Аутентификация и подпись в ДБО
Финансовые организации ищут замену SMS для аутентификации, например для входа в интернет-банк или мобильный банк, а так же для подтверждения транзакций. Среди причин можно указать следующие:
-
Уязвимость к атакам на уровне оператора. Протокол SS7 позволяет получить SMS сообщение, предназначенное определенному номеру в сети любого оператора, который сообщит, что номер зарегистрирован в данный момент у него. Такие виды атаки доступны даже при небольшом бюджете злоумышленника. Нередки и случаи несанкционированного перевыпуска SIM карт без ведома владельца.
-
Уязвимость к вредоносным программам, перехватывающим SMS сообщения. Попасть на смартфон клиента такие вирусы могут при установке приложения из ненадежных источников. Но есть случаи распространения вредоносных программ и через приложения, опубликованные в официальных магазинах google play и apple store.
-
Нельзя не упомянуть про необходимость разделения контуров подготовки и подтверждения поручений на осуществление перевода денежных средств. Это требование указано в Положении Банка России №382-П. Помимо прочего, меры разделения контуров должны обеспечивать "возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений". Проще говоря нельзя подтверждать платеж, сформированный в интернет банке, вводом кода в этом же интернет-банке. Вместо этого предлагается использовать отдельную программную среду, где осуществляются подтверждения.
-
Высокая стоимость SMS так же играет свою роль в пользу отказа от этого канала взаимодействия.
Решением для замены привычных одноразовых SMS-кодов является использование смартфона в качестве аутентификационного токена. Для этого на смартфон устанавливается приложение Personal Mobile. Подробнее про сам метод аутентификации можете прочитать по ссылке.
Поскольку сообщения аутентификации передаются через мобильный интернет или через Wi-Fi, метод Personal Mobile не уязвим, например, для атак типа «человек посередине», нацеленных на методы OTP (поскольку от пользователей не требуется переносить OTP в целевую систему) и к атакам на каналы передачи SMS и голосовых вызовов. В случае с Personal Mobile через общедоступные каналы передачи данных отправляется: сначала в одну сторону несекретный случайно сгененирорванный запрос сервера, затем обратно - подписанный запрос сервера. При подтверждении транзакции в приложение Personal Mobile на смартфоне отправляются данные этой транзакции, которые так же подписываются и уже в подписанном виде возвращаются в бэкэнд интернет-банка. Коммуникации с контуром аутентификации и электронной подписи защищены криптографически. Основной контур — приложение в котором клиент взаимодействует с интернет-банком — не участвует в подтверждении электронных сообщений, как того и требует 382-П.
Использование push аутентификации позволяет избежать затрат на обмен SMS сообщениями. Пользователям нужно только касаться экрана смартфона, вместо того, чтобы переписывать OTP, как это приходится делать с SMS-OTP. А как известно, удобство использования не должно быть на последнем месте при выборе решения для аутентификации. Опрос Gartner клиентов банков США, проведенный после того, как банки внедряли новые методы проверки подлинности для розничных банковских операций в ответ на рекомендации Федерального совета по финансовым институтам (FFIEC), показал, что 12% клиентов рассматривали смену банков, потому что они обнаружили, что банковские приложения стали слишком сложными, а 3% фактически изменили банки. Плохие впечатления пользователей привели к потерям бизнеса.
В своем исследовании от ноября 2016 года Gartner прогнозирует, что Out-of-band методы аутентификации, использующие смартфон как токен к 2020 году будут в 80% развертываний использовать именно канал push. Для сравнения на момент исследования push использовался только в 15% таких случаях.
Мобильное приложение и SDK
Сервер аутентификации