Rambler's Top100
  интернет финансы главная | карта | поиск | | реклама  
главнаяПубликации  Публикации  Интернет Финансы Двухфакторная аутентификация для защиты финансовых сервисов: проблемы использования В последнее время все более популярным становится использование одноразовых паролей (OTP) в качестве второго шага для входа в систему, особенно для защиты финансовых сервисов.

XIX Международный Форум iFin-2019 "Электронные финансовые услуги и технологии"
XIX Международный Форум iFin-2019 "Электронные финансовые услуги и технологии"
Новости
Публикации
События
Ресурсы
Глоссарий
Партнеры
О проекте
Форум

Решения:

Интернет-банкинг


Интернет-трейдинг


Интернет-страхование


Интернет-расчеты


Безопасность

Aplex.ru Разработка веб-сайтов

Intersoft Lab (17.06.11)

V Международный Форум «ВБА-2018»

VIII Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2018»

Рекомендуем:

Итоги XVIII Международного Форума iFin-2018, 20-21 февраля 2018
Итоги IV Международного форума "Вся банковская автоматизация 2017" 18-19 октября 2017
Итоги VII Конференции «МОБИЛЬНЫЕ ФИНАНСЫ 2017», 18 апреля 2017


Спецпредложение:

Автострахование, страхование автомобиля, страхование жизни, медицинское страхование - cкидка 5% для посетителей iFin.ru подробнеe >>

Астраброкер 


-=startpage=-
П У Б Л И К А Ц И И


Двухфакторная аутентификация для защиты финансовых сервисов: проблемы использования
В последнее время все более популярным становится использование одноразовых паролей (OTP) в качестве второго шага для входа в систему, особенно для защиты финансовых сервисов. Вместе с тем у пользователей остается недопонимание, что такое двухфакторная аутентификация, какие существует риски, связанные с ней, и стоит ли вообще ее использовать. На эти вопросы ответил Александр Ермакович, руководитель направления по борьбе с онлайн мошенничеством "Лаборатории Касперского".

На сегодняшний день существует два основных подхода к OTP. Первый — это отправка одноразового пароля пользователю, например, в SMS. Второй — это код, который изменяется каждый раз, когда вы используете его для входа в систему или по предопределенному расписанию на основе предопределенного алгоритма.

Чтобы использовать первый тип, необходимо иметь устройство с сетевым подключением и номер телефона для получения SMS. С помощью таких устройств как RSA SecurID или Google Authenticator можно генерировать второй тип OTP. При чем они бывают отторгаемыми в виде железных токенов или софтверные.

Однако оба типа OTP имеют несколько недостатков, из-за которых они являются «двухступенчатой», а не «двухфакторной» аутентификацией.

Для начала рассмотрим SMS. По факту, оно не является вторым фактором. При входе на сайт с использованием SMS вы получаете сообщение с одноразовым паролем, отправленное на ранее указанный вами номер телефона. Идея заключается в том, что канал вряд ли будет контролироваться злоумышленником, который пытается аутентифицироваться незаконно.

Первая проблема здесь — доверие. Предполагается, что злоумышленник не может перехватить OTP из SMS-сообщения, поэтому вам нужно доверять операторам мобильной сети. Даже если вы уверены в сотовых операторах, вам все равно придется бороться с мобильными вредоносными программами, которые перехватывают SMS-сообщения, кроме того, шифрование, используемое в сотовых сетях, слабое. Даже если вы согласны с безопасностью мобильной сети и конечных пользователей, SMS по-прежнему не обеспечивает второго фактора, так как оно не является вашим уникальным идентификатором и может быть скопировано и использовано другими пользователями. Ваш номер телефона — это просто адрес, который вы можете в любой момент перевести на новое устройство. Единственное, что связано с номером — это сам телефон, но он используется только для получения SMS и никогда не аутентифицируется.

Теперь рассмотрим второй тип – генерируемые одноразовые пароли. Основная проблема в том, что такой вид OTP не создавался для второго фактора. Он был изобретен для предотвращения повторных атак в те дни, когда большинство сетевых коммуникаций были не зашифрованы, а сниффинг паролей являлся гораздо более серьезной проблемой, чем сейчас. Идея заключалась в том, что если вы включили переменную часть в пароль, то даже если бы она была захвачена из сети, злоумышленник не смог бы повторно использовать ее в будущем сеансе. Однако OTP не защищают от атак Man-in-the-Middle (MITM) или от фишинга, так что злоумышленник может по-прежнему использовать соединение, в котором пользователь отправил OTP.

И самое главное — OTP очень неудобные и раздражают пользователей! Чтобы использовать OTP, пользователям необходимо скопировать их из любого устройства, которое получает или генерирует их в форме кода. Кроме того, для удобства нужна достаточно короткая строка для ввода. Это препятствует гибкости, что приводит к снижению безопасности в реализациях OTP.

В итоге, с одной стороны, наличие OTP улучшает безопасность, так как их использование — это лучше, чем просто ввод паролей. С другой стороны, OTP не защищают от фишинга и MITM, при этом ухудшают опыт использования. Решение этой проблемы кроется в аутентификации на основе рисков, но это повод для отдельной статьи.
18.09.2018Источник: Журнал ПЛАС
все публикации | подписка на рассылку

 

-=endpage=-



Размещение информации на сайте | Условия размещения рекламы


Copyright 2000-2010 iFin.ru, e-mail:
создание сайта: Aplex, 2000
TopList Rambler's Top100