Методы идентификации и аутентификации пользователей при проведении онлайн-платежей

Содержание

Введение 3
1. Электронная платежная система 5
1.1 Понятие и виды онлайн-платежей 5
1.2 Риски пользователей при проведении онлайн-платежей 8
2. Безопасность при проведении онлайн-платежей 13
2.1 Понятие идентификации и аутентификации 13
2.2 Основные методы идентификации и аутентификации пользователей
при проведении онлайн-платежей 18
2.2.1 Использование пароля/PIN 18
2.2.2 Биометрические методы идентификации и аутентификации 18
2.2.3 Одноразовые пароли 20
2.2.4 Использование цифрового сертификата 23
2.2.5 Аутентификация устройства, использование дополнительных
приложений 25
Заключение 27
Список использованных источников 28

Введение

Стремительное развитие популярности глобальное сети Интернет привело к тому, что повсеместно начали создаваться системы электронных платежей. Главное преимущество подобных платежей заключается в том, что клиенты могут осуществлять платежи без изнурительных и зачастую технически трудных этапов физической отправки платежного поручения в банк. Понятие онлайн-платёж означает возможность оплатить услуги или товары через мобильное приложение или в интернете без использования банкнот. Обычно данная операция осуществляется прямо в мобильном приложении продавца или на сайте.
Существует много вариантов осуществления онлайн-платежей, к ним относятся:
Интернет-эквайринг;
Электронные кошельки;
СМС-оплата;
Оплата через сервисы Apple Рay, Samsung Pay, Android Pay и т.д.;
Онлайн-оплата с использованием терминалов.
В подобных системах и сервисах циркулируют информация (также и конфиденциальная), требующая защиты от просмотра, модификации и навязывании ложной информации.
Из-за роста популярности интернет-банкинга и онлайн-платежей всё более актуальной становится проблема мошенничества в этой сфере, так как информация, о которой идет речь может оказаться у злоумышленника. Помимо информации, его целью, в основном, будет являться получение денег пользователя. Ему будут нужны реквизиты банковской карты или, в случае интернет-банкинга, логина и пароля для доступа к счетам. Реквизиты банковских карт используются в операциях без предъявления карты в основном для оплаты товаров в интернет-магазинах.
Именно из-за подобных угроз, необходимо обеспечить соответствующую защиту. В основном данным вопросом занимается сторона, поставляющая ту или иную услугу или товар. Пользователю же требуется следовать предъявляемым требованиям, чтобы не попасть на уловки злоумышленника.
Так, при проведении онлайн-платежа, сервис в обязательном порядке проверяет пользователя на соответствие предъявляемых данных. Данный процесс представлен понятиями идентификации и аутентификации.
Для целей получения доступа наиболее полезным услугам при сохранении допустимого уровня безопасности пользователи обязаны помнить постоянно возрастающее количество имен пользователя, паролей (пин-кодов/PIN) и т.д. Для услуг, которые требуют дополнительной безопасности, например для электронной торговли, мобильной торговли, виртуального банка и т.д., использование паролей или пин-кодов в качестве средств идентификации или аутентификации не является достаточным. Требуются средства более строгой идентификации и аутентификации.
Именно поэтому в современных системах онлайн-платежей применяются различные способы идентификации и аутентификации. К наиболее распространенным методам относятся:
имя пользователя и пароль;
заранее сгенерированные коды безопасности;
сертификаты;
ввод кода подтверждения, принятого через сообщение службы коротких сообщений (SMS) и т.д..Электронная платежная системаПонятие и виды онлайн-платежейГлобальная сеть Интернет стремительно развивается и предоставляет каждый раз новые сервисы. К таким сервисам относятся так называемые электронные деньги. Большинство пользователей сейчас предпочитают для ведения своей деятельности системы электронных платежей в силу их удобства и для экономии времени.
Термин «электронные деньги» получи за последние три десятилетия широкое распространение в экономической литературе отечественной и зарубежных стран. В научных работах системы электронных платежей определяются как комплекс специализированных программных средств, которые обеспечивают транзакции денежных средств от потребителя к поставщику услуг или товаров[6]. Общая схема работы электронных платёжных систем приведена на рис. 1.
Рисунок 1 – Принцип работы ЭПС
Так же следует определить понятие онлайн-платежей. Онлайн-платёж – возможность оплатить услуги или товары через мобильное приложение или в интернете без использования банкнот. Обычно данная операция осуществляется прямо в мобильном приложении продавца или на сайте.
На данный момент системы электронных платежей принято делить на следующие виды:
Интернет-эквайринг. Данный способ является самым простым для проведения онлайн платежа, так как перевод денежных средств со счета покупателя на счет продавца осуществляется при участии банка и процессинговой компании. Последняя предоставляет интерфейс для онлайн-покупки и производит процедуру списания и зачисления денег. Она может быть независимым предприятием или принадлежать банку. С помощью технологии защиты 3D-Secure, позволяющей аутентифицировать покупателя (с помощью отправки SMS на телефон и т.д.) подтверждается информация о платеже;
Электронные кошельки. В качестве кошельков могут выступать кошельки таких сервисов, как QIWI, WebMoney и «Яндекс.Деньги». Данные компании предоставляют сайтам продавцов плагины для удобства расчетов. Стоит отметить, что данные о произведенной оплате передаются с использованием криптографических протоколов TLS и SSL;
СМС-оплата. Этот метод заключается в списании денег со счёта мобильного телефона за те или иные покупки или услуги. К примеру, оплата контента в играх. Подходит для бизнеса, где проводятся много платежей без нужды в чеках.
Несмотря на удобство данный способ редко используется из-за небольших сумм на мобильных счетах пользователей и дороговизны. К тому же комиссия SMS-агрегатора иногда доходит до 27%.
Оплата через сервисы Apple Рay, Samsung Pay и Android Pay. В этих мобильных платежных системах используется токенизация платежных данных карты. В смартфоне имеется токен, который представляет собой доступ к данным карты покупателя, с которой списываются средства . подтверждение покупки производится с помощью пароля, Touch ID или Face ID.
Онлайн-оплата с использованием терминалов. Под этим понимается самостоятельное взаимодействие клиента с терминалом, например, с терминалом «Связного», «Евросети» или QIWI. Продавец предварительно заключает договор с оператором терминала, подключающего оплату услуг бизнеса[12].
Также платежные системы можно по наличию программного обеспечения разделить на две группы:
требующие установки дополнительного программного обеспечения (например, Интернет.Кошелек, Webmoney);
платежные системы с веб-интерфейсом (RUpay, Яндекс.Деньги, Paypal, E-Gold).
Любая электронная платежная система обеспечивает определенные преимущества электронных денег перед традиционными деньгами, так как переводы и платежи внутри ЭПС имеют следующие свойства:
анонимность (не во всех системах);
моментальность;
экстерриториальность;
относительно небольшие комиссии;
защищенность (нельзя или трудно подделать электронные деньги в отличие от наличных);
делимость (любая сумма электронных денег, которая больше принятого в ЭПС минимума, может быть разделена на более мелкие части)[3].
Однако следует отметить тот факт, что, не смотря на явные перспективы использования электронных денег в России, пока не имеются законодательные правила для них. До тех пор пока в данном вопросе не наступит ясность, электронные платежные системы должны подстраиваться и искать такие модели работы, которые смогут полностью соответствовать действующим нормам и которые смогут быть объяснены традиционными правовыми терминами.
Риски пользователей при проведении онлайн-платежейПоведение онлайн-платежей удобный процесс, и имеет много преимуществ, однако есть определенные проблемы риски, когда платежи обрабатываются в Интернете.
К наиболее существенным рискам проведения онлайн платежей относятся:
кража личных данных пользователя;
кража денежных средств.
Стоит отметить, что самая большая проблема с любыми видами онлайн-платежей связана с безопасностью соединения. Во время обработки платежей важно обеспечить защищенность соединения, чтобы злоумышленник не смог, к примеру, перехватить данные о банковской карте, чтобы использовать для кражи личных данных обладателя карты.
Не следует недооценивать серьезность похищения личных данных. Так, например, средняя величина ущерба от утечки данных малого бизнеса в Европе от негативной прессы составляет 150000 долларов[18].
Платежные сервисы используют много способов и технологий для обеспечения защиты проводимых транзакций. Все платежные системы должны иметь возможность обеспечить онлайн-защиту данных банковской карты клиента, чтобы минимизировать риски хищения персональных данных.
На дынный момент искусственный интеллект и машинное обучение всегда работают над выявлением закономерности, которая способствует прохождению безопасных транзакций при одновременном блокировании потенциально мошеннических транзакций. Всегда необходимо спрашивать о безопасном диалоге с платёжными сервисами, позволяющими использовать банковские карты.
Большинство экспертов утверждаю, что гораздо сложнее получить разрешение на работу с банковскими картами именно для онлайн-платежей. Это все сложно из-за того, что есть риск отсутствия точности или искажения товаров, которые продаются по Интернету, причем этот риск выше, чем в традиционных магазинах.
При совершении покупок в интернете, онлайн-покупатели принимают на себя некоторый риск, потому что трудно определить добросовестные интернет-магазины и не попасться на уловки мошенников.Также, в то время, как некоторые интернет-магазины легко разрабатывают мошеннические схемы, они сами могут стать пострадавшими.
В большинстве случаев продавцы уверены в том, что информация, предоставленная клиентом точная и он является авторизованным пользователем используемой карты.
Любой мошенник с достаточным количеством личной информации о владельце банковской карты может использовать данную карту для проведения онлайн платежа. В такой ситуации продавцу необходимо предпринимать все возможные шаги для того, чтобы вести учет онлайн-транзакций на случай разборок. Это особенно полено, когда держатель банковской карты оспаривает платеж («возвратный платеж»)[15].
Сами же платежи при х проведение с помощью банковских карт вполне безопасны Во время оплаты любого товара или услуги, сторона банка осуществляет ввод карточных данных, хотя пользователь и находится на сайте продавца Именно поэтому продавец не имеет доступа к секретным банковским реквизитам. Однако, если пользователь попадет на фишинговый сайт, все его введенные реквизиты станут доступными мошенникам.
При оплате картой всегда следует обращать внимание на правильность ссылки и включен ли режим «безопасное соединение». Также необходимо стараться не проводить оплаты в общественной WiFi сети, чтобы обезопасить себя от потенциального внешнего несанкционированного вмешательства с целью сбора вводимой информации (пароли, карточные реквизиты).
Существуют классификации, в которых выделяются следующие риски онлайн-платежей:
риск утраты ликвидности – неисполнение эмитентом своих обязательств из-за недостаточности размера активов;
кредитный риск – получение убытков из-за неисполнения обязательств третьими лицами (расчетными банками, банками-участниками и т.д.);
правовой риск – действие или событие правового характера;
операционный риск – убытки в результате недостатков организации системы или злоупотребления лиц, которые имеют доступ к системе;
риск потери управляемости в результате утраты руководством контроля над одним из вышеперечисленных рисков.
Но только часто в составе категории «операционный риск» имеются специфические риски, носящие самостоятельный характер и не укладывающиеся толком ни в одну из перечисленных категорий.
К ним относятся следующие распространенные риски:
риск утраты личных данных пользователя электронных денег;
риск взлома электронного кошелька;
риск утраты данных или денежных средств из-за сбоя оборудования системы;
риск похищения данных клиентов, осуществленного посредством хакерских атак на клиента, банк, магазин или на обслуживающий процессинговый центр, риск чарджбеков (требований клиентов, в т.ч. недобросовестных, к магазину о возврате средств, предъявляемых через обслуживающий банк) и т.п[4].
Также необходимо упомянуть о возникшей новой категории рисков электронных платежей и электронных денег. Данные риски связаны с безопасностью транзакций.
В таблице 1 конкретизируются объекты и целеи разрушающих воздействий злоумышленника.
Таблица 1. Модель возможных разрушающих действий злоумышленника
Объект воздействия Цель воздействия Возможные механизмы реализации воздействия.
HTML-страницы на web-сервере банка Подмена с целью получение информации, вносимой в платежное поручение клиентом. Атака на сервер и подмена страниц на сервере.
Подмена страниц в трафике.
Атака на компьютер клиента и подмена страниц у клиента
Клиентские информационные страницы на сервере Получение информации о платежах клиента (ов) Атака на сервер.
Атака на трафик.
Атака на компьютер клиента.
Данные платежного поручения, вносимые клиентом в форму Получение информации, вносимой в платежное поручение клиентом. Атака на компьютер клиента (вирусы и т.д.).
Атака на данные поручения при его пересылке по трафику.
Атака на сервер.
Частная информация клиента, расположенная на компьютере клиента и не относящаяся к системе электронных платежей Получение конфиденциальной информации клиента.
Модификация информации клиента.
Выведение из строя компьютера клиента. Весь комплекс известных атак на компьютер, подключенный к сети Интернет.
Дополнительные атаки, которые появляются в результате использования механизмов платежной системы.
Информация процессингового центра банка. Раскрытие и модификация информации процессингового центра и локальной сети банка. Атака на локальную сеть, подключенную к Интернет.
Из данной таблицы можно определить базовые требования, которым должна удовлетворять любая система электронных платежей, функционирующих в сети Интернет:
Система должна обеспечивать защиту данных платежных поручений от несанкционированного изменения и модификации;
Система не должна увеличивать возможности злоумышленника по организации атак на компьютер клиента;
Система должна обеспечивать защиту данных, расположенных на сервере от несанкционированного чтения и модификации;
Система должна обеспечивать или поддерживать систему защиты локальной сети банка от воздействия из глобальной сети.
Сиферс определяет эффективную электронную платежную систему как систему, мгновенно подтверждающую сделку, позволяющую контрагентам напрямую обмениваться информацией с ценностями без привлечения третьей стороны, при этом находясь внутри безопасной транзакционной среды[11].
Безопасность электронных платежных систем имеет шесть основных уровней:
Идентификация – представление всех участников сделки, у которых возникают по ней права и обязательства;
Аутентификация – процесс проверки с целью убедиться, что оба участника сделки являются теми, за кого они себя выдают;
Авторизация – указание на инициатора сделки;
Доверие – уверенность, что ни у кого нет доступа к данным, не являющимся им функционально необходимыми;
Уверенность в целости и полноте передаваемых данных во время сделки;
Гарантия неотказа клиента от совершенного платежа и платежеспособности клиента.
2.Безопасность при проведении онлайн-платежей

2.1Понятие идентификации и аутентификации

Одной из важных задач обеспечения защиты от несанкционированного доступа является использование средств и медов, которые позволяют одной (проверяющей) стороне убедиться в подлинности другой (проверяемой) стороны.
С каждым зарегистрированным в компьютерной системе субъектом (процессом, который действует от имени пользователя) связана определенная информация, однозначно идентифицирующая его. Это может быть какое-нибудь число или строка символов. Эту информацию называют идентификатором субъекта. Если пользователь обладает идентификатором, который зарегистрирован в сети, он считается легальным пользователем; остальные пользователи нелегальные.
Перед тем как получить доступ к ресурсам компьютерной системы, пользователю необходимо пройти процесс первичного взаимодействия с компьютерной системой, включающий идентификацию и аутентификацию. Как ранее оговаривалось, безопасность электронных платежных систем имеет шесть основных уровней, которые включают описываемые понятия идентификации аутентификации. Следует уточнить их различия.
Идентификация — это процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется в первую очередь, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.
Аутентификация — процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль)[25].
Идентификация и аутентификация – взаимосвязанные процессы распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы о разрешении доступа к ресурсам системы конкретному пользователю или процессу[7]. После идентификации и аутентификации субъекта выполняется его авторизация. Процесс идентификации и аутентификации показан на рис. 2.
Рисунок 2 – Процесс идентификации и аутентификации
Авторизация — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу действия субъекта и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в ней могут быть нарушены.
С процедурами идентификации и авторизации тесно связана процедура администрирования действий пользователя.
Администрирование — это регистрация действий пользователя в сети, включая его попытки доступа к ресурсам[1]. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и администрирование ПО — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.
Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории:
На основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код (PIN), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос—ответ.
На основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory.
На основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.) В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.
Пароль — это то, что знает пользователь и что также знает другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними[8].
Персональный идентификационный код PIN является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.
Динамический (одноразовый) пароль — это пароль, который после одноразового применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.
Возможные средства идентификац и аутентификации представлены на рис. 3.
Рисунок 3 – Средства идентификации и аутентификации
Методы идентификации в ЭПС — предлагаемые в различных платежных системах Интернета варианты по идентификации пользователя кошелька.
Следует привести метод идентификации и аутентификации, которые используются различными сервисами с онлайн-платежами:
PayPal. Идентификация происходит предельно просто - по факту привязки к счету валидной кредитной или дебетовой карты;
WebMoney. Частичная идентификация происходит после прикрепления к счету номера мобильного телефона и высылки в вебмани копии паспорта через электронную почту, данные в котором совпадают с данными аттестата;
Яндекс.Деньги. Есть несколько вариантов - визит в офис, отправка документов по почте, посещение офиса банка и пополнение счета через систему Контакт или же по Евросети;
Деньги@Mail.ru. Система полностью скопирована с Яндекс.Денег.
2.2 Основные методы идентификации и аутентификации пользователей при проведении онлайн-платежей2.2.1 Использование пароля/PINМетод аутентификации с использованием пароля основан на информации, которая известна только пользователю, и состоящий из комбинации действительного и уникального идентификатора (имя пользователя) и секретной парольной фразы (пароль/PIN-код), где конечным пользователям предлагается ввести личную парольную фразу для аутентификации[9].
Система парольной аутентификации самая популярная из-за простоты ее реализации и логической ясности принципов функционирования. Она используется в большинстве информационных системах и при проведении онлайн-платежей, хотя есть много угроз данной схемы авторизации (анализ трафика, подбор пароля и т.д.). Защита от перечисленных угроз производится комплексом мер, среди которых центральное место занимает криптографическая защита.
Кроме того для обеспечения большей безопасности могут быть реализованы:Виртуальная клавиатура – состоит из программной клавиатуры, отображаемой на экране (для предотвращения клавиатурных шпионов);
Частичный пароль – пользователю предлагается ввести только некоторые цифры или символы из PIN-кода/пароля, частичный пароль запрашивает разные позиции для каждого сеанса.
2.2.2Биометрические методы идентификации и аутентификацииПри биометрическом методе конечные пользователи проходят проверку подлинности с помощью их характеристик, таких как биометрия тела или поведенческая биометрия (распознавание отпечатка пальца, голоса, лица, геометрии руки) или поведенческая биометрия (динамика нажатия клавиш, рукописная подпись). Ниже приведены наиболее часто используемые биометрические методы.
Поведенческая биометрия анализирует поведение пользователя при взаимодействии с компьютером:
динамика нажатия клавиш – также известный как набор биометрических данных, этот механизм аутентификации использует шаблоны ввода (прошедшее время между парами нажатий клавиш) для аутентификации пользователя.
цифровая рукописная подпись – собственноручная подпись человека, которая учинена с помощью соответствующих программных средств для подтверждения целостности и подлинности подписываемого документа в электронном виде.
Биометрия тела анализирует некоторые характеристики тела пользователя, которые не могут быть легко изменены:
распознавание отпечатков пальцев – отпечаток пальца пользователя сканируется для проверки подлинности;
распознавание голоса – этот механизм обрабатывает (спектральный анализ) голос пользователя для проверки личности говорящего пользователя;
распознавание лиц – биометрическая система сканирует лицо пользователя и анализирует конкретные черты лица/узор, чтобы подтвердить ее подлинность;
геометрия руки – геометрическая форма руки пользователя используется для проверки его личности[24].
По принципу работы, используемые для аутентификации сканеры, делятся на три вида:
оптические сканеры, функционирующие на технологии отражения, или по принципу просвета. Из всех видов, оптическое сканирование не способно распознать муляж, однако, благодаря своей стоимости и простоте, именно оптические сканеры наиболее популярны;
полупроводниковые сканеры — подразделяются на радиочастотные, емкостные, термочувствительные и чувствительные к давлению сканеры. Тепловые (термосканеры) и радиочастнотные сканеры лучше всех способны распознать настоящий отпечаток и не допустить аутентификацию по муляжу пальца. Полупроводниковые сканеры считаются более надежными, нежели оптические;
ультразвуковые сканеры. Данный вид устройств является самым сложным и дорогим. С помощью ультразвуковых сканеров можно совершать аутентификацию не только по отпечаткам пальцев, но и по некоторым другим биометрическим параметрам, таким как частота пульса и пр.
2.2.3Одноразовые паролиДанный метод заключается в создании другого и случайного пароля, известного как одноразовый пароль или OTP, который действителен только для одного сеанса или транзакции, его также называют динамической аутентификацией. Типичная реализация OTP основана на одном из следующих алгоритмов: OTP на основе событий, OTP на основе времени или OTP «запрос-ответ». Кроме того, OTP могут доставляться несколькими способами, обеспечивая различные преимущества с точки зрения удобства использования, безопасности и стоимости. Подходы статического OTP обычно основаны на списках кодов TAN (Transaction authentication number, аутентификационный номер транзакции), в то время как подходы динамического OTP включают в себя OTP на основе SMS, аппаратный токен, программный токен и QR-коды (двумерный штрих-код быстрого отклика[16].Следует подробнее описать методы реализации OTP:
Аутентификационный номер транзакции (TAN). У пользователя есть физический документ со списком кодов (OTP), который он должен использовать для ответа на вызов из приложения веб-банкинга. Вызовы генерируются случайным образом, поэтому соответствующий ответ выглядит также случайно;
Одноразовые пароли по SMS. В данном случае OTP отправляется пользователю посредством SMS-сообщения на зарегистрированный номер телефона пользователя, каждый раз, когда транзакция требует аутентификации;
Токен авторизации. У пользователя есть физическое электронное устройство, которое генерирует определенный пароль (OTP) каждый раз, когда пользователь запрашивает его. Существуют различные типы устройств, которые могут использоваться для этой цели:
Аппаратный токен (OTP на основе времени) – у пользователя есть специальное физическое электронное устройство, которое генерирует определенный пароль (OTP) каждый раз, когда пользователь запрашивает его. Сгенерированный OTP в этом случае является уникальным значением, например, шестизначное число, которое меняется через фиксированные интервалы (например, каждую минуту). В этом примере OTP основан только на календарном времени и личном ключе, хранящемся на устройстве;
Аппаратный токен (OTP на основе «запрос-ответ») – у пользователя есть специальное физическое электронное устройство, которое генерирует определенный пароль (OTP) каждый раз, когда пользователь запрашивает его. В этом случае используется протокол «вызов-ответ»: сначала приложение веб-банкинга генерирует вызов (например, случайное число); этот вызов должен быть напечатан в токене, чтобы получить правильный ответ; наконец, ответ отправляется обратно в приложение веб-банкинга, которое будет аутентифицировать пользователя на основе ответа;
Мобильное OTP-приложение – у пользователя на мобильном телефоне установлено приложение, которое генерирует определенный пароль каждый раз, когда пользователь запрашивает его. Пользователю может потребоваться ввести код вызова, отображаемый на компьютере веб-сайтом приложения электронного банкинга. В мобильных решениях настоятельно рекомендуется регистрация мобильного устройства, чтобы уменьшить связанные с безопасностью риски, которые присущи мобильным устройствам;
QR-коды – пользователь сканирует двумерный штрих-код запроса, который отображается на экране приложения электронного банкинга, с помощью приложения для мобильного телефона, которое генерирует определенный пароль на основе этого вызова. Это исключает необходимость повторного ввода запроса пользователем. Стоит отметить, что сила безопасности токена в значительной степени зависит от способа его реализации. В QR-кодах мобильное приложение/мобильное устройство должно быть аутентифицировано (то есть должна быть регистрация, чтобы связать его с конкретным пользователем). Это поможет избежать сканирования QR-кода из любого вредоносного мобильного приложения/устройства. Другое решение, использующее QR-код нового поколения, - технология VASCO CrontoSign. QR-код здесь представляет собой цветную криптографическую матрицу, содержащую реквизиты платежного поручения. VASCO предлагает как программное решение (мобильное приложение), так и аппаратное - DIGIPASS 760[16].
Другой вид автономных средств аутентификации – это картридеры, поддерживающие технологию EMV CAP. Они характеризуются относительно невысокой ценой (около 500 руб.) и высоким уровнем безопасности. Сам картридер неперсонализирован. По сути, генерацией кода занимается EMV-чип, встроенный в пластиковую карту клиента. Для ввода информации и вывода готового кода используется недорогой картридер. Эту технологию уже используют некоторые отечественные кредитные организации.
Коды подтверждения, формируемые по технологии EMV CAP, на стороне банка проверяются с использованием специализированного программного обеспечения. Данное ПО взаимодействует с аппаратным защищенным хранилищем (HSM), в котором хранятся секретные ключи EMV карт, используемые для симметричного вычисления одноразовых паролей и кодов подтверждения. Особенность данной технологии – защита только чипованных карт. Карты с магнитной полосой останутся беззащитными.
2.2.4Использование цифрового сертификатаАутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием централизованной базы паролей[5].
Сертификат представляет собой электронную форму, в которой содержится следующая информация:
открытый ключ владельца данного сертификата;
сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименование организации, в которой он работает, и т. п.;
наименование сертифицирующей организации, выдавшей данный сертификат.
Этот метод основан на том, что конечный пользователь проходит аутентификацию через электронные подписи. Закрытый ключ пользователя может храниться в ключе компьютера, мобильном телефоне, карте памяти USB и криптокарте. Ключи могут находятся в следующих хранилищах:
Хранилище ключей компьютера. Электронная подпись создается с использованием закрытого ключа пользователя, который хранится на жестком диске его компьютера;
Токен памяти (USB, карта памяти). Электронная подпись производится с использованием закрытого ключа пользователя, который хранится на USB-накопителе или карте памяти (съемное запоминающее устройство);
Электронная идентификационная карта. Электронная подпись создается с использованием закрытого ключа пользователя, который хранится в электронной идентификационной карте или специальной смарт-карте (со встроенными криптографическими функциями);
Мобильный телефон. Электронная подпись производится с помощью мобильного телефона пользователя, где хранится его личный ключ.
В перспективе, угроз безопасности при поведении онлайн платежей можно будет избежать при использовании мобильного устройства для формирования электронной подписи. Данная технология была предложена компанией Аладдин Р.Д. В качестве средства аутентификации клиента здесь выступает специальная SIM-карта, генерирующая электронную подпись. Карту можно использовать и по основному назначению. Решение не зависит от технологичности мобильного устройства, его ОС, процессора и других параметров. Для передачи реквизитов платежа на телефон клиента используются SMS специального формата, либо, пока менее распространенная, технология NFC (Near Field Communication). Крипто-апплет работает с сопроцессором SIM-карты[2].
2.2.5Аутентификация устройства, использование дополнительных приложенийЕсли пользователь получает доступ к услуге электронного банкинга через ранее зарегистрированные или используемые устройства и платформы или через специальное мобильное приложение для этой услуги, то можно избежать некоторых этапов аутентификации.Идентификация пользователя подтверждается регистрацией устройств, которые пользователь использовал ранее. Попытка получить доступ к приложению с онлайн-платежом с нового устройства, платформы или браузера потребует дополнительного механизма аутентификации. Также пользователь может получить доступ к услуге из приложения, определенного для этой услуги, работающего на мобильном телефоне.
Всё более распространенным становится применение для аутентификации клиентских мобильных приложений, генерирующих код подтверждения (mTAN - mobile Transaction Authentification Number). Примером такого рода решений являются приложение Альфа-Ключ (Альфа-Банк) и зарубежное ModirumID. Главные недостатки данного решения связаны с использованием смартфона в качестве средства аутентификации.
В современном мире люди всё чаще используют смартфон как устройство для проведения онлайн-транзакций. Это, без сомнения, облегчает жизнь злоумышленникам, ведь остаётся заразить вредоносным ПО только мобильное устройство жертвы. В данном случае мобильное приложение, установленное на том же смартфоне через который клиент совершает транзакцию, не сможет защитить клиента.
Существуют также мобильные приложения, которые для получения реквизитов платежа считывают QR-код с экрана компьютера. Яркий представитель такого класса решений система PayControl от SafeTech. Данное решение является, своего рода, «оптическим токеном», встроенным в с?