Двухфакторная аутентификация в мобильных приложениях
21.01.2017 от AndrewДвухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:
- таблица с одноразовыми кодиками;
- кодовое слово из которого для каждой сессии выбиралось определенная буква;
- разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
- генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
- технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера
Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул “Лучшего мобильного банка”, подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.
Честно говоря я долго думал, как можно удобно для пользователя обезопасить его операции в мобильном банке и элегантного решения никак не находилось. Как водится, нужная вещь лежала на самом видном месте – при входе в мобильный банк десятки российских банков уже несколько лет предлагают вместо ввода логина и пароля использовать отпечаток пальца, сканерами которого оснащено большинство новых смартфонов, но ни один банк не использует его для подтверждения операций! ПОЧЕМУ?! НЕ ПОНИМАЮ!!! Клиент должен входить в мобильный банк по логину и паролю, а подтверждать операцию своим отпечатком, тогда принцип двухфакторной аутентификации будет полностью соблюдатьтся, при этом без каких-либо затрат и неудобств для клиента.
Развивая эту идею, можно и 3D-Secure аутентификацию, которая у всех банков построена на тех же самых SMS, в то время как все больше покупок совершаются со смартфонов, модернизировать. Банк может выпустить специальное приложение для смартфона (или модифицировать существующий мобильный банк) и при каждой покупке в Интернете, вместо переадресации на веб-страницу ACS-сервера эмитента с окошком для ввода разового пароля и отсылки SMS, ACS-сервер должен посылать Push сообщение с деталями операции в клиентское приложение и клиент, убедившись в том, что все верно, отпечатком подтверждает свое согласие с данной операцией и покупка завершается. Насколько я слышал, что-то похожее подразумевается в рамках анонсированного, но не запланированного перехода на версию 2.0 технологии 3D-Secure.
Рубрики: Банковская розница | 6 комментариев »»»
23.01.2017 в 15:46
И тут же в новостях: http://www.plusworld.ru/daily/bank-vtb-zapuskaet-podtverjdenie-finansovih-operaciy-po-otpechatku-palca/
24.01.2017 в 11:10
Вот странно: всем понятно, что теряя смартфон, теряешь и канал получения СМС. А то, что вместе с ним теряешь и отпечатки пальцев, всем почему-то неочевидно.
25.01.2017 в 19:35
Так это и есть 3DS 2.0, все верно. Уже даже вроде спецификации появились (http://www.emvco.com/specifications.aspx?id=299) и Виза устно обещает с 2018 года его чуть ли не мандатом сделать для всех новых внедрений.
А до этого никто не реализовывал, так как общеотраслевого стандарта не было. Т.е. технически внедрить проблем нет, но вопросы того же liability shift’a остаются – кто в случае фрода будет отвечать по такой неаутентифицированной по правилам МПС транзакции?
07.06.2017 в 09:00
IMHO: с точки зрения технологии , отпечатак пальца гораздо менее безопасный способ чем SMS, код в тексте SMS хоть меняется каждый раз , а отпечаток пальца нет. достаточно раз его украсть(а веть это не более чем набор байт, картинка), перехватить, и вуаля… мы не то что в рамках разовой сессии, а навсегда получим доступ к мобильному банку жертвы.
Так что откровение автора никуда не годится.
07.06.2017 в 13:16
Есть ещё специалисты в стране.
Так победим!(с)
18.03.2019 в 10:36
Вот и случай из жизни, как с проебанного телефона вывели все деньги из банка Тинькова https://pikabu.ru/story/nepriyatnaya_neozhidannost_ot_kazalos_byi_nadezhnyikh_kompaniy_6573066