19еместо

0

-22
+22

Внедрение карты переменных кодов (КПК)

Есть категория пользователей, которые считают порочной модель безопасности ДБО, завязанную на операторов сотовой связи. Есть горькие примеры ее использования. Поэтому настоятельно прошу рассмотреть альтернативную идею: внедрить КПК. Прекрасно работает в ряде проектов в других банках. И, кстати, одно может не исключать другого. Я не хочу исключать СМС полностью. Но пользователь должен иметь право выбора. Прежде всего отключать СМС-подтверждение о входе в личный кабинет ИБ. Пользователь должен иметь возможность пользоваться КПК. Есть категория людей, которых напрягает, что между ними и банком стоит посредник в лице ОПСОСА, который не несет никакой ответственности за безопасность тех ресурсов, которыми оперируют банк и клиент.
Спасибо за понимание :)

Revolution, 06.09.2013, 17:05
Официальный ответ
Dmitry, 09.09.2013
Добрый день.
Согласен то что SMS сообщения не самый лучший способ защиты.
Поэтому мы реализовали дополнительную возможность привязки фин. операций к сим карте. Но не запускаем в промышленную эксплуатацию, т.к. это работает почти со всеми операторами кроме Мегафон. Он по политическим мотивам не хочет делиться такой информацией. Обещали в ближайшие 2 месяца решить этот вопрос.
А как вам такое решение, вместо карт использовать приложения RSA SecurID Software token, есть на Iphone ( на андройд не смотрел)? По крайней мере карту с кодами носить не нужно.
Статус идеи: ожидает рассмотрения

Комментарии

Revolution, 09.09.2013, 00:43
Круто :)
Ну а господа минусующие умеют сказать что-нибудь внятное на тему того как их напугала обыкновенная скретч-карта? :)))))
Илья, 09.09.2013, 01:50
Я за систему Авангарда. Для маленьких сумм выбирает клиент: можно СМС, можно КПК. Для больших сумм нужна КПК.
Илья, 09.09.2013, 18:54
Можно и софтверный токен. Только он, конечно, должен быть и на iphone, и на android, и на windows phone, да и на java было бы неплохо.
иванов, 10.09.2013, 15:17
Вот эту штуку хочу вместо карты:
http://www.aladdin-rd.ru/catalog/etoken/pass/
Revolution, 11.09.2013, 20:42
Спасибо, Дмитрий, я думаю RSA SecurID Software token отличная идея.
Всяко лучше, чем "чловек посредине" в лице опсоса.
Одно пожелание. По возможности подружиться c вендором, у которого больше кросплатформенности. Я глянул по диагонали, традиционно RSA не знает никаких десктопных платформ кроме винды и макоси. И с браузерами та же беда. Это плохо.
Спасио Вам и всей команде, респект, удачи в работе, и наилучшие пожелания :)
Angelo, 12.09.2013, 07:29
А что защиту по IMSI не прикрутите? Я думал уже это из разряда must have.
Только смысл этих защит, если доступ к счетам будет из АйКлика и Хэнди?
Dmitry, 12.09.2013, 08:56
Наработки по проверки IMSI уже есть, одна загвоздка, поставщики услуг по проверки IMSI ( мы с несколькими провели переговоры) на текущий момент не поддерживают мегафон. Т.е. для клиентов мегафон эта функция не работает. Обещают решить вопрос до конца года.
Предлагаю проголосовать за эту функцию, если многие поддержат, запустим без мегафона.
Zoomp, 13.09.2013, 03:28
Господа, ратующие на КПК и "цифровые токены"!

Хочу обратить ваше внимание на одну банальность.

Если на компьютере (планшете/смартфоне) хозяйничает вирус,
он может перехватить введенный в браузер код с КПК/токена
и использовать его для подтверждения своего распоряжения в банк.

Риски с SMS тоже есть и многократно озвучены.
Но в случае с SMS перехват кода вирусом/злоумышленником
лишен смысла, т. к. таким кодом можно подтвердить
только то распоряжение, для которого был подготовлен код в SMS.

Разумеется, текст SMS должен грамотным - отражать получателя/адресата перевода/платежа.

Пример безграмотного SMS:
SMS-код: 2478 Операция: перевод 3-му лицу в другой банк на сумму 250000 Никому не говорите это код! www.tcsbank.ru

Если вирус искусно имитирует вашу работу в ИБ,
отправляет в банк вместо вашего распоряжения своё
(на ту же сумму, но с другим получателем),
а банк вышлет SMS как в примере выше,
то по тексту SMS невозможно заподозрить подмену.
Разумеется, введя в браузер код из такого SMS,
вы просто скормите его вирусу -
он использует его для подтверждения своего распоряжения,
а вам "нарисует" позитивный результат исполнения вашего платежа.
И последующая SMS вида:
Внешний перевод. Другой банк. Сумма 250000.00 РУБ. iBank DD.MM.YYYY hh:mm. Доступно RRRRR.KK РУБ. www.tcsbank.ru
тоже подозрений не породит.

Господа Разработчики!
Учтите, что затраты на массовое заражение компьютеров обычных клиентов
с последующим хищением средств, для злоумышленников задача посильная
и быстрее окупаемая, а потому более интересная,
чем сложная процедура по перехвату SMS, хищению SIM отдельных клиентов.

Умные учатся на чужих ошибках.
lustyffh, 19.12.2013, 16:39
Cчитаю, что КСК - это архаизм по форме, но не по сути. КСК надо всегда носить с собой. Она быстро кончается, а ехать за новой в офис - это нерационально. Наиболее оптимальным будет программный токен. Надо оставить два варианта аутентификации, т.е. СМС и токен в зависимости от суммы операции. При этом клиент должен иметь возможность изменять лимит. Т.е. гибко и в то же время сознательно настраивая риск по своему "аппетиту".

Оставить комментарий