Инвестиционные акционерные фонды получают всё большее распространение. На фоне традиционного недоверия отечественных граждан к банкам, фондовым биржам и другим подобным структурам инвестиционные фонды выгодно выделяются. По сути, они объединяют в себе все те качества, которыми должна обладать идеальная машина для получения денег.
19.08.2016, 15:37:31
Войти Зарегистрироваться
Авторизация на сайте

Ваш логин:

Ваш пароль:

Забыли пароль?

Регистрация
Навигация
  • Новости
    • Новости
    Архив новостей
    Реклама
    Календарь событий
    Right Left

    Про багатофакторної аутентифікації і не тільки

    Ринок систем аутентифікації в фінансових установах демонструє сьогодні парадоксальну консервативність, незважаючи на запуск Єдиної біометричної системи і зростання інтересу банків до біометрії в цілому

    Ринок систем аутентифікації в фінансових установах демонструє сьогодні парадоксальну консервативність, незважаючи на запуск Єдиної біометричної системи і зростання інтересу банків до біометрії в цілому. Будь-яких принципових змін в системах ДБО не викликають навіть регулярно підвищувати операторами мобільного зв'язку тарифи на розсилки SMS-повідомлень для банків. До таких висновків приходить Павло Есаков, експерт по системам аутентифікації компанії CompuTel System Management.

    Курйозні речі іноді мають під собою якусь цілком певну підгрунтя. Аутентифікація - один з наріжних каменів безпеки. Зауважимо, що дуже часто має місце підміна понять: дуже часто, навіть в банківському секторі, йдуть розмови про необхідність саме ідентифікації клієнта.

    На щастя, для банків ця необхідність явно надумана - клієнт, як правило, не приховує свої ідентифікаційні дані (наприклад, називає своє прізвище, ім'я, по батькові при візиті до відділення). Банку всього лише необхідно упевнитися в тому, що надана інформація про особу достовірна. І якщо у відділенні банку наступні процедури операціоніста з перевірки достовірності повідомлених клієнтом ідентифікаційних даних строго регламентовані (і при цьому уніфіковані у всіх банках), то в разі надання банківських послуг в дистанційному режимі кожен банк практично діє так, як вважає за потрібне. Справа в тому, що в Росії поки відсутній будь-який виразний документ, що визначає вимоги до системи аутентифікації при наданні банківських послуг в віддаленому режимі.

    Скажімо прямо, російські банки не балують своїх клієнтів різноманітністю систем аутентифікації при наданні фінансових послуг в системах ДБО. Пальців на одній руці вистачить, щоб перерахувати всі найбільш часто застосовуються інструменти: в роздробі це одноразовий пароль по SMS, для корпоративних клієнтів - той або інший різновид посиленою кваліфікованої підпису. Це може бути USB-токен з не вилученими ключем, а може бути і програмна реалізація посиленою кваліфікованої підпису, ключ якої може знаходиться як на зовнішньому носії, так і зберігатися на жорсткому диску комп'ютера, який відповідає за функціонування корпоративного інтернет-банку.

    Який же в ідеалі повинна бути система аутентифікації? Відповідь очевидна - безпечної, зручної та недорогої. На жаль, можна вибрати лише два якості з наявних трьох: зручна і недорога система аутентифікації не будуть безпечними, в чому можуть на ділі переконатися клієнти російських банків.

    Багато регуляторів у фінансовій сфері, з огляду на зростання кількості незаконних переказів банківських коштів в системах ДБО, прийшли до необхідності введення вимог, а іноді і стандартів для систем аутентифікації в рішеннях для дистанційного керування рахунком - прикладом може послужити документ RTS SCA (Regulatory Technical Standards Strong Customer Authentication ) Євросоюзу. Будь-який експерт в області аутентифікації скаже, що для підтвердження особи користувача і підтвердження транзакції необхідне використання багатофакторної аутентифікації. Число факторів невелика - всього три:

    • Фактор знання (те, що знаю я (і тільки я) - пароль, кодова фраза);
    • Фактор володіння (то, що є у мене (і тільки у мене) - ключ від сейфа, карта доступу);
    • Біометричний фактор (те, що притаманне мені від народження - відбитки пальців, особа, голос і маса інших ознак).

    Як правило, для забезпечення безпеки достатньо використання двох з трьох. І якщо з використанням перших двох факторів: фактора знання і фактора володіння питань практично не виникає, то третій фактор - біометричний, оповитий масою міфів і домислів. Почнемо з того, що іноді можна почути про те, що банк використовує двухфакторную біометричну аутентифікацію, що є явний нонсенс: багаторазове використання одного і того ж фактора не робить аутентифікацію багатофакторної. Так, біометричної аутентифікації властива многомодальним: у людини маса біометричних ознак, даних йому природою. Правда, треба віддавати собі звіт, що використання всіх цих біометричних ознак:

    • носить імовірнісний характер;
    • біометричні ознаки в режимі дистанційного обслуговування можуть легко відчужуватися (можна пред'явити відео або фото клієнта, отримане без його відома, можна підробити і голос). Слід, однак, відзначити - в разі динамічної біометричної аутентифікації (яку використовує ЕБС) останнім стає досить складним.
    • посилення вимог до якості аутентифікації клієнта обов'язково підвищує ймовірність того, що клієнт не буде аутентифікований;
    • сама схема біометричної аутентифікації набагато розширює вектор можливих атак на систему аутентифікації (бажаючі можуть познайомитися з документом NIST по темі біометричної аутентифікації по посиланню https://pages.nist.gov/SOFA/SOFA.html ).

    Тема біометричної аутентифікації стала настільки широко обговорюваної, що на цій хвилі не могли не з'явитися компанії, які використовують даний інформаційний привід для створення інтересу до свої продуктам, які часто взагалі не мають відношення до аутентифікації. Так, дуже часто стали говорити про аутентифікації на основі ризиків (Risk Based Authentication). Придивившись до такого методу аутентифікації, неважко помітити наступне - пропонується поєднати в одному рішенні три абсолютно незалежні технології:

    • поведінкову біометрії;
    • контроль за використовуваним для входу в систему ДБО пристроєм;
    • аналіз транзакційних ризиків.

    Поведінкова біометрія заснована на ідеї контролю за тим, як, якою швидкістю ви працюєте з клавіатурою, як переміщаєте курсор. Імовірність правильної аутентифікації клієнта досить невисока, та й занадто багато факторів впливають на швидкість роботи з клавіатурою і мишкою: час доби, умови освітлення, ваше фізичний і психологічний стан - але, тим не менш, це дійсно використання біометричного аутентификационного фактора, хоча в даному випадку вельми ненадійного.

    У другому випадку передбачається, що клієнт банку використовує завжди (або переважно) одне і теж пристрій для дистанційного керування рахунком, і в тому випадку, якщо це так, і наприклад, ви працюєте з того ж IP-адреси, що і раніше, а ваші географічні координати ті ж, що і раніше, то пропонується відмовитися від використання другого чинника - наприклад, не посилати SMS-пароль, тим самим спростити процес аутентифікації і заощадити гроші банку. Говорячи строго, дана технологія ніяк не пов'язана з аутентифікацією вас як клієнта банку. Більш того, маса атак в системах ДБО використовує технологію віддаленого доступу до комп'ютера легального клієнта: для проведення атаки буде використаний той же комп'ютер, ті ж геолокаційні дані і той же IP-адресу легального клієнта. У цих умовах вищеописаний механізм може надати вам ведмежу послугу, спростивши завдання для шахрая.

    Аналіз транзакційних ризиків - дуже корисний механізм, але, на жаль, до аутентифікації він теж ніякого відношення не має. Зрозуміло, що транзакції, що несуть малий рівень ризику, банк може виконати і без підтвердження від клієнта - це спрощує життя клієнта, хоча і вимагає наявності системи оцінки ризиків на стороні банку. Які транзакції несуть найнижчі ризики? Це переклади по шаблонах, переклади довіреною постачальникам, переклади податковим органам, так і просто транзакції на малі суми. Саме такий підхід і дозволяє створити систему аутентифікації, яка буде одночасно зручна і безпечна. Але практично відсутні банки, які можуть надати таку систему в дії. Багато банків використовують для оцінки транзакційних ризиків системи ризик моніторингу, але тільки одиниці можуть похвалитися тим, що результат оцінки ризику враховується в системі аутентифікації ДБО. До того ж завдання фрод-моніторингових систем не цілком збігаються з завданнями системи оцінки транзакційних ризиків.

    В цілому, треба відзначити, що склалася картина на ринку систем аутентифікації в фінансових установах свідчить про те, що навіть регулярно підвищувати операторами мобільного зв'язку тарифи на розсилки SMS-повідомлень для банків так і не викликали будь-яких змін в системах ДБО.

    Експертам відсутність реальної реакції банків в цьому відношенні бачиться помилковою, особливо з точки зору подальшої непередбачуваності «тарифного свербіння» компаній мобільного зв'язку.

    За матеріалами PLUSworld.ru

    Який же в ідеалі повинна бути система аутентифікації?
    Які транзакції несуть найнижчі ризики?

    www.fashionpark.kiev.ua © 2016