Форум

OTP, ЭЦП и двухфактор для физ.лиц в банках РФ?

Банковские карты с продвинутой системой безопасности

Сообщений: 5Регистрация: 15.07.2016 Репутация: 0 Город: Москва

15.07.2016 15:01

Доброго здоровья, уважаемые посетители форума.

Какие существуют банковские карты (или интернет-счета), позволяющие настроить двухфакторную аутентификацию не через SMS для физических лиц?

Особенно интересуют современные технологии безопасности вроде цифровой электронной подписи (ЭЦП), USB-токенов (e-token), генератора одноразовых паролей (OTP), банковских карт с экраном и клавиатурой, и т.п.

Как известно, практически все банки сейчас работают с физическими лицами удалённо через SMS-пароли. Но телефон могут украсть или заразить, SMS - перехватить, SIM-карту - выпустить дубликат ( https://habrahabr.ru/post/267447 ). К тому же, не всегда есть возможность получать SMS, например с этим могут возникнуть проблемы заграницей, особенно если используется местный номер.

У каких банков есть возможность использовать иные способы аутентификации вместо SMS? вместе с SMS?

К сожалению, многие банки (как Тинькофф Банк например) позволяют восстанавливать пароль по SMS - такая схема не является двухфакторной аутентификацией, т.к. для кражи денег достаточно украсть телефон

Вот что удалось найти:

ВТБ24 предлагает генератор паролей (на самом деле это кардридер с экраном, сам генератор находится на банковской карте) за 500 рублей (в год?) - он доступен в Москве и некоторых других регионах. Для OTP-аутентификации требуются генератор+карта+PIN-код. При предоставлении OTP, как я понимаю, можно отключить SMS. Использовать двухфактор OTP+SMS, видимо, невозможно. Пароль от интернет-банка можно восстановить по SMS если к аккаунту привязан доверенный номер телефона.

Банк Авангард выпускает карту с дисплеем за 5000 рублей в год (дорого!), а также позволяет подключить программную ЭЦП, и выдаёт скрэч-карточки с кодами. Судя по информации с их сайта, должна быть возможность использовать трёхфакторную аутентификацию: ЭЦП + скрэч-коды + SMS (+ пароль, который восстанавливается по кодовому слову). ЭЦП привязывается визитом в офис.

ГазпромБанк выдаёт для домашнего банка OTP-брелки (вот такие) за 900 руб. К сожалению, они не защищены PIN-кодом как ВТБ. Пароль от интернет-банка у них восстанавливается в отделении.

ТатФондБанк тоже предоставляет брелки (такие же как у Газпрома), за 1200 руб.

Кто ещё какие знает, или у кого есть опыт работы с вышеуказанными, большая просьба поделиться вашими знаниями. Спасибо!

P.S. Давайте попробуем ограничить этот топик практически полезной информацией; обсуждения из серии "если карту украдут - заблокируй и не парься", "просто сделай возврат" и "что бы я сделал на месте банков" ИМХО лучше перенести в курилку. Спасибо за понимание.

Изменено: KorobochkaNP- 15.07.2016 15:05

Sergey7

Сообщений: 16356Регистрация: 14.01.2011 Репутация: 1622

15.07.2016 15:55

Цитата
KorobochkaNP пишет: на самом деле это кардридер с экраном, сам генератор находится на банковской карте

Подобный же дивайс используется в Райффайзене. Одноразовые пароли генерятся любой действующей картой клиента. Для создания пароля нужно ввести ПИН карты, сумму операции и последние несколько цифр номера счета получателя (исходные данные подсказывает ИБ), благодаря этому исключается фишинг. Альтернативный вариант паролей по смс можно подключить через ИБ, имея карт-ридер, а вот отключить смс можно только в офисе (поэтому лучше их и не подключать).

Выдача карт-ридера бесплатна для пакетов от Золотого и выше, для более простых пакетов - 1500 рублей единоразово.
http://www.raiffeisen.ru/common/img/u..._uslug.pdf

Для восстановления пароля на вход в ИБ нужен прописанный в системе мобильный (в смс приходит пароль) и действующая карта (нужно вводить её данные, включая CVC2).

Где найти очки от Махатмы Ганди?

Cheapshot

Сообщений: 37Регистрация: 19.10.2009 Репутация: 1 Город: Новокузнецк

15.07.2016 16:03

Не совсем понял зачем ВТБшному генератору нужен ПИН карты, надежности это не прибавляет, а вот случайно засветить ПИН возможность появляется. Как я понимаю, использование для генерации пароля, параметров транзакции исключает man-in-the-middle атаки?

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

15.07.2016 18:52

Цитата
KorobochkaNP пишет: Банк Авангард выпускаеткарту с дисплеем за 5000 рублей в год (дорого!)

ИП и руководителям юрлиц - обслуживание бесплатно smile;)

АМТ † Холдинг-Кредит † Пушкино † МастерБанк † Евротраст † Западный † Навигатор † Софрино † Волга-Кредит † Транснациональный † Тусар † Русславбанк † Капиталбанк † Кредит-Москва † Росинтербанк † Военно-промышленный банк † Айманибанк † Югра

slowpoke

Сообщений: 2245Регистрация: 01.04.2015 Репутация: 188

с 21.01.2024

15.07.2016 20:47

Цитата
KorobochkaNP Банк Авангард выпускает карту с дисплеем за 5000 рублей в год (дорого!)

Это всё тот же кардридер с экраном, только встроенный в карту.

Цитата
Sergey7 Одноразовые пароли генерятся любой действующей картой клиента.

Вы хотите сказать, что если у клиента 10 карт Райффайзена, то он может генерить пароли каждой картой по очереди?

Цитата
Sergey7 Выдача карт-ридера бесплатна для пакетов от Золотого и выше, для более простых пакетов - 1500 рублей единоразово.

Ридер можно купить на китайском базарчике дешевле.

Цитата
Cheapshot Не совсем понял зачем ВТБшному генератору нужен ПИН карты, надежности это не прибавляет, а вот случайно засветить ПИН возможность появляется.

Чтобы не смогли воспользоваться потерянной/украденной/отобранной картой для совершения транзакций.

Sergey7

Сообщений: 16356Регистрация: 14.01.2011 Репутация: 1622

15.07.2016 22:43

Цитата
slowpoke пишет: Вы хотите сказать, что если у клиента 10 карт Райффайзена, то он может генерить пароли каждой картой по очереди?

Не по очереди, а в произвольном порядке - в ИБ надо выбрать из выпадающего списка карту, с помощью которой вы будете генерить пароль.

Где найти очки от Махатмы Ганди?

Sardinoff

Сообщений: 2060Регистрация: 02.01.2011 Репутация: 162

16.07.2016 09:07

Цитата
KorobochkaNP пишет: Банк Авангард выпускаеткарту с дисплеем за 5000 рублей в год (дорого!),

Эту карту можно получить бесплатно за большие траты по кредитной карте за последние 12 месяцев. Карта с дисплеем будет бесплатна в течение всего срока действия карты, привязать ее можно как кредитному, так и к дебетовому счету. Кредитка, кстати, тоже будет бесплатна за большие обороты по кредитному счету.

KorobochkaNP

Сообщений: 5Регистрация: 15.07.2016 Репутация: 0 Город: Москва

16.07.2016 10:53

Спасибо всем отписавшимся. Sergey7, спасибо за информацию.

ВТБ-шный генератор работает также как райффайзеновский, только там есть два режима - более простой "режим А" не требует ввода суммы и номера счёта в отличие от "режима Б". Какой из режимов использовать подскажет интернет-банк в каждом случае, в некоторых случаях есть оба варианта, от этого зависят лимит на операцию.

Как оказалось, банки предоставляющие OTP-генераторы не так редки, только называются они везде по-разному (генератор одноразовых паролей/кодов, криптокалькулятор, кодогенератор, портативное считывающее устройство, ...), и информацию о них обычно прячут куда-то глубоко. Кроме упомянутых ВТБ-24 и Райффайзен банк обнаружились: Банк Открытие (500 руб), РосСельХозБанк, Банк Возрождение и Банк Приморье.

Также РосБанк предоставляет некий токен (500 р.) с отдельной картой и её PIN-кодом.

Эти ридеры называются "CardTAN" / "ChipTAN", а сама технология - CAP / DPA. PIN карты нужно вводить т.к. с точки зрения карточки она работает (почти) как банкомат (генерирует код отмены несуществующего платежа), соответственно после трёх неудачных попыток карта блокируется. Протокол может немного различаться, поэтому совместимость ридеров между разными банками не гарантируется, хотя во многих случаях имеет место быть.

У карточки-с-дисплеем авангарда вместо PIN карты надо вводить собственный пароль генератора, который можно задать в банкомате банка.

Уралсиб и Метробанк, похоже, предоставляют некие "eToken", но подробностей мало

slowpoke

Сообщений: 2245Регистрация: 01.04.2015 Репутация: 188

с 21.01.2024

16.07.2016 11:57

Цитата
colorprint - обслуживание бесплатно

Цитата
Sardinoff Эту карту можно получить бесплатно

Члены секты свидетелей Авангарда и тут проповедуют. smile:D

Цитата
Sergey7 Не по очереди, а в произвольном порядке - в ИБ надо выбрать из выпадающего списка карту, с помощью которой вы будете генерить пароль.

Это прогресс. А то во многих банках для криптокалькулятора эмитируют отдельную карту.

Цитата
KorobochkaNP ВТБ-шный генератор работает также как райффайзеновский, только там есть два режима - более простой "режим А" не требует ввода суммы и номера счёта в отличие от "режима Б".

В спецификации CAP / DPA это называется Mode2 и Mode1 соответственно. Имеется на всех криптокалькуляторах.

Цитата

KorobochkaNP
PIN карты нужно вводить т.к. с точки зрения карточки она работает (почти) как банкомат (генерирует код отмены несуществующего платежа), соответственно после трёх неудачных попыток карта блокируется.
Протокол может немного различаться, поэтому совместимость ридеров между разными банками не гарантируется, хотя во многих случаях имеет место быть.

Скорее как POS-терминал с офлайновой проверкой ПИНа. Блокируется не карта, а счетчик ПИН офлайн. Соответственно криптокалькулятор отклоняет такую карту. Мошенники часто используют криптокалькулятор, чтобы заблокировать ПИН офлайн на утерянной/украденной/отобранной карте и затем расплатиться этой картой в торговой точке по подписи.
Некоторые банки (тот же Авангард) поначалу использовали фичи, делавшие их криптокалькуляторы (карты с дисплеем) несовместимыми. Однако сейчас отказались от этого ввиду очевидной абсурдности.

Цитата
KorobochkaNP У карточки-с-дисплеем авангарда вместо PIN карты надо вводить собственный пароль генератора, который можно задать в банкомате банка.

Это всё тот же ПИН карты, только по другому обзываемый Авангардом. smile:)

Изменено: slowpoke- 16.07.2016 13:57

andy_g Сообщений: 707Регистрация: 14.12.2010 Репутация: 48 с 06.02.2023	#10 16.07.2016 21:12 В ВТБ (бывший БМ) можно купить за 1400 рублей USB-токен. В качестве бонуса при этом снимаются все ограничения для переводов через ИБ.
	0

grisha33

Сообщений: 2270Регистрация: 06.12.2015 Репутация: 93

#11

19.07.2016 11:09

Цитата

KorobochkaNP пишет:
Банк Авангард выпускаеткарту с дисплеем за 5000 рублей в год (дорого!), а также позволяет подключить программную ЭЦП, и выдаёт скрэч-карточки с кодами. Судя по информации с их сайта, должна быть возможность использовать трёхфакторную аутентификацию: ЭЦП + скрэч-коды + SMS (+ пароль, который восстанавливается по кодовому слову). ЭЦП привязывается визитом в офис.

ЭЦП можно самому генерировать в ИБ.
При переводах более 15к,требуется код с скрэча,
при переводах более 600к,ЭЦП+код скрэча.

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#12

19.07.2016 11:29

Цитата
grisha33 пишет: ЭЦП можно самому генерировать в ИБ.

оно требует джаву, которая в современных браузерах не поддерживается

Цитата
grisha33 пишет: требуется код с скрэча,

а это вообще не очень безопасно.
DisplayCard рулит.

grisha33

Сообщений: 2270Регистрация: 06.12.2015 Репутация: 93

#13

19.07.2016 13:47

Цитата
colorprint пишет: оторая в современных браузерах не поддерживается

Есть проблема,у Авы подписать ЭЦП только через Java.Запускаю ишака в защищенном режиме,и вуаля.

Цитата
colorprint пишет: то вообще не очень безопасно.

Почему же? Это безопаснее чем SMS-подтверждение.
Дисплей-карта современна,но шибко дорого. smile:uncap:

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#14

19.07.2016 15:09

Цитата
grisha33 пишет: Запускаю ишака в защищенном режиме,и вуаля.

осталось найти ишака в линуксе, макоси или в Win10 например )

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#15

19.07.2016 15:10

Цитата
grisha33 пишет: Почему же? Это безопаснее чем SMS-подтверждение.

потому что кража скретч-карты дает возможность выполнить сразу под сотню операций ))

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#16

19.07.2016 15:10

Цитата
grisha33 пишет: Дисплей-карта современна,но шибко дорого.

себестоимость достаточно низкая.
конкретно в авангарде - карта бесплатна, если также обслуживаетесь в этом банке как ИП или юрлицо.

grisha33

Сообщений: 2270Регистрация: 06.12.2015 Репутация: 93

#17

19.07.2016 17:18

Цитата
colorprint пишет: осталось найти ишака в в Win10 например )

Microsoft Edge в 10-ке java не тянет?

Цитата
colorprint пишет: что кража скретч-карты

Что мешает,её тут же заблокировать в ИБ,и оставить мошенников с "носом" ?

Цитата
colorprint пишет: карта бесплатна, если также обслуживаетесь в этом банке как ИП или юрлицо.

Бедный физик. smile:oops:

slowpoke

Сообщений: 2245Регистрация: 01.04.2015 Репутация: 188

с 21.01.2024

#18

19.07.2016 17:58

Цитата
grisha33 Дисплей-карта современна,но шибко дорого.

Полный шлак. Выпускается Gemalto и практически не прижилась в отрасли из-за ряда недостатков. Встроенная в карту батарейка живет меньше года. ЛСД-дисплей и клавиатура ломаются еще быстрее. Первоначально Авангард замутил фичу со встроенным в карту CMOS-таймером, синхронизированным с таймером процессинга. В результате процессинг банка переставал принимать пароли, сгенерированные исправной картой, из-за рассинхронизации этих таймеров. Однако сейчас Авангард поумнел и отказался от этой фичи. Поэтому даже если на карте сломается батарейка, дисплей или клавиатура, пароль можно будет сгенерировать при помощи карты и обычного криптокалькулятора, купленного на базаре.
Отдельный криптокалькулятор гораздо надежнее и удобнее.

Sardinoff

Сообщений: 2060Регистрация: 02.01.2011 Репутация: 162

#19

19.07.2016 18:03

Цитата
colorprint пишет: осталось найти ишака в линуксе, макоси или в Win10 например )

В Mozilla Firefox на WIN7 работает нормально, правда помню, что самому не удалось заставить работать яву в Мозиле. Звонил в поддержку Авы, под их диктовку настроил.

Цитата
KorobochkaNP пишет: Уралсиб иМетробанк, похоже, предоставляют некие "eToken", но подробностей мало

У меня уже несколько лет токен от Уралсиба, использую вместо одноразовых СМС кодов. Просто маленький брелок с экранчиком и одной кнопкой. Нажимаешь кнопку, выдает длинный цифровой код, которым можно подтвердить операцию в ИБ. Сам токен ничем не защищен от несанкционированного использования и он только для оплаты в ИБ, оплата картой в интернете все так же с отправкой СМС кодов на телефон.

Изменено: Sardinoff- 19.07.2016 18:11

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#20

19.07.2016 18:23

Цитата
grisha33 пишет: Что мешает,её тут же заблокировать в ИБ,и оставить мошенников с "носом" ?

кража на то и "тайное хищение имущества", что обнаружить можете уже после совершения операций )

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#21

19.07.2016 18:24

Цитата

Sardinoff пишет:
У меня уже несколько лет токен от Уралсиба, использую вместо одноразовых СМС кодов. Просто маленький брелок с экранчиком и одной кнопкой. Нажимаешь кнопку, выдает длинный цифровой код, которым можно подтвердить операцию в ИБ.

это OTP-генератор.
DisplayCard, в отличии от него, дополнительно защищены пин-кодом

grisha33

Сообщений: 2270Регистрация: 06.12.2015 Репутация: 93

#22

20.07.2016 12:17

Цитата
slowpoke пишет: Отдельный криптокалькулятор гораздо надежнее и удобнее.

Надо будут Аву подсказать куда идти верной дорогой. smile:)

Цитата
colorprint пишет: тайное хищение имущества

Тогда и карту не надо иметь.Завести виртуальную,еще украсть невозможно. smile:D

slowpoke

Сообщений: 2245Регистрация: 01.04.2015 Репутация: 188

с 21.01.2024

#23

20.07.2016 16:28

Цитата
grisha33 Надо будут Аву подсказать куда идти верной дорогой.

Бесполезно. Ава - это банк для лохов с понтами. DisplayCard - это премиальный сегмент, расчитанный на то, что пользователей таких карт немного. Если перейти на обычные дешевые криптокалькуляторы и снизить цену продукта до массового сегмента, то желающих станет так много, что их не потянет установленный в Аве Gemalto Ezio Server.

KorobochkaNP

Сообщений: 5Регистрация: 15.07.2016 Репутация: 0 Город: Москва

#24

20.07.2016 21:14

slowpoke, спасибо за разъяснение. Т.е. криптокалькулятор ВТБ24 заработает с дисплей-картой авангарда? Если не авангард, то какие банки по вашему мнению нормальные в отношении безопасности и в целом вменяемости? (не критикую, интересно мнение разбирающегося в этом человека)

andy_g, очень интересно, спасибо. Но на сайте БМ почти нет информации об этих токенах в контексте физ.лиц. Можете рассказать поподробнее, как получить токен, как он выглядит и как работает (или написать название модели токена)?

Sardinoff, спасибо за инфо. А можно e-token уралсиба использовать вместе с SMS-кодами, т.е. чтобы требовалось и то и другое, т.е. напр. вход ИБ только по токену, подтверждение платежа только по SMS?

Насчёт получения карты с дисплеем Авангарда бесплатно - я не юрлицо; правильно ли понимаю, что для этого нужно покупать по карточному счёту этой же или дополнительной на тот же картсчёт карты в интернете + в магазинах на 30 000 руб в месяц? И считаются ли операции в сотовых сетях, или правила как с милями?

Скреч-карту / лист одноразовых паролей можно отсканировать и тут же уничтожить. Отсканированное - распознать, зашифровать и хранить любым удобным способом в зашифрованном виде (например, в KeePass, LastPass, итп), но это небезопасно если комьютер может быть заражён/скомпрометирован.

Отдельная карта для криптокалькулятора - это как раз хорошо - у неё отдельный PIN, её можно хранить отдельно от основной карты, а занимает места она немного. ВТБ24, например, перевыпускает зачем-то существующую карту для того чтобы можно было работать с криптокалькулятором. (Правда, непонятно: если у меня их несколько, плюс дополнительные на других людей на тот же счёт, какие из них смогут использоваться для доступа к моему ИБ после такого перевыпуска?)

Подробности про ЭЦП Авангарда:

Цитата

ЭЦП реализована в виде Java-апплета, встроенный непосредственно в веб-интерфейс ИБ.

Корректно работает в современном Mozilla Firefox; с Chrome и Edge не работает совсем.

Без проблем работает в Linux + Firefox + OpenJDK 1.7 + IcedTea (поддержка java-апплетов). Правда, очень медленно - у меня подписание каждого документа занимает около 5 минут, возможно из-за старого компьютера который я использую для работы с ИБ.

Для изначальной генерации ЭЦП нужно установить на компьютер их библиотеку (с её помощью они собирают энтропию для ГСЧ, хотя в линуксе специально для этого есть /dev/random. Библиотека бинарная и поддерживает архитектуры x86 и x86_64) и перезапустить браузер.
После этого можно запустить в ИБ генерацию ЭЦП и подтвердить её по SMS - ИБ сам генерирует файлы ЭЦП, сам же отсылает в банк.

На диске остаются ключи включая приватный, публичный, ключ шифрования, и сертификат банка. Эти файлы не зашифрованы дополнительно, и зашифровать их, как я понимаю, нельзя, т.е. в случае кражи этих файлов вор/хакер/вирус получит возможность совершать любые действия в ИБ если он знает пароль от ИБ. Параноикам рекомендуется записать на флэшку/DVD вместе с файлами ЭЦП линукс, грузиться оттуда, и хранить саму флэшку/DVD в сейфе.

Для того чтобы ЭЦП заработала нужно физически явиться в банк, они дадут распечатку вашего публичного ключа и ID сертификата, их желательно сверить со своим файлом и подписать (ручкой на бумаге). Ещё при этом зачем-то открыли счета для интернет-вкладов (бесплатные).

После активации ЭЦП, в ИБ для подтверждения операции будет предлагаться выбрать одну из трёх кнопок: SMS-коды либо коды с скреч-карты либо ЭЦП. В мобильном приложении ЭЦП использовать нельзя.

Для использования ЭЦП достаточно щёлкнуть по соответствующей кнопке в ИБ и подождать - никаких паролей на саму ЭЦП вводить не требуется, Java-апплет сам загрузит файлы ключей (или попросит вас их отыскать если вы их переместили) и подпишет платёж.

Одноразовые коды в SMS можно отключить, скреч-карты с одноразовыми кодами можно заблокировать, ЭЦП блокируется звонком в банк.

Для перевода больших сумм могут потребоваться ЭЦП+скреч-код+SMS одновременно, это работает даже если SMS-коды отключены. Для малых сумм и других операций включить такую схему принудительно нельзя.

Оплата на интернет-сайтах через 3D-secure и некоторые другое операции (в том числе некоторые операции в ИБ) возможны только через SMS или скреч-код.
Но в ИБ можно установить лимиты на операции, в том числе нулевые. У банка есть бесплатные карты Maestro мнгновенного выпуска без чипа с бесплатными SMS-уведомлениями которые идеально подходят для платежей в интернете (чисто виртуальных карт, к сожалению, нет).

Вход в ИБ - только через пароль (максимум 8 знаков!!!), который можно сбросить только по телефону зная кодовое слово. Кодовое слово можно сменить только явившись лично в отделение. Кроме логина и пароля для входа в ИБ ничего не требуется (ни SMS, ни ЭЦП, ни скреч-кодов) и изменить это невозможно. Подтверждения используются только для проведения операций, (кроме переводов между своими счетами в авангарде, которые не запрашивают подтверждения).

Подводя итоги: к большому сожалению, ЭЦП у Авангарда - по сути, лишь для удобства, а также для возможности операций с большими суммами. Очень жаль. С другой стороны, если вы уверены в безопасности компьютера, а его файлы зашифрованы, это позволяет самому контролировать свою безопасность, в отличие от SMS, где приходится доверится сотовой сети.

P.S. Прошу прощения, "ВТБ" во всех моих сообщениях выше следует читать как "ВТБ24" (бывш. Гута банк) а не как ~~"ВТБ (ПАО)" (бывш. ВнешТоргБанк, теперь - ВТБ Банк Москвы)~~.

Изменено: KorobochkaNP- 21.07.2016 03:04

grisha33

Сообщений: 2270Регистрация: 06.12.2015 Репутация: 93

#25

21.07.2016 08:05

Цитата
slowpoke пишет: Ава - это банк для лохов с понтами

C чего бы? Отличный ИБ и МБ.Все проблемы решались быстро.Да,интерфейс застыл на уровне MS Office 97,но с безопасностью гораздо лучше,чем у Слона,ВРУ.