Поиск

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул “Лучшего мобильного банка”, подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Честно говоря я долго думал, как можно удобно для пользователя обезопасить его операции в мобильном банке и элегантного решения никак не находилось. Как водится, нужная вещь лежала на самом видном месте – при входе в мобильный банк десятки российских банков уже несколько лет предлагают вместо ввода логина и пароля использовать отпечаток пальца, сканерами которого оснащено большинство новых смартфонов, но ни один банк не использует его для подтверждения операций! ПОЧЕМУ?! НЕ ПОНИМАЮ!!! Клиент должен входить в мобильный банк по логину и паролю, а подтверждать операцию своим отпечатком, тогда принцип двухфакторной аутентификации будет полностью соблюдатьтся, при этом без каких-либо затрат и неудобств для клиента.

Развивая эту идею, можно и 3D-Secure аутентификацию, которая у всех банков построена на тех же самых SMS, в  то время как все больше покупок совершаются со смартфонов, модернизировать. Банк может выпустить специальное приложение для смартфона (или модифицировать существующий мобильный банк) и при каждой покупке в Интернете, вместо переадресации на веб-страницу ACS-сервера эмитента с окошком для ввода разового пароля и отсылки SMS, ACS-сервер должен посылать Push сообщение с деталями операции в клиентское приложение и клиент, убедившись в том, что все верно, отпечатком подтверждает свое согласие с данной операцией и покупка завершается. Насколько я слышал, что-то похожее подразумевается в рамках анонсированного, но не запланированного перехода на версию 2.0 технологии 3D-Secure.

Рубрики: Банковская розница | 6 комментариев »»»

6 комментариев

  1. Ростислав пишет:

    И тут же в новостях: http://www.plusworld.ru/daily/bank-vtb-zapuskaet-podtverjdenie-finansovih-operaciy-po-otpechatku-palca/

  2. Razuka пишет:

    Вот странно: всем понятно, что теряя смартфон, теряешь и канал получения СМС. А то, что вместе с ним теряешь и отпечатки пальцев, всем почему-то неочевидно.

  3. Exist пишет:

    Так это и есть 3DS 2.0, все верно. Уже даже вроде спецификации появились (http://www.emvco.com/specifications.aspx?id=299) и Виза устно обещает с 2018 года его чуть ли не мандатом сделать для всех новых внедрений.
    А до этого никто не реализовывал, так как общеотраслевого стандарта не было. Т.е. технически внедрить проблем нет, но вопросы того же liability shift’a остаются – кто в случае фрода будет отвечать по такой неаутентифицированной по правилам МПС транзакции?

  4. asp пишет:

    IMHO: с точки зрения технологии , отпечатак пальца гораздо менее безопасный способ чем SMS, код в тексте SMS хоть меняется каждый раз , а отпечаток пальца нет. достаточно раз его украсть(а веть это не более чем набор байт, картинка), перехватить, и вуаля… мы не то что в рамках разовой сессии, а навсегда получим доступ к мобильному банку жертвы.

    Так что откровение автора никуда не годится.

  5. Andrew пишет:

    Есть ещё специалисты в стране.
    Так победим!(с)

  6. Andrew пишет:

    Вот и случай из жизни, как с проебанного телефона вывели все деньги из банка Тинькова https://pikabu.ru/story/nepriyatnaya_neozhidannost_ot_kazalos_byi_nadezhnyikh_kompaniy_6573066

Вставить свои 5 копеек:

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.