Денис КАЛЕМБЕРГ: «Затраты российских банков на SMS-канал за последние годы выросли в несколько раз»
На вопросы IT-Weekly.RU о способах аутентификации клиентов ДБО, их преимуществах и недостатках ответил генеральный директор компании SafeTech Денис Калемберг.
Какие способы аутентификации пользователей при работе сегодня наиболее часто используются в системах ДБО?
Аутентификация и подтверждение транзакций в системах ДБО физических лиц в России в большинстве случаев построены на базе одноразовых паролей (One Time Password, OTP), которые банки высылают клиентам через SMS. Реже используются скретч-карты или электронные генераторы одноразовых паролей, но принципиально суть одна и та же: операция подтверждается при помощи комбинации шести цифр, которую можно использовать только один раз.
В чем основные минусы использования традиционных SMS-паролей? Есть ли у этого способа идентификации плюсы?
В первую очередь стоит отметить, что SMS-канал в принципе не предназначен для функций безопасности, сообщения элементарно перехватываются как в канале связи, так и непосредственно в телефоне. Кроме того существует возможность для перевыпуска SIM-карты по поддельной доверенности и она также активно используется для кражи денег со счетов клиентов банков.
Что касается самих одноразовых паролей, то они никак не привязаны к реквизитам платежа, поэтому не защищают от фишинга, подмены реквизитов платежа, упрощают социальную инженерию и т.д.
Если говорить про остальные аспекты – огромное количество проблем возникает со скоростью доставки SMS, что затрудняет работу клиента, особенно в роуминге, а затраты российских банков на этот канал за последние годы выросли в несколько раз и по нашей оценке превысили 12 млрд рублей.
Единственный плюс технологии – доступность для клиентов, ведь мобильный телефон сейчас есть практически у каждого.
Как давно программные и аппаратные генераторы паролей используются в системах ДБО? Можно ли отметить какие-либо особые моменты в эволюции этих технологий?
Аппаратные генераторы паролей появились уже много лет назад и с точки зрения безопасности мало чем отличаются от обычных скретч-карт, потому что сгенерированный ими код можно подставить к любой платежке, и банк примет ее в исполнение. Этот же недостаток присущ и программным генераторам, которые стали активно развиваться 4-5 лет назад.
Чтобы убрать описанную выше проблему, разработчики средств безопасности «привязали» код к реквизитам платежа, так появилась технология Message Authentication Code (MAC). Это все те же 6 цифр, что и OTP, но они дают принципиально иной уровень защищенности, блокируя все известные на сегодняшний день атаки. Но есть и значительный минус: при использовании аппаратных MAC-токенов, чтобы подписать документ, необходимо сначала ввести в устройство PIN-код, номер счета и сумму, что делает работу с ним очень неудобной.
Именно это стало причиной появления «Оптических» МАС-токенов, которые автоматически считывают с экрана монитора реквизиты платежа, например через мигающий фликер и отображают на собственном дисплее. Соответственно, работать с ними намного удобнее, но и стоимость таких устройств не позволяет делать их массовым решением. Обычно банки предлагают их VIP-клиентам.
Главный недостаток аппаратных генераторов паролей очевиден – необходимо использовать дополнительное устройство. Но всё же, какой подход выигрывает с точки зрения безопасности – аппаратные или программные генераторы паролей?
Что касается генераторов одноразовых паролей, то и при программной и при аппаратной реализации уровень безопасности будет «ниже плинтуса».
Если же речь идет про технологию «продвинутых» кодов подтверждения, то, конечно, аппаратные MAC-токены или как их еще называют криптокалькуляторы, обеспечивают максимально высокий уровень защиты, но применять их для подтверждения небольших или регулярных транзакций будет ошибкой. Пользователь просто в какой-то момент откажется от работы в такой системе и уйдет в другой банк. В свою очередь, при соблюдении клиентом нескольких элементарных правил, программные генераторы кодов подтверждения защищают на порядок лучше, чем любая из реализаций одноразовых паролей.
Подводя итог: уровень безопасности должен соотноситься с уровнем риска и возможными потерями.
Какие дополнительные алгоритмы защиты паролей, сгенерированных специальными программными и/или аппаратными средствами, стоит выделить особо?
Как я уже говорил, есть два принципиальных шага, которые должны сделать банки, чтобы поднять уровень защиты транзакций на приемлемый уровень:
· Отказаться от незащищенных SMS и PUSH-каналов для передачи клиентам конфиденциальной информации (паролей и кодов подтверждения).
· Использовать коды подтверждения, «привязанные» к реквизитам платежа.
Сочетание этих шагов с моей точки зрения позволит переломить тенденцию роста количества краж со счетов клиентов российских банков.
Недавно компания SafeTech сообщила о внедрении программного генератора паролей в систему ДБО InterBank Retail, выпускаемую R-Style Softlab. Можете рассказать об этом подробнее?
Да, этот проект действительно очень интересен, как с точки зрения повышения безопасности, так и с точки зрения удобства при работе с системой Интернет-банкинга.
Наша разработка, программный комплекс PayControl – не просто генератор паролей, это классический «Оптический МАС-токен в смартфоне», который генерирует коды подтверждения, «привязанные» к реквизитам транзакций. Но при этом продукт лишен классических недостатков криптокалькулятора. Реквизиты операции не требуется вводить руками, они автоматически заполняются, когда клиент наводит камеру смартфона на QR-код, выдаваемый системой интернет-банкинга. После того, как пользователь убедился, что на экране телефона действительно его платежка, он просто нажимает кнопку «Подтвердить операцию» и программа генерирует код подтверждения, привязанный к реквизитам, времени операции, «отпечатку» смартфона и секретному ключу пользователя.
Подтверждение платежа становится проще и занимает меньше времени, чем получение SMS, а все усилия мошенников, направленные на то, чтобы узнать одноразовый пароль, теперь бесполезны. Сгенерированный код подойдет только для уже проверенных клиентом реквизитов.
Как много банков уже используют программные генераторы паролей? Как известно, Ваша компания сейчас занимается внедрением данной технологии в одном из госбанков? Каком?
На сегодняшний день у нас реализуется три крупных проекта по внедрению PayControl и один из них реализуется совместно с компанией R-Style Softlab в крупном государственном банке. Наименование банка пока озвучить не имеем права, но, думаю, уже летом тайна будет раскрыта.
Опубликовано 15.04.2016