ипотечные программы
Рефинансирование
Вторичное жильё
Новостройки
Ипотечное страхование
Ипотечный калькулятор
Как накопить на первый взнос?
Какая программа мне подходит?
ОСАГО
КАСКО
Путешествие
Жизнь и здоровье
Акции
Ипотечное страхование
Страхование квартиры
Кредитное страхование жизни
Все предложения
С чего начать
Aкции
Подбор брокера
Специальные предложения
Фьючерсы
Фонды
Облигации
Золото
Все предложения
Расчетно-кассовое обслуживание
Эквайринг
Регистрация бизнеса
Бухгалтерские услуги
Готовые решения для бизнеса
Специальные предложения
Страхование бизнеса
Кредиты для бизнеса
Займы для бизнеса
Лизинг
Факторинг
Банковские гарантии
Готовые решения для ИП
Сервис проверки контрагентов
Все события дня
Лента новостей
Статьи
Мнение
Аналитические исследования
Финансовый словарь
Обучение
Программа лояльности
Банки
Банки России
Компании
Страховые компании
Страховые агенты и брокеры
Микрофинансовые организации
Биржевые брокеры
Управляющие компании
Рейтинги
Народный рейтинг банков
Народный рейтинг страховых компаний
Народный рейтинг инвестиций
Народный рейтинг микрофинансовых организаций
Премия Банки.ру
Показатели банков и компаний
Финансовые показатели банков
Общение
Диалог
Вопрос-ответ
Мероприятия
Сервисы
Курсы валют
Калькуляторы целей
Калькулятор НПФ
Проверка КБМ
Алкогольный калькулятор
Договор купли-продажи
Узнать кадастровый номер
Кредитная история
Все статьи

Андрей Тархов: «Идея обеспечить безопасность платежей каким-то одним методом обречена на провал»

Интервью
Дата публикации: 21.02.2011 00:00
2 503
Время прочтения: 6 минут
Источник
Banki.ru
​

Руководитель отдела внедрения и техподдержки компании Rainbow Security Андрей ТАРХОВ рассказал руководителю блока «Технологии» портала Банки.ру Екатерине СУВОРОВОЙ о технологиях аутентификации и идентификации. Идеальных и не совсем…

Проблематика и автоматика

Начну с проблематики. Удаленное обслуживание — наиболее выгодный канал для банков. Но чем больше клиентов переходит на интернет-канал, тем больше денег проводится через него, и тем интереснее эта сфера для киберпреступников. Как же защитить канал?

Безопасность интернет-банкинга — это, в первую очередь, аутентификация и работа по защищенным каналам связи. Передача важной финансовой информации по защищенным каналам связи уже давно считается общепринятым фактом. Аутентификация — вещь более эфемерная. О том, что стандартные статичные логин и пароль не являются гарантией безопасности в сети, стали задумываться не так давно.

Одним из наиболее популярных средств усиления безопасности стала аутентификация по динамическим данным, которые меняются от сессии к сессии. Идея использования одноразовых паролей нашла воплощение в скретч-картах и SMS-сообщениях — как наиболее распространенных методах — и аппаратных и программных генераторах паролей — как относительно новых.

Но можно ли банку ограничиться одним инструментом или технологией аутентификации, которая и по удобству использования, и по применимости в разных ситуациях удовлетворяла бы всех клиентов?

Ключ, но не от всех дверей

Допустим, в качестве устройства для аутентификации выбран электронный брелок-ключ. Но всегда ли можно подключить USB-токен к смартфону? Нет. Кроме того, на токен затрачиваются значительные средства, в то время как скретч-карта не требует больших вложений. Очевидно, что аппаратный генератор одноразовых паролей не способен удовлетворить потребности всех клиентов банка. То есть банку необходимо опираться на систему аутентификации, которая позволяет использовать разные методы в зависимости от «ситуации». Если пользователь хочет узнать о состоянии счета, ему достаточно логина и пароля. Если же он планирует провести платеж, то только пароля недостаточно — под угрозой будет находиться и пароль, и сами средства. Кроме того, чем больше сумма транзакции, тем выше риски. Соответственно, и методы аутентификации должны быть более надежными. Так, банки нередко предлагают физическим лицам проводить операции с небольшими суммами с помощью одноразовых паролей, а большие суммы подписывать электронной цифровой подписью (ЭЦП). Подобное разделение очевидно, так как, с одной стороны, одноразовые пароли проще в использовании, а с другой, как правило, суммы платежей физических лиц не сопоставимы с платежами юридических лиц.

Новая защита без ущерба для старой

С моей точки зрения, идеальная система аутентификации — та, которая может поддерживать все существующие технологии. Такой, на мой взгляд, является разработка компании ActivIdentity — 4TRESS Authentication Server, которую представляет на рынке компания Rainbow Security.

Это глобальная платформа аутентификации и идентификации, которая поддерживает различные технологии аутентификации пользователей и авторизации транзакций: генераторы одноразовых паролей, как программные, так и аппаратные, пароли, SMS- и e-mail сообщения, секретные вопросы, PKI и пр. Архитектура решения позволяет, не изменяя логики, подключить практически любой, даже принципиально отличный от существующих метод аутентификации.

В качестве примера быстрой реализации и «подключения» нового метода аутентификации можно привести разработку альтернативы отправки пароля по SMS — организацию голосового сообщения одноразового пароля пользователю. Интересный факт: прототип метода разработан и продемонстрирован заказчику за 3 дня.

Многоканальность

Следующая отличительная черта современной системы аутентификации — многоканальность. Банк общается с клиентами в офисе, по телефону, через интернет, в том числе и через мобильный интернет. Метод аутентификации может определяться не только по типу и сумме операции, но и каналу — способу взаимодействия с банком. В частности, в интернет-канале это может быть генератор одноразовых паролей, при голосовом общении — ответ на секретный вопрос.

Кроме того, если речь идет о консолидации процесса аутентификации, 4TRESS Authentication Server может использоваться и для внутреннего использования: все внутренние системы и приложения могут быть выделены в один или несколько каналов, что позволит аутентифицировать и сотрудников банка на той же единой платформе.

Предложение и спрос

Банк, в котором я обслуживаюсь, предоставляет два варианта аутентификации: по скретч-картам и на базе цифровых сертификатов, с хранением секретных ключей либо на ПК, либо на флэшке. Все действия с ключом должны выполняться на защищенном носителе, несанкционированный доступ к которому невозможен. А в случае хранения ключа на обычной флэшке или компьютере его защита полностью отсутствует.

Здесь же стоит отметить, что технологии организации мошенничества в последние пару лет стали смещаться в сторону атак типа «человек-посередине» и «человек-в-браузере». Последний тип характеризуется инфицированием браузера пользователя и дает возможность не только модифицировать параметры выполняемой транзакции «на лету», но и отправлять их на подпись в отчуждаемый носитель. В связи с этим для подтверждения транзакции появляется необходимость использования методов, не требующих подключения подписывающего устройства к компьютеру: устройств, позволяющих ввести параметры транзакции с портативной клавиатуры и вывести на их основе рассчитанную подпись.

Предпочтительней всего одноразовые пароли для аутентификации, генерируемые мобильным телефоном или банковской картой (EMV, по технологии CAP/DPA). Эти же устройства можно использовать и для подписи транзакции без подключения устройства к потенциально небезопасному компьютеру.

EMV-карты и мобильные телефоны

Карта с чипом сама по себе является генератором одноразовых паролей и может использоваться для подписи транзакций. В чип заложена соответствующая микропрограмма. Все, что нужно сделать банку, — предоставить пользователю устройство, не подключаемое к ПК, для возможности интерактивного взаимодействия с картой, такое, скажем, как Solo-reader. После того как в него вставлена карточка и введен ПИН-код, можно запросить одноразовый пароль для аутентификации или ввести параметры транзакции для ее авторизации. Это оптимальный способ проведения операции с деньгами. Для пользователя карта является наиболее привычным «денежным» инструментом: клиент привык вставлять карточку в банкомат, вводить ПИН-код и получать деньги.

Альтернатива, как сказано выше, — мобильный телефон. С точки зрения логистики и основной идеи интернет-банкинга — разгрузки офисов, то есть дорогостоящих каналов, мобильный телефон — идеальное решение. Для начала его использования (персонализации) нет необходимости посещать офис: нужно скачать плагин, ввести коды активации со своего аккаунта, после чего получить генератор одноразовых паролей и устройство для подписи транзакций. Кроме того, плагины не заканчиваются, и их не нужно перемещать из в офиса в офис.

Главное — не зацикливаться на одной технологии

Идея придумать один универсальный метод обречена на провал — это как попытки придумать вечный двигатель. Здесь, как нельзя кстати, подойдет высказывание «one size doesn’t fit all». Слишком много параметров, зависящих от канала, группы пользователей, рисков, влияет на выбор метода: стоимость, применимость, надежность и т. д. Поэтому оптимальный путь состоит в том, чтобы иметь возможность выбрать и предложить несколько вариантов, каждый из которых будет в наибольшей степени удовлетворять конкретному случаю.

Беседовала Екатерина СУВОРОВА, Banki.ru

Читать в Telegram
telegram icon

Обучение

Логические функции в Excel: как они могут помочь в учете личных финансов
Логические функции в Excel: как они могут помочь в учете личных финансов
06.07.2025
1851
Power Query в Excel: что это такое и как использовать в личных финансах
Power Query в Excel: что это такое и как использовать в личных финансах
04.07.2025
3580
Топ-30 лучших игр на Андроид
Топ-30 лучших игр на Андроид
03.07.2025
10898
Как создать видео с помощью нейросетей: пошаговое руководство для начинающих
Как создать видео с помощью нейросетей: пошаговое руководство для начинающих
01.07.2025
8884
Несанкционированные покупки через Google Play: новый вирус ворует деньги через NFC в России
Несанкционированные покупки через Google Play: новый вирус ворует деньги через NFC в России
29.06.2025
17557
Что делать с деньгами, если ключевая ставка ЦБ в 2025 году снизится
Что делать с деньгами, если ключевая ставка ЦБ в 2025 году снизится
28.06.2025
44892
«Получила деньги от государства и открыла мастерскую»: как оформить соцконтракт на 350 000 рублей в 2025 году
«Получила деньги от государства и открыла мастерскую»: как оформить соцконтракт на 350 000 рублей в 2025 году
27.06.2025
23684
«Ваш договор просрочен» — как пенсионера пытались обмануть под видом сотрудников «Ростелекома»
«Ваш договор просрочен» — как пенсионера пытались обмануть под видом сотрудников «Ростелекома»
26.06.2025
24302
Искала работу — нашла мошенников: как не нарваться на штраф или уголовное дело в интернете
Искала работу — нашла мошенников: как не нарваться на штраф или уголовное дело в интернете
25.06.2025
26131
Откажут из-за долгов: с июля 2025-го банки станут строже
Откажут из-за долгов: с июля 2025-го банки станут строже
24.06.2025
33485

Материалы по теме

​«Россия — вторая страна в мире после Китая по темпам роста банковских активов»
«Мы не хотим быть маркетплейсом»
«Договориться с Лео Месси удалось достаточно быстро»
«Мы без универсальной лицензии уже не сможем»

Главная Новости Интервью Андрей Тархов: «Идея обеспечить безопасность платежей каким-то одним методом обречена на провал»
Банки.ру Самый большой финансовый маркетплейс в России*
Теперь финансовый маркетплейс Банки.ру и в мобильном приложении
app store google play app gallery ru store
qr
Установка приложения Банки.ру

Наведите камеру своего телефона на QR-код и перейдите по ссылке

О проекте Как это работает Наши награды Отзывы о Банки.ру Работа в Banki.ru Реклама Контакты Партнерская программа Служба поддержки Карта сайта MoneyPanda

ООО ИА «Банки.ру» использует файлы cookie для повышения удобства пользователей и обеспечения должного уровня работоспособности сайта и сервисов. Cookie называются небольшие файлы, содержащие информацию о настройках и предыдущих посещениях веб-сайта. Если вы не хотите использовать файлы cookie, то можете изменить настройки браузера. Условия использования смотрите здесь.

© 2005—2025 ООО ИА «Банки.ру». При использовании материалов гиперссылка на Banki.ru обязательна.

Свидетельство на товарный знак № 445945 от 18.10.2011г.

Пользовательское соглашение Политика обработки персональных данных Безопасность Наши эксперты

* На основе исследований OMI (Online Market Intelligence) в 2024 г., ООО «Тибурон» и АО «ИОМ Анкетолог» в 2023 г.

16+