Какую форму безопасности при авторизации и использовании интернет-банкинга частными клиентами можно считать оптимальной? Какие тенденции в этой сфере? Расспрашивал экспертов Prostobank.
Игорь Дорошенко, Председатель правления (Банк Русский Стандарт):
В настоящее время у финансовых учреждений есть широкий спектр инструментов для обеспечения безопасности использования клиентами своих денежных средств. Всевозможные сертификаты, генераторы кодов доступа, электронные цифровые подписи, виртуальные клавиатуры и многое другое.
В любом случае, какой бы не был уровень безопасности банковской системы, самым ключевым гарантом сохранности собственных финансов является непосредственно сам клиент.
В технологической составляющей системы безопасности интернет-банкинга можно выделить два направления – авторизация пользователя системы и авторизация платежных операций, совершаемых дистанционно. Идентификация пользователя системы производится банком с использованием статического логина и пароля. Статический пароль должен периодически меняться для уменьшения рисков компрометации.
Для аутентификации (авторизации) платежных операций в интернет-банкинге банками используются следующие методы:
- одноразовые пароли (ОТР). Самый удобный формат для пользователя. Пароли могут генерироваться на стороне банка, в таком случае пользователь имеет возможность получать их различными способами: на банкомате, в виде SMS-сообщения (в Украине наиболее распространенный на сегодня способ), в виде списка (TAN-коды) и т.п. Одноразовые пароли также могут генерироваться на стороне клиента с использованием автономных генераторов одноразовых паролей (токенов), ПО или решений интегрированных в смарт-карты последнего поколения;
- электронно-цифровая подпись (ЭЦП). Электронная цифровая подпись может использоваться юридическими и физическими лицами как аналог собственноручной подписи для предоставления электронному документу юридической силы. Может находиться на USB-флешках, смарт-картах, а также в виде JAVA-апплетов (использоваться через веб-браузер). Использование ЭЦП хотя и наиболее рекомендовано НБУ, в то же время не является удобным решением для конечного пользователя. USB-флешки имеют аппаратную зависимость (только на устройствах с USB-портами), т.е. с такими устройствами как смартфоны или планшеты их использовать будет невозможно. Смарт-карты в большинстве своем также имеют аппаратную зависимость – необходимо наличие ридера смарт-карт, который должен быть всегда с пользователем для выполнения платежей. Решения на базе JAVA-апплетов подходят только для десктопов или ноутбуков, требуют наличие браузера с поддержкой JAVA, установки виртуальной JAVA-машины и более высокого уровня подготовки пользователей, так как процесс генерации требует внимания и сопряжен с рядом ограничений (привязкой к IP-адресу компьютера, ограничением по количеству сгенерированных паролей, необходимостью знания процедуры деактивации паролей по истечению их срока действия и др.).
Юлия Морозова, Директор департамента развития карточного бизнеса (VAB Банк):
Каждый банк сам определяет уровень защиты данных своих пользователей системы интернет-банкинга. Однако обязательными условиями безопасности системы является:
- Web-сервис с сертификатом безопасности https://;
- определенные требования к паролю для входа в систему;
- одноразовые пароли подтверждения каждой операции;
- генерация ключей Электронной цифровой подписи;
- автоматическая блокировка учетной записи при нескольких неудачных попытках регистрации в системе.
Владимир Шведченко, Начальник отдела электронного бизнеса (ОТП Банк):
Банки предпочитают использовать системы, построенные на принципах двухфакторной аутентификации. Данные решения являются наиболее простыми и достаточно надежными в сфере онлайн обслуживания. Регулярно возникающие предложения повсеместно внедрять цифровую подпись не находят достаточной поддержки, так как эти решения заведомо менее удобны для клиента, затратны для банка и весьма ненадежны при низкой компьютерной грамотности пользователей.
Сергей Надичев, Начальник департамента карточных продуктов (Всеукраинский Банк Развития):
Следует понимать, что безопасность очень часто является величиной обратно пропорциональной удобству. На текущий момент на рынке складываются тенденции, ограничивающие мобильность пользователя. Например, использование токенов (AladdineToken, Avtor) в качестве носителя электронно-цифровой подписи клиента. Наш банк планирует использовать работу по защищенному протоколу HTTPS с использованием SSL сертификата, подписанного доверенным Центром Сертификации и использованием двухфакторной авторизации по средством сессионных SMS-паролей.