В нашей жизни за все приходится платить. Называйте это как угодно — закон сохранения энергии, карма, промысел божий, — но так есть и будет. В 19-м веке преданный сюзерену почтальон рисковал жизнью, чтобы доставить письмо по адресу за месяц, и уберечь послание от недоброжелателей. В 21-м веке обмен данными происходит мгновенно, но при этом «сломать печать» гораздо проще.
Кибернетическая преступность постоянно растет. Только в США в 2013-м году хакерским атакам подверглись более 3000 компаний. Пострадали сорок миллионов человек, сумма хищений — 160 миллиардов долларов. Доля компьютерных преступлений в рунете в 2014-м году составила 41% (11 тысяч) от всех зарегистрированных правонарушений в информационной сфере. В начале 2015-го года взломы биткоин-бирж всколыхнули сообщество владельцев криптовалюты, которая из-за этого обесценилась вдвое.
SMS-аутентификация
По тому же закону сохранения энергии (в нашем случае — денег), совершенствуются и методы онлайн-защиты. На смену простым паролям пришла двухфакторная аутентификация. С ней повсеместно сталкиваются клиенты банков, получая одноразовые коды доступа посредством sms. Конечно, это шаг вперед, но на нем просто споткнуться. После отправки из банка сообщение проходит через шлюз и GSM-сеть, состоящую из серверов и передающих вышек. Отсюда — относительно большая задержка между нажатием кнопки «подтвердить платеж» и приходом sms. Иногда — до пяти минут. Огромное для 21-го века время, в течение которого сообщение можно перехватить и перенаправить — то есть, воспользоваться в преступных целях. Современные хакеры применяют автоматизированные средства взлома, и паролем из sms они могут воспользоваться за доли секунд. Не говоря уже о том, что за некоторые из этапов транспортировки “short message” отвечают живые люди. А человек, как известно, слаб перед большими деньгами. Собственно, есть специальный термин, описывающий такую уязвимость — “человек посередине”. Это когда злоумышленник находится, в нашем случае, между банком и его клиентом.
Как нейтрализовать побочные эффекты sms-аутентификации? Например, посредством системы двухфакторной аутентификации, которую предлагает компания Protectimus. Одноразовый пароль, сгенерированный на специальном устройстве — токене, — которым обладает клиент, передается на сервер и сравнивается с паролем, полученным по такому же алгоритму и с такими же входными параметрами. Таковых устройств компания предлагает четыре вида, плюс — поддержка sms- и email-токенов. Более того, пароли генерируются по трем алгоритмам:
- по событию (нажатие пользователя на кнопку токена);
- по времени (используются внутренние часы токена);
- по запрос-ответу (одним из входных параметров является запрос от сервера).
Аппаратный токен Protectimus
Надежность системы подтверждается сертификатом The Initiative for Open Authentication, который подвергает любое соответствующее ему решение разнообразным проверкам. Кроме того, продукты «Protectimus» постоянно совершенствуются. Недавно разработана и уже применяется интеллектуальный анализ данных. Если коротко — это определение истинности пользователя по его «виртуальной среде». В планах — добавление фактора биометрической аутентификации.
Почему это удобно для банка? Во-первых, решение можно выбрать из двух вариантов:
- использовать так называемое SaaS — программное обеспечение как услуга (пример — облачные сервисы Google — Docs, Drive);
- интегрировать платформу «Protectimus» в существующую систему безопасности (гибкий интерфейс прикладного программирования максимально упростит этот процесс).
Во-вторых, интуитивно понятный пользовательский интерфейс адекватно отображается на устройствах разного типа (компьютер, смартфон, планшет). В-третьих, разработчики предоставляют клиенту полную документацию и техническую поддержку.
Ну и в-четвертых, конечно, деньги. Относительно конкурентов цена владения системой «Protectimus» меньше в два раза. В абсолютном исчислении — в одном из вариантов токен стоит менее десяти долларов, обслуживание — стартует от доллара в месяц при использовании одного токена. При этом клиент получает системный подход в решении вопросов безопасности данных, полноценное управление аутентификацией, а также системами мониторинга событий и нотификации внештатных ситуаций. Все «фичи» доступны на сайте проекта в полноценном демо-режиме (при регистрации вы еще получаете на счет 25$).
Да, за все в жизни приходится платить. Но если на кону стоят большие деньги и как следствие — спокойствие клиентов и престиж организации, то платить гораздо выгоднее, чем расплачиваться.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!