Рекомендации по использованию подписи данных CWYS

В предыдущих публикациях мы рассмотрели работу механизма CWYS (Confirm What You See), который позволяет генерировать ОТР с привязкой к защищаемым данным. В процессе эксплуатации часто возникает вопрос: какие данные должны принимать участие в генерации ОТР, чтобы наилучшим образом защитить систему.

Рассмотрим наиболее распространенный случай использования функции CWYS — подтверждение транзакций в платежных и банковских системах. Для защиты этой операции рекомендуем использовать следующие данные:

CWYS-transactions

Использование функции CWYS для подтверждения транзакций

  • сумма;
  • валюта;
  • получатель платежа;
  • идентификатор или номер транзакции;
  • текущий баланс пользователя или баланс после выполнения операции;
  • дополнительные данные, которые нужно защитить от подмены с точки зрения Ваших бизнес-процессов, например, дата выполнения операции, IP-адрес пользователя или отправитель платежа.

Важно отметить, что на каждом этапе взаимодействия с Protectimus необходимо использовать актуальные данные, с которыми работает пользователь в данный момент, а не те, которые были кешированы, речь идет о балансе, который иногда пересчитывают по определенному событию в системе, а пользователю отображают его состояние на определенный момент времени.

Использование этих данных в процессе генерации ОТР защищает их от подмены между созданием и выполнением транзакции, следовательно, уберегает пользователя от потери средств, а Вашу систему от множества репутационных и других рисков.

Author: Denis Shokotko

Жил-был в одном небольшом городе маленький мальчик, а звали его Дениска. Годы шли, он рос, а вместе с ним и рос интерес ко всему новому и непознанному. Особенно Денису нравились информационные технологии. Их чувства друг к другу были взаимными. Новое увлечение настолько манило, что он решил посвятить ему всю свою жизнь. В скором будущем он написал первую программу, потом еще, еще и еще... Тут ему не было равных. Его талант не мог быть не замечен. И вот, он уже стоит у истоков нового инновационного проекта. Теперь Protectimus в жизни Дениса как любовница, которая не будет его делить с другой и не потерпит измену :)

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This