Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Дисплейные карты с генерацией одноразового пароля

(Голосов: 1, Рейтинг: 5)

11.04.2012 Количество просмотров 2273 просмотра

Юрий Товб, генеральный директор Группы компаний КАРТХОЛЛ

Антон Савельев, ведущий специалист Группы компаний КАРТХОЛЛ


Юрий Товб

Антон Савельев

Сегодня российский рынок банковских карт уже сложно отнести к числу находящихся в стадии становления. Динамичный рост среднегодовой эмиссии, развитие эквайринговой сети1, всевозрастающее количество держателей карт2, приближающееся даже не к европейским, а к американским масштабам, свидетельствуют о том, что перед нами уже не просто юный, нестабильный, бурлящий новыми необдуманными решениями рынок, а развитая перспективная бизнес-среда, восприимчивая к нововведениям, но все же четко придерживающаяся выбранных векторов развития. Однако несмотря на формальную готовность рынка к инновациям, многие новые технологические решения в сфере пластиковых карт, уже отлично зарекомендовавшие себя за рубежом, увы, пока не нашли своего применения в России. Среди подобных технологий, незаслуженно обойденных вниманием участников российского рынка, стоит отметить дисплейные банковские карты с генерацией одноразового пароля - One-Time Password Display Card (OTP-cards).

Хотя сам метод дополнительной защиты транзакции с использованием одноразового пароля уже давно перестал быть новинкой, на российском рынке его применяют в основном в виде скретч-карт или брелоков, которые клиент банка полу-чает вместе с кредитной/дебетовой кар-той. При этом дополнительные меры безопасности зачастую оборачиваются неудобствами для клиента и дополнительными расходами для банка. Скретч-карты не подходят для клиентов, которые часто совершают интернет-транзакции: по мере исчерпания одноразовых кодов на карте им снова и снова приходится обращаться в банк. Кроме того, износостойкость скретч-карт оставляет желать лучшего. Брелоки чуть более удобны, однако постоянно носить в бумажнике или в кармане весьма объемный предмет нравится далеко не каждому.

Очевидно, именно этими соображениями и руководствовались создатели дисплейной карты, которая объединила в себе функции кредит-ной/дебетовой карты со способностью генерации одноразового пароля. Дисплейная карта выглядит так же как и обычная кредитная/дебетовая карта, за исключением того, что она имеет не-большой дисплей и кнопки. При нажатии кнопки на дисплей выводится так называемый динамический код доступа для процедуры аутентификации. Карта обладает встроенным источником питания и может быть использована повсеместно, без каких-либо дополнительных устройств. Это простое и эффективное решение, удобное как для владельца карты, так и для финансовых учреждений.

Идентификация динамическим кодом - это метод, использующий переменный код доступа для аутентификации в каждой транзакции. Специальные алгоритмы генерируют отдельный код доступа для каждой операции, который, в свою очередь, подтверждает физическое наличие карты у участника операции. Этот процесс помогает предотвратить многие типы мошенничества с использованием украденной персональной информации. Наряду с обычным клиентским паролем динамический код доступа составляет мощную двухфакторную защиту. При необходимости благодаря одной или более (до 12 в данный момент) кнопок на карте процесс запуска карты в работу может быть обусловлен вводом ПИН-кода. Владелец карты начинает операцию в интернет-банке так же, как и всегда, вводя статический пароль. Затем вводится динамический код, который он получает с помощью нажатия кнопки на карте.

Динамический код доступа подтверждает сеанс работы с подлинной картой от имени ее держателя и, будучи введенным наряду со стандартным статическим кодом, подтверждает транзакцию. Подобная двухфакторная идентификация обеспечивает высокий уровень безопасности в соответствии с FFIEC-стандартами.

 Карта создана на базе оригинальной Power Inlay технологии – батареи, микросхемы и коммутатора. Каждый код доступа генерируется в процессе сложного алгоритма и может быть использован лишь один раз в ограниченный период времени. Это предотвращает реализацию большинства способов мошенничества с использованием ранее украденных данных обычной карты.

Интернет-мошенничество и кража персональных данных представляют собой серьезную проблему, которая становится острее день ото дня, а интернет-покупки и транзакции особенно уязвимы в плане мошенничества. Уникальный код на дисплейной карте представляет собой дополнительную степень защиты помимо стандартного ПИН-кода. Поскольку динамический код может быть использован всего один раз, это препятствует использованию хакерами информации о номере карты, ее CVV и статических паролях в своих целях. Дисплейная карта может быть эффективно внедрена в онлайн-банковские программы как один из факторов «двухфакторной идентификации».

Дисплейная карта работает так же, как и обычная кредитная/дебетовая карта. Сам же дисплей с динамическим кодом представляет собой дополнительную функцию. Дисплейную карту можно использовать так же, как и любую другую пластиковую карту, в магазинах, банках и банкоматах и как ID-карту. Технология не связана с ключевыми идентификационными элементами карты, такими как магнитная полоса или чип. Батарея разработана таким образом, чтобы она служила дольше самой карты. Обычная карта имеет трехлетний срок службы. Когда батарея иссякнет, срок службы самой карты уже будет завершен. Дисплейные карты уже сертифицированы международными платежными системами, такими как Visa и Master Card, и выпускаются ведущими европейскими и американскими производителями.

 В ближайшее время совершенствование мер обеспечения безопасности транзакции станет магистральной линией развития рынка банковских карт, что в целом неудивительно, если учитывать нынешний бум мобильного и онлайн-банкинга по всему миру, не исключая и нашу Родину.

В России онлайн-банкинг уже успел стать достаточно популярным, причем в весьма сжатые сроки. В 2000 г., когда лишь около 4% населения России пользовались Интернетом, примерно 40 банков предлагали разные формы удаленного банковского онлайн-сервиса. Более половины банков, развивавших онлайн-банкинг в то время, ориентировались исключительно лишь на юридических лиц. Однако уже в 2005г. число физических лиц, пользовавшихся банковскими онлайн-услугами, оценивалось экспертами в 155 тыс. человек. Сейчас примерное количество российских интернет-пользователей составляет 26,8 млн человек, то есть 24% от всего населения страны в возрасте старше 18 лет. Из них, по данным опросов, каждый третий готов управлять своим банковским счетом через Интернет. Сами банки отмечают постоянный и значительный рост клиентской базы – более 40% в год. Так, например, на Альфа-Банк, Райффайзенбанк и Ситибанк приходится в совокупности уже более 300 тыс. клиентов, пользующихся интернет-сервисами банка3.

 Вместе с этим наблюдается неуклонный рост мошенничества в данной сфере. Так, по данным ФБР, объемы интернет-фрода выросли с 256 млн долл. США в 2008г. до 560 млн долл. в 2009-м4 . Общее число финансовых правонарушений, совершенных в Сети, превысило 336 тыс. в 2010г. Годом ранее их было чуть больше 275 тыс., таким образом, годовой рост составил более 22%. Больше всего преступлений было совершено с проведенными через интернет платежами (16,6% от общего числа мошеннических транзакций), тогда как второе место уверенно занимают инциденты, связанные с оплатой товаров в розничных сетях (11,9%). По неофициальным данным одного из российских банков, всего за 5 месяцев 2011г. таких преступлений было совершено в два с лишним раза больше, чем за весь 2010г.5

 При этом «черный рынок» уже давно изобилует товарами и услугами для интернет-мошенников. По данным исследования состояния кибермошенничества, проведенного в 2010г. PandaLabs6 , так называемые кард-клонеры (устройства, дающие возможность скопировать данные платежных карт) обойдутся мошеннику от 200 до 1000 долл. за устройство, поддельные банкоматы – до 35 000 долл., а подложные реквизиты и сертификаты банка – от 80 до 700 долл. И это лишь неполный список подобных «товаров», ассортимент которых растет год от года, а цена падает.

Несмотря на подобные угрожающие тенденции, российские банки пока недостаточно совершенствуют безопасность своих систем интернет-банкинга, во многих случаях они ограничиваются устаревшими технологиями типа уже упомянутых скретч-карт. В подобной ситуации начавшееся было бурное развитие интернети мобильного банкинга в России рискует быстро закончиться, встретив на своем пути непреодолимое препятствие в виде мошенничества в сфере электронных платежей. С ростом этих тенденций российскому рынку потребуются качественно новые решения в сфере безопасности, ключевым условием которых будет удобство пользователя карты. В схеме интернет-платежей именно картхолдер является слабым звеном в обеспечении безопасности транзакции. От того, насколько удобным будет для клиента использование новых дополнительных устройств обеспечения безопасности, в немалой степени зависит его желание воспользоваться ими, а не игнорировать их ввиду сложности их применения, что в конечном итоге и определит эффективность этих мер. Дисплейная карта, являясь простым в применении и в то же время изящным высокотехнологичным решением, в полной мере отвечает вышеизложенным требованиям. Простота и удобство дисплейной карты позволяет экономить время клиента, а ее надежность и долговечность сократят организационные и финансовые издержки банка.

При решении судьбы любого инновационного карточного продукта главную роль играют два процесса: эквайринг и персонализация. Если с точки зрения обслуживания ОТРкарта, предлагаемая группой компаний КАРТХОЛЛ, использует стандартные «ридеры» магнитной полосы, контактного и бесконтактного чипа, 1D или 2D графического кода и, конечно, глаза владельца для чтения пароля на дисплее. Все это залог ее успешного внедрения! С обеспечением персонализации конструкторам пришлось повозиться, но и здесь мы можем констатировать большой успех. Прежде чем перейти к подробному рассказу о персонализации ОТР-карт, хочется отметить, что отсутствие надежного решения этой задачи практически парализовало широкое внедрение трех эффективных карточных технологий:

• термоперезаписываемые карты – самое бюджетное решение для размещения графической информации на карте;

• лазерные оптические карты уникальной надежности и емкости;

• магнитодинамические, оптоинтерфейсные, дисплейные карты.

 Таким образом, для наших карт в первую очередь открыто традиционное банковское стандартное эмбоссирование и, конечно же, двухсторонняя индент-печать в положенных местах. Традиционная магнитная высококоэрцитивная полоса занимает свое стандартное 2–3-дорожечное место на обороте карты. Контактный чип успешно имплантируется на лицевую сторону карты в свое стандартное место слева. Бесконтактный чип компактно располагается внутри карты вместе с антенной. Соответственно, благодаря стандартным геометрическим параметрам продукта физические характеристики ОТР-карты также позволяют ее успешно персонализировать во всех стандартных устройствах для записи данных на магнитную полосу, контактный и/или бесконтактный чип, а также для эмбоссинга/индент-печати. К сожалению, есть жесткие ограничения для графической персонализации – наиболее распространенные термодиффузионные и трансферные, а также ретрансферные технологии пока неприменимы изза неизбежных при этих процессах повышенного нагрева и деформаций тела карты. Надеемся на хотя бы частичное решение этой проблемы в самом ближайшем будущем. В настоящее время для ОТРкарт доступны следующие графические технологии: струйные, лазерные, а также и такие редкие, как цифро-лазерно-доламинационно-довырубная (ЦЛДД) печать7.

 По понятным причинам относительно редко обсуждаемые вопросы разделения процедуры персонализации и инициализации чипов по времени, месту и институциональным полномочиям в нашем случае требуют особой аккуратности и ответственности, так как необходимо безопасно запустить механизмы исполнения алгоритмов генерации псевдослучайных чисел на карте и на удостоверяющем сервере. Здесь оптимизм внушают уже успешно работающие в России многочисленные проекты на базе брелоков и «калькуляторов» с использованием одноразовых паролей. Итак, вполне справедлива постановка вопроса – готов ли российский банковский сектор к подобным инновациям, необходимым на фоне постоянного совершенствования преступным сообществом методов мошенничества?

На российском рынке дисплейные карты вместе с полным комплексом программных и персонализационных решений предлагает Группа компаний КАРТХОЛЛ, партнерами которой являются ведущие мировые производители.


1 По данным ЦБ РФ, на 1 ноября 2011 года в стране зарегистрировано 615 банков, занимающихся эквайрингом.

2 По данным банка России, общее число банковских карт на российском рынке уже превысило численность населения страны, составив к 1 октября 2011 года 167 584 951 карту

3 «Оборонные» технологии онлайн-банкинга; AV-School, Адамов. А [http://av-school.ru/article/a-93.html]

4 2009 Internet Crime Report [ http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf ]

5 По материалам IV Международной Конференции DLP-Russia, Москва, 28 октября 2011г. // Основные угрозы ИБ систем удаленного банковского обслуживания и защитные меры. Окулесский В.А.//

6 Panda Security Report. The Cyber-Crime Black Market: Uncovered [ http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf ]

7 ЦЛДД успешно используется компанией Розан в производстве многомиллионной «Социальной карты москвича», а также в самой большой в мире государственной системе идентификации граждан в КНР.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… предоплаченные платежные карты возникли как платежный инструмент в середине 1990-х гг., и первыми из них были карты Electronic Benefits Transfer (EBT) в США, на которые заменили ранее выдаваемые нуждающимся бумажные продовольственные сертификаты?