журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

Международные банки

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКИЙ СЕРВИС

ФИНАНСОВЫЕ ПРОДУКТЫ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

УПРАВЛЕНИЕ РИСКАМИ

Банковское оборудование

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №12, 2006

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Двойной контроль

Новые технологии обеспечения безопасности онлайновых платежей могут обеспечить надежную защиту платежной информации

Обеспечение безопасности платежных трансакций в онлайновом режиме продолжает оставаться одной из самых горячих тем в мировой отрасли финансовых услуг. Многие банковские аналитики сегодня подводят итоги деятельности банков за 2006 год в секторе обеспечения безопасности электронных платежей, а также прогнозируют основные тенденции и особенности развития этого бизнеса на ближайшую перспективу.

Двухфакторная

аутентификация

В течение последних 12 месяцев в мировой отрасли платежей продолжался активный пересмотр традиционных бизнес-моделей, обусловленный тем, что финансовые институты предпринимали разнообразные шаги для стимулирования своих клиентов на более широкое проведение финансовых трансакций в онлайновом режиме.

Эта необратимая тенденция привела, как утверждают аналитики, к существенному и стабильному росту разработок и внедрению по всему миру методов так называемой двухфакторной аутентификации клиентов (two-factor authentication – 2FA), за счет чего банки и другие финансовые институты стремятся значительно повысить уровень безопасности электронных услуг, в том числе и платежных продуктов. С одной стороны, с помощью подобных технологий они намерены обезопасить и защитить себя от атак финансовых мошенников и хакеров, а, с другой, – обеспечить безопасность идентификационных данных потребителей, пользующихся банковскими услугами в электронном режиме.

Большинство действовавших до последнего времени систем аутентификации базировались на предъявлении пользователем компьютеру статической пары идентификатор/пароль. Однако в таком случае пары могут быть скомпрометированы из-за халатности пользователей или возможности подбора злоумышленником паролей. Значительные интервалы времени, в течение которых пароль и идентификатор остаются неизменными, позволяют применять разные методы их перехвата и подбора. Для повышения защищенности компьютерной системы администраторы ограничивают срок действия паролей, но, как правило, этот срок составляет недели и месяцы, что вполне достаточно для правонарушителей.

Радикальным решением в плане повышения безопасности онлайновых трансакций признано применение двухфакторной аутентификации, когда система просит пользователя предоставить ей «то, что ты знаешь» (имя и, возможно, некий PIN-код), и «то, что у тебя есть» (какой-либо аппаратный идентификатор, ассоциируемый с этим пользователем).

По мнению экспертов, основные преимущества двухфакторной аутентификации заключаются в следующем:

lвозможность применения одноразовых паролей вместо статических (даже если злоумышленник подсмотрит пароль, он не сможет воспользоваться им, поскольку при следующей аутентификации сервер сгенерирует уже новый вариант);

lотсутствие необходимости устанавливать какое-либо дополнительное программное обеспечение на клиентской части компьютерной системы, так как пользователь вводит пароль вручную, используя те же программные интерфейсы, что и при статических паролях;

lобеспечение снижения затрат на администрирование, так как администратору не нужно периодически менять статические пароли на сервере;

lнизкая стоимость устройств для генерации одноразовых паролей.

Наиболее широкое распространение технология двухфакторной аутентификации получила за последний год в США. Американские банки и финансовые институты в соответствии с директивой Федерального совета США по надзору за финансовыми институтами (Federal Financial Institutions Examination Council – FFIEC) были обязаны до конца 2006 года внедрить механизмы 2FA для проведения любых финансовых трансакций «повышенного риска», к которым Совет относит операции, допускающие получение доступа к информации о клиенте или к данным о движении денежных средств. Данная директива была принята на основании решения FFIEC о том, что однофакторная аутентификация не подходит для подобного рода трансакций.

Эти тенденции, связанные с распространением двухфакторной аутентификации в США и принятием законодательных нормативов в данном направлении, существенно влияют на глобальную отрасль платежей, что, как полагают эксперты, будет иметь как мгновенный, так и долгосрочный положительный эффект. Кроме повышения уровня безопасности самих онлайновых платежных трансакций за счет использования преимуществ 2FA в глобальном масштабе, применение двухфакторной аутентификации позволит провайдерам подобных систем разрабатывать на их основе новые решения по повышению уровня безопасности электронных платежных операций.

В настоящее время наиболее широко внедряемые в американском банковском секторе механизмы аутентификации пока нельзя классифицировать как «настоящие» решения 2FA, поскольку у пользователей нет полного набора технических средств, дающих им возможность эффективно использовать методику двухфакторной аутентификации. Многие американские финансовые институты продолжают пользоваться обычной связкой «логин-пароль», которая уже не отвечает современным требованиям защиты трансакций.

Эксперты все чаще высказывают мнение, что пароль – это конструкция из прошлого, весьма несовершенная и неудобная в использовании, поскольку человеческий мозг не приспособлен к работе со множеством длинных паролей и PIN-кодов. Ему гораздо проще запомнить комбинацию «1234», чем «kR7bw1Eq2W», хотя второй пароль гораздо качественнее. Десятки паролей второго типа запомнить практически невозможно, поэтому на рынке появились даже специальные программы, которые хранят множество паролей в зашифрованном виде. Но они тоже защищены одним-единственным мастер-паролем, утеря которого становится катастрофой.

Узнать же чужой пароль не составляет никакого труда. Для этого существует множество методов: кейлоггеры, записывающие все нажатия на клавиши (такие программы часто устанавливаются в интернет-кафе); программы для подбора несложных паролей; специальные вирусы; сайты, предлагающие пользователю зарегистрироваться с одной целью – узнать его пароль и т.д.

Тем не менее, следует признать, что американцы уже преуспели во внедрении технологий 2FA в национальную отрасль расчетов и платежей. Финансовые институты США планируют и далее совершенствовать эти инструменты защиты в интересах повышения безопасности платежных трансакций, а также намерены шаг за шагом подводить под них законодательную и нормативную базу. Безусловно, как полагают аналитики, их действия создадут прецедент для принятия мер повышенной безопасности с целью защиты интернетовских банковских трансакций в глобальном масштабе. Как быстро подобные законодательные инициативы будут реализовываться в других регионах мира, покажет время, но не в последнюю очередь это будет зависеть и от того, насколько успешными и продуманными станут со временем атаки хакеров и мошенников на онлайновые платежные трансакции.

Тем временем, в Европе несмотря на дефицит необходимых законодательных и регулятивных нормативов темпы внедрения систем двухфакторной аутентификации на протяжении всего 2006 года оставались достаточно высокими. Рост желания финансовых институтов устанавливать у себя подобные системы свидетельствует об их понимании преимуществ технологии 2FA. В свете принимаемых банками решений по дальнейшему усовершенствованию двухфакторной аутентификации и активного принятия на вооружение этой методики в качестве надежного инструмента обеспечения безопасности онлайновых финансовых трансакций становится очевидным, что перспективы использования этой технологии в 2007 году действительно станут многообещающими.

Будущее – за EMV

Успехи во внедрении 2FA в Европе в 2006 году можно в определенной мере объяснить быстро растущим на континенте применением технологии EMV (Eurocard, MasterCard и Visa). Разработанные совместно корпорациями Europay, МasterCard и VISA нормативы EMV призваны положить конец хаосу в развитии платежных приложений смарт-карточек, приведя процесс к общему знаменателю. Этим стандартом регламентируется функциональность универсальных приложений для дебетовой или кредитной карточки и устанавливаются соответствующие правила для карточки и терминала при реализации и обслуживании этого приложения. Наряду со стандартизацией платежного приложения в рамках EMV по сравнению с общепринятой магнитной полосой сделан огромный шаг вперед с точки зрения защиты карточки от подделки и обеспечения безопасности электронных платежных трансакций.

Многие европейские банки и другие финансовые институты активизируют переход своих платежных систем на технологии EMV за счет размещения дебетовых и кредитных карточек с приложением MasterCard Chip Authentication Program (CAP), основным принципом действия которого как раз и является двухфакторная аутентификация. В 2006 году MasterCard International представила два новых разработанных для обеспечения безопасности онлайнового банкинга и электронной коммерции решения – MasterCard All-in-One Authentication Device и MasterCard Mobile Authentication. Они основаны на стандарте аутентификации OneSmart Chip Authentication Program (CAP), используемом в настоящее время во многих странах.

Эти решения способны обезопасить операции благодаря использованию двухфакторной аутентификации: пользователь вводит определенную информацию, известную только ему (например, PIN-код), при этом, в роли дополнительного устройства аутентификации может выступать какое-либо имеющееся у него электронное устройство, например, – мобильный телефон.

MasterCard All-in-One Authentification Device – это тонкое автономное устройство, содержащее чип, поддерживающий стандарт OneSmart Chip Authentication Program. Пользователь вводит PIN-код в считывающее устройство, преобразующее его в пароль одноразового использования, который должен быть введен для того, чтобы дать клиенту право совершить онлайновую банковскую операцию или торговую операцию в Интернете на сайтах торговых организаций, которые, в свою очередь, защищены решением MasterCard SecureCode. Сгенерированный однократный пароль базируется на стандартах EMV и CAP и срабатывает только единожды. Когда операция завершена, пароль становится недействительным.

MasterCard Mobile Authentication (MMA) предоставляет возможность использования мобильных телефонов в качестве преобразователей паролей. Пользователь устанавливает специальное приложение (программу) на мобильный телефон, поддерживающее технологию J2ME. Таким образом, он получает возможность вводить PIN-код через электронные устройства, которые по функциям схожи с устройством MasterCard All-in-One Authentication Device.

Эти устройства преобразовывают PIN в однократный пароль, который должен быть введен, чтобы клиент смог совершить онлайновую банковскую операцию или операцию на сайте торговой точки, защищенной решением MasterCard SecureCode. Решение ММА поддерживает провайдер услуг по аутентификации в онлайновой среде компания Cardinal Commerce. Предусматривается, что в ближайшей перспективе это решение будет поддерживаться и другими лицензированными провайдерами.

По другую сторону Атлантики, в платежной отрасли США, движение в сторону стандарта EMV пока не такое быстрое, как в Европе. Однако кредитные и дебетовые карточки с магнитной полосой здесь тоже начинают постепенно сдавать свои позиции в пользу чиповых карточек, особенно сейчас, когда платежные системы Канады успешно переходят на стандарт EMV. Эксперты прогнозируют, что большая часть всех канадских платежных карточек будет базироваться на технологии EMV уже к 2010 году, ведь эта страна уже рассматривается как лидер, задающий тон распространению стандарта EMV по всей Северной Америке.

Предъявляемые американскими регулятивными органами требования к банкам США внедрить двухфакторную аутентификацию в онлайновые платежные трансакции до конца 2006 года является еще одним ключевым стимулом для скорейшей адаптации технологий EMV в США в ближайшей или среднесрочной перспективе. Ведь заложенное в них приложение CAP как раз и есть не что иное как двухфакторная аутентификация, защищающая онлайновые трансакции и предотвращающая финансовое мошенничество у POS-терминалов.

Вместе с тем, как полагают аналитики, массовое использование платежных карточек стандарта EMV наступит не ранее чем через три-четыре года. Однако уже сегодня в этом направлении предпринимаются реальные шаги. Весной 2007 года компания Cryptomathic приступит к инсталляции первой в Северной Америке инфраструктуры EMV, сигнализируя о том, что прогресс в этой области на континенте действительно стартует в самое ближайшее время.

Наряду с широким внедрением стандарта EMV во многих регионах еще одной тенденцией мирового рынка платежных услуг в 2006 году стал переход от технологии статической аутентификации данных (Static Data Authentication – SDA) к технологиям динамической (Dynamic Data Authentication – DDA) и комбинированной (Combined Data Authentication – CDA) аутентификации данных для авторизации трансакций EMV.

Суть метода SDA в том, что некоторые наиболее чувствительные данные карточки (с точки зрения определения результата выполнения операции) подписываются секретным асимметричным ключом эмитента карточки. Таким образом, SDA обеспечивает подтверждение целостности некоторых данных карточки. В этом смысле он будет аналогом механизма CVC/CVV для карточек с магнитной полосой, с той лишь разницей, что SDA обеспечивает проверку целостности гораздо большего объема данных.

Необходимо отметить, что SDA-карточки легко клонируются для совершения мошенничества в оффлайновых трансакциях, поскольку подтвердить подпись эмитента можно только в онлайновом режиме. Таким образом, SDA-карточки не обеспечивают значимого повышения уровня безопасности по сравнению с традиционными магнитными карточками в оффлайновых операциях.

Сущность методики DDA кроется в том, что у каждой карточки – своя пара асимметричных ключей, процесс же аутентификации заключается в подтверждении карточкой некоторых данных, формируемых терминалом, в числе которых обязателен элемент случайного числа. Клонировать DDA-карточку при ее правильной персонализации практически невозможно, так как она содержит не доступную кому бы то ни было секретную информацию (закрытый ключ карточки для подписания данных).

Наконец, метод CDA за счет объединения операции генерации криптограммы и аутентификации карточки в одной команде обеспечивает выполнение не только динамической аутентификации, но и гарантию целостности информационного обмена между карточкой и терминалом. Итак, самым надежным способом аутентификации карточки следует назвать метод CDA. За ним пойдут DDA и SDA. При этом, DDA и CDA включают в себя SDA.

Тем не менее, в настоящее время применение технологии DDA пока еще остается опциональным для банков, мигрирующих на стандарт EMV, поэтому сегодня эмиссия карточек DDA и CDA носит, скорее, опытный, чем массовый характер. Так, большинство обращающихся на мировом рынке карточек EMV, в том числе 70 млн. смарт-карточек, выпущенных в Великобритании в рамках проекта Chip & PIN, используют технологию статической аутентификации SDA. Однако в перспективе, как прогнозируют специалисты, переход на более безопасные технологии DDA и CDA для проведения трансакций EMV станет неизбежным, тем более что многие банки Европы, Ближнего и Дальнего Востока уже приступили к этому процессу и намерены активно продолжить его в 2007 году.

Олег Зайцев,
по материалам GT News

 
© агенство "Стандарт"