Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Платежная индустрия на пороге «мобильных» перемен

(Нет голосов)

26.09.2012 Количество просмотров 1438 просмотров

Игорь Голдовский
, генеральный директор компании «Платежные Технологии»

Сегодня у многих экспертов есть ощущение того, что мир находится на пороге радикальных преобразований в области финансовых услуг, в том числе в системах безналичных расчетов. Консервативная по своей сути банковская индустрия пытается сопротивляться грядущим переменам, но новые игроки рынка финансовых услуг из числа небанковских структур заставляют ее активно участвовать в происходящих процессах.

Очевидно, главным трендом нашего времени является использование сотового телефона в качестве универсального инструмента клиентского обслуживания, в том числе инструмента обслуживания клиента в мире финансовых услуг. Большинство экспертов уверены в том, что именно он станет следующим форм-фактором хорошо знакомой нам пластиковой карты.

Действительно, сотовый телефон уже сегодня обладает многими качествами, необходимыми для того, чтобы стать универсальным аутентификатором клиента, т.е. средством для подтверждения подлинности клиента, – пользовательским интерфейсом (дисплей, клавиатура), процессором, памятью и коммуникациями с внешним миром. Кроме того, сотовый телефон всегда имеет в своем составе элемент безопас ности (ЭБ), интегрированный с операционной средой сотового телефона (SIM/UICC-карта). ЭБ представляет собой микросхему, позволяющую безопасным образом хранить и обрабатывать клиентские данные. Если в ЭБ телефона разместить платежное приложение, то телефон становится полноценным «заменителем» пластиковой карты для выполнения как F2F-операций (через радиоинтерфейс NFC), так и удаленных онлайновых транзакций.

Известно, что важнейшим элементом любой технологии безналичных расчетов является аутентификация лица, совершающего операцию. Очевидно, что наличие надежного механизма подтверждения того факта, что лицо, совершающее операцию, имеет право на совершение обрабатываемой операции, – необходимое условие существования любой системы безналичных расчетов.

Сегодня самой безопасной картой в платежной индустрии, т. е. картой, предоставляющей наиболее надежный механизм аутентификации лица, совершающего операцию, является микропроцессорная карта стандарта EMV, поддерживающая офлайновую проверку ПИН-кода. В микропроцессорной карте все секреты держателя карты (ключи, ПИН-код) хранятся только в ЭБ, и только в ЭБ, обеспечивающих доверенную среду хранения и обработки пользовательских данных, выполняются все операции с этими секретами. По данным EMVCo, на начало 2012 г. примерно 45% всех платежных карт, обращающихся на мировом рынке, являются микропроцессорными.

В банковской индустрии ЭБ и платежные приложения, функционирующие на ЭБ, в совокупности обеспечивают:

• безопасное хранение секретной клиентской информации;

• динамическую 2-факторную аутентификацию клиента (Chip&PIN);

• невозможность отказа клиента от результата операции, в рамках которой выполняется аутентификация клиента (генерация криптограммы операции);

• аутентификацию эмитента приложения, выносящего вердикт о способе завершения операции;

• аутентификацию эмитента приложения и проверку целостности команд эмитента при обработке команд эмитента приложения по изменению статуса/данных приложения;

• конфиденциальность и целостность данных, циркулирующих между микросхемой и точкой оказания услуг/ системой обслуживания клиента (банк, сотовый оператор, иной поставщик услуги).

ЭБ в NFC-модуле

В связи с развитием технологии NFC на рынке появились устройства, называемые NFC-модулями. В состав этих устройств входит уже знакомый нам ЭБ. Однако помимо ЭБ в NFC-модуле присутствуют NFC-контроллер с антенной, предоставляющие ЭБ бесконтактный радио-интерфейс, соответствующий стандарту NFC (ISO 18092), а также средства организации интерфейса ЭБ с операционной средой телефона.

ЭБ в NFC-модуле приобретает совершенно новые качества. Любое приложение ЭБ может взаимодействовать с внешним миром по бесконтактному интерфейсу, а также контактному интерфейсу, используя интерфейс ЭБ к операционной среде телефона и вычислительные ресурсы телефона (коммуникации, процессор и память телефона).

В результате в руках пользователя появляется средство, с помощью которого можно выполнить любые клиентские операции, используя при этом очень надежную аутентификацию клиента. Для иллюстрации приведем несколько примеров.

 При использовании ЭБ, интегрированного с телефоном, все операции мобильного банка и интернет-банка могут быть выполнены с генерацией криптограммы операции, выполняемой приложением ЭБ (например, знакомых нам приложений VSDC или M/Chip4). Это позволяет решить целый ряд вопросов обеспечения безопасности, существующих в мобильном и интернет-банке, поскольку с помощью криптограммы обеспечиваются и аутентификация пользователя, и гарантия целостности данных операции, передаваемых эмитенту, и гарантия целостности ответа эмитента по результату операции.

Операции e/m-commerce: больше не CNP

 Другой, еще более значимый для платежной индустрии пример. При использовании ЭБ, интегрированного в среду телефона, возникает возможность забыть об операциях электронной/мобильной коммерции как о CNP-операциях. Такие операции теперь можно выполнять как CAT-транзакции, причем с использованием приложения микропроцессорной карты. Это ведет к радикальному уменьшению объема карточного мошенничества (сегодня на CNP-фрод приходится около 50% всего объема карточного мошенничества), возможности стандартного распределения ответственности в случае возникновения диспута по транзакции (ответственность на эмитенте карточного приложения), уменьшению размера межбанковских комиссий, а следовательно, уменьшению торговой уступки, взимаемой с онлайнового магазина.

Следует также отметить, что при использовании ЭБ, интегрированного с телефоном, появляются новые возможности по управлению контентом ЭБ. Для управления контентом ЭБ (загрузка, инсталляция, экстрадиция, удаление, персонализация приложения) используется апробированная платформа GlobalPlatform. Версия GlobalPlatform v.2.2 является критически важной для управления контентом UICC-карты телефона. В частности, это связано со следующими сопутствующими стандарту GlobalPlatform Card Specification v.2.2 документами:

 • GlobalPlatform Confidential Card Content Management – Card Specification v2.2 – Amendment A v1.0. Определяет стандартные механизмы управления контентом карты, включая:

1. Защищенную загрузку начальных ключей домена безопасности третьей стороной;

 2. Защищенную загрузку кода приложения;

 3. Защищенную передачу APDU-команд некоторому домену безопасности с целью персонализации приложения, связанного с этим доменом.

• UICC Configuration v1.0. Определяет роли и ответственность всех участников экосистемы NFC в различных моделях использования UICC-карты, а также модели управления контентом UICC-карты через платформу OTA (защищенное соединение SCP80).

 • GlobalPlatform Messaging Specification v1.0. Определяет форматы сообщений и данные, используемые при обмене данными между различными участниками экосистемы NFC.

Форм-факторы NFC-модулей и создание доверенной среды

 Ниже приведены типы форм-факторов NFC-модулей, имеющихся на рынке, а также в скобках – физические интерфейсы, используемые для интеграции ЭБ с операционной средой телефона:

 • активный стикер (Bluetooth);

• microSD-карта (SD-интерфейс или SWP/HCI);

• SIM-адаптер (ISO 7816);

 • встроенный в телефон ЭБ (I2C, SWP/NCI, HCI);

 • UICC-карта (ISO 7816).

 Кажется, что уже сегодня все готово к использованию интегрированных в телефоне ЭБ в качестве основной технологии для создания платежных систем нового поколения. Однако нерешенные проблемы пока остаются.

Дело в том, что телефон не является доверенной средой обработки клиентских данных. Мошенники с помощью загружаемого на телефон вредоносного программного обеспечения имеют возможность похитить пользовательские данные, модифицировать данные операции, наконец, перехватить управление приложением на ЭБ, используя его неавторизованным клиентом образом.

Чтобы справиться с этой проблемой, в настоящее время в рамках ассоциации GlobalPlatform идет разработка стандарта для доверенной среды (Trusted Execution Environment, или сокращенно TEE). Среда TEE представляет собой аппаратно-программное решение, формирующее на телефоне доверенную среду исполнения «чувствительных» приложений, отделенную от операционной среды телефона (Android, iOS, Java2ME и т.п.). TEE включает в себя:

 • защищенную память для хранения чувствительных данных: ПИН-коды, купоны, лог-файлы транзакций и т.п.;  средства пользовательского интерфейса (экран, клавиатура), полностью контролируемый TEE (не ОС телефона);

• изолированную от ОС телефона среду выполнения критических приложений.

 Данный подход противостоит всем перечисленным выше угрозам. На сегодняшний день до появления разрабатываемого стандарта имеются реализации TEE в исполнении компании Trusted Logic Mobility, являющейся дочерней компанией Gemalto. Решение Trusted Logic Mobility уже внедрено на нескольких миллионах смартфонов и планшетников, работающих под операционными системами Android, Symbian, Windows Mobile и Linux, от 5 ведущих производителей смартфонов.

 Ранее для противодействия угрозе перехвата управления приложением на ЭБ ассоциация уже разработала стандарт GlobalPlatform Secure Element Access Control Interface. Этот стандарт позволяет эффективно бороться с мошенничеством, при котором некоторое вредоносное приложение перехватывает управление приложением ЭБ. Сегодня этот стандарт используется рядом телефонов, работающих на платформе Android и поддерживающих программный интерфейс SmartCard API, контролирующий доступ приложения телефона к приложению ЭБ.

Еще предстоит большая работа по созданию в телефоне доверенной среды исполнения приложений. Очевидно, что эта работа будет выполнена, поскольку ни у кого нет сомнений в том, что следующим платежным инструментом будет ЭБ, тем или иным образом интегрированный непосредственно с телефоном, а не имплантированный в пластик банковской карты, как сегодня.

Новые направления развития безналичных платежей

Сотовый телефон вносит существенный вклад в развитие индустрии безналичных платежей в разных и иногда весьма неожиданных направлениях. Например, использование телефона может привести к снижению расходов на создание сети приема карт. Начнем с решений PAYware, Square, iZettle и других, реализующих на базе телефона POS-терминал, подключив к нему ридер для чтения данных карты. В этом случае телефон после завершения диалога с картой передает на сервер обслуживающего банка транзакционные данные, зашифрованные подключенным к телефону ридером, и возвращает на телефон электронный токен, идентифицирующий для торгового предприятия совершаемую транзакцию (end-to-end encryption and tokenization). Тем самым обеспечивается соблюдение требований стандарта PCI DSS.

Следует отметить, что описанное решение является привлекательным для небольших магазинов, в которых совершается до десяти операций в месяц. Обороты платежей в сети компании Square, предоставляющей свое решение на базе аутсорсинговой модели, составили в 2011 году 6 млрд долларов США.

Если в решениях PAYware и Square используются ридеры магнитной полосы, то проект iZettle был запущен в Швеции на базе телефонов iPhone и других iOS-устройств (iPAD, iPOD touch) с использованием чипового ридера, подключаемого к iOS-устройству и играющего роль POS-терминала. Ридер работает только в онлайновом режиме, не поддерживает верификацию держателя карты по ПИН-коду и процедуру офлайновой аутентификации карты. На телефон устанавливается специальное приложение iZettle App, которое можно свободно скачать с App Store. От iOS-устройства требуется подключение к сети по протоколам 3G или WiFi. Электронный чек передается клиенту по электронной почте. Проект был успешно запущен в Швеции, увеличив количество точек приема карт в этой стране на 7,5% (данные 2012 года). Аналогичные проекты начинают запускаться в Великобритании и Германии.

Другой способ уменьшения стоимости сети приема платежей – удешевление терминалов, обслуживающих только бесконтактные платежи. В этом случае телефон снабжается NFC-модулем, поддерживающим full NFC (в частности, моду ридера). Примерами таких модулей является microSD-карта компании GoTrust и активный стикер компании Twinlinx. Стоимость такого терминала может составлять 30–50 евро.

Другое направление развития безналичных платежей с использованием телефона – появившиеся на рынке мобильные кошельки, поддерживающие платежные приложения различных банков и иногда даже различных платежных систем, а кроме того, хранящих электронные билеты, купоны и т.п. Сегодня у всех на слуху кошельки Google Wallet, Isis, PayPal, Visa, MasterCard, Apple Passbook. Наличие интерактивного интерфейса пользователя позволяет клиенту выбирать из кошелька нужное ему приложение, задавать параметры интересующего клиента сервиса, подтверждать параметры операции, видеть результат авторизации операции и получать электронный чек по результатам ее выполнения. Все это удобно и по-настоящему привлекательно для клиента.

Новые эмитенты мобильных кошельков: социальные сети и др.

Как следует из приведенного выше списка эмитентов мобильных кошельков, к ним относятся компании, имеющие большую клиентскую базу, – интернет-гиганты, ведущие платежные системы, крупнейшие производители смартфонов. Сегодня при столь массовом распространении сотового телефона компания, имеющая в своем распоряжении большую клиентскую базу, автоматически получает доступ к ней с использованием своего приложения на сотовом телефоне. Это очень важная особенность сегодняшнего рынка – телефон дает возможность компании относительно легко «дотянуться» до своего клиента. Проблема только в том, чтобы клиентов у компании было много.

 Ожидается, что приведенный выше список эмитентов кошельков в близкой перспективе пополнится представителями социальных сетей (Facebook, Twitter и т.п.). Социальные сети уже начали превращаться в площадку для оказания финансовых услуг. Ожидается, что их роль в организации сервисов, тестировании потенциальных клиентов, организации социальных CRM-систем будет только возрастать.

Сотовый телефон также является отличной основой для построения разнообразных систем предоплаченных карт, которые набирают обороты и становятся все более популярным средством платежей.

Мобильные платежи позволяют решить еще одну важную задачу – провести четкую грань между онлайновым приложением для оплаты товаров/услуг и офлайновым пополняемым кошельком. Дело в том, что выбор способа выполнения транзакции в онлайновом или офлайновом режиме, как это определено в стандарте EMV, полностью задается процедурой управления рисками, а не бизнес-моделью эмитента приложения. В результате существует постоянная неопределенность относительно доступных средств на счете клиента, поскольку в каждый момент времени неизвестно, какие средства были потрачены им в офлайновом режиме.

При использовании сотового телефона F2F-транзакции на небольшие суммы логично выполнять в офлайновом режиме. При этом операции в онлайновых магазинах и F2F-транзакции на значительные суммы разумно выполнять с помощью онлайнового платежного приложения.

 Офлайновый кошелек может регулярно пополняться с помощью онлайнового приложения. В результате возникает очень понятная и удобная клиенту модель использования своего счета: для выполнения F2F-транзакций на небольшие суммы используется офлайновый кошелек, в остальных случаях – приложение, связанное со счетом клиента.

Мобильный NFC-телефон также позволяет ввести новое приложение для выполнения P2P-операций, с помощью которых деньги со счета клиента переводятся на счет другого клиента. При этом такое приложение позволяет выполнить перевод удаленным способом, когда плательщик и получатель платежа находятся на расстоянии друг от друга, и как F2F-операцию, когда перевод средств осуществляется прикосновением телефона плательщика к телефону получателя платежа. Выполнение P2P-операции производится напрямую между телефонами плательщика и получателя без использования каких-либо посредников. Такое приложение не является приложением EMV и требует разработки спецификации приложения, основанного на применении асимметричных алгоритмов шифрования на основе эллиптических кривых.

Биометрия: обратная сторона медали

 Возвращаясь к вопросу аутентификации лица, совершающего операцию, необходимо остановиться на биометрических методах. Активность в области биометрии сегодня очень велика. Организован соответствующий консорциум (см. www.biometrics.org/), активно ведутся работы по стандартизации разных аспектов технологии (формата обмена данными, прикладного программного интерфейса и т. п.), публикуется масса рекламных статей, в которых биометрия преподносится как средство обеспечения сверхбезопасности, ставшее доступным широким массам.

Однако к биометрии следует относиться весьма осторожно. Необходимо учитывать, что она подвержена тем же угрозам, что и другие методы аутентификации. Во-первых, биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. А, как известно, за время пути... много чего может произойти. Во-вторых, биометрические методы не более надежны, чем база данных шаблонов. В-третьих, следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в «полевых» условиях, когда, например, к устройству сканирования роговицы могут поднести муляж и т. п. В-четвертых, биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.

 Но главная опасность состоит в том, что любая компрометация данных при использовании биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае, можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, кисть руки, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы (например, менять алгоритм обработки биометрических данных).

Именно поэтому в банковской индустрии биометрию будут применять только вместе с другими средствами аутентификации, такими, например, как микропроцессорные карты. При этом в идеальном варианте реализуется модель SOC (System-on-Card), в которой и биометрический шаблон, и сенсор для формирования текущего шаблона, и процедура обработки верификации текущего шаблона находятся на карте.

В то же время сегодня наиболее распространенными являются карты MOC (Match-on-Card), которые хранят биометрический шаблон субъекта и выполняют сравнение текущего шаблона с биометрическим шаблоном карты, на основании которого принимают решение о результате идентификации/аутентификации субъекта. В этом случае только сканирование субъекта и создание текущего шаблона выполняются внешней системой. Текущий шаблон субъекта карта получает от внешней системы.

 Стандарты GlobalPlatform Device Specification, GlobalPlatform Smart Card Management System и GlobalPlatform Card Specification v.2.2 позволяют создать надежную и безопасную систему биометрической идентификации/аутентификации на основе карт MOC. При этом обеспечивается управление биометрическим апплетом карты (программой, обеспечивающей сравнение текущего шаблона с биометрическим шаблоном карты и принимающей решение о результате аутентификации субъекта) на протяжении всего его жизненного цикла. Это управление включает в себя безопасную загрузку, инсталляцию, персонализацию апплета, изменение его биометрических шаблонов и прочих параметров в процессе использования карты. Кроме того, биометрический апплет может быть размещен в приложении Global Services Application платформы GlobalPlatform, что дает возможность различным авторизованным приложениям карты использовать метод биометрической аутентификации ее держателя.

Использование биометрических методов позволит строить трехфакторную модель аутентификации лица, совершающего операцию, что повышает безопасность карточных операций. Эта модель строится на основе следующих элементов безопасности:

 • карты, подтверждающей наличие у лица, совершающего операцию, некоторого выданного авторизованным банком инструмента, подлинность которого доказывается в ходе выполнения операции;

• ПИН-кода – секрета, разделяемого держателем карты и эмитентом (эмитент может не знать секрета, но должен уметь проверить его корректность), знание которого лицом, совершающим операцию, верифицирует его как держателя карты;

• биометрической информации, полученной от лица, совершающего операцию, которая должна соответствовать биометрическим данным держателя карты.

Вместо описанной трехуровневой модели может использоваться двухуровневая модель, компонентами которой являются микропроцессорная карта и биометрическая информация. Такой подход может применяться в случае, когда карта используется малограмотными и/или пожилыми людьми, для которых ввод ПИН-кода при совершении операции представляет проблему.

Облачные метаморфозы процессинга

Серьезные изменения ожидаются и в области процессинговых решений. Технологией, способной изменить наше представление об архитектуре процессинговых платформ, являются облачные вычисления. Облачные вычисления представляют собой следующий шаг эволюции вычислительных технологий. Сначала были мэйнфреймы с терминальным подключением пользователей, потом персональные компьютеры и их объединения в корпоративные и глобальные сети, теперь – распределенные сетевые ресурсы с возможностью доступа к ним через различные устройства ввода и обработки информации.

 Главное отличие облачных вычислений от всего, что было до них, – самообслуживание заказчика по требованию, пулы ресурсов, которые не зависят от их местоположения, быстрота и гибкость масштабирования и выделения необходимых ресурсов. Например, ключевое отличие от традиционного терминального доступа – возможность динамического наращивания мощности потребляемых ресурсов или же быстрое покрытие пиковых нагрузок с оплатой по требованию.

В то же время облачные вычисления не являются некой волшебной палочкой и, как любая новая технология, чреваты для банка дополнительными рисками и проблемами. Многие из них уже обозначены рынком.

 1. Безопасность и приватность данных. Для решения проблем безопасности при использовании облачных вычислений нужны совершенно новые технологические платформы и стандарты безопасности. Над этим сегодня серьезно думают в IBM, Hewlett Packard, Microsoft, но конечных решений пока еще нет. Если вы работаете по модели публичного облака, то реально очень трудно определить, даже где в данный момент хранятся ваши данные, в частности, приватные данные ваших клиентов. Общее мнение экспертов в области безопасности: сегодня выполнить требования ФЗ-152 о защите персональных данных при использовании облачных вычислений практически невозможно.

2. Недостаточный уровень ответственности провайдеров для бизнес-критических задач. Применение облачных вычислений пока ограничено. Рынок находится в начальной стадии развития, и формы реальной ответственности провайдеров перед заказчиками еще только прорабатываются. Уровень гарантий при использовании облачных вычислений должен быть не ниже того, который имеет банк при традиционном способе построения своей IT-инфраструктуры.

3. Отсутствие стандартизации услуг. Предложения поставщиков не стандартизованы и трудносравнимы. И поставщикам, и заказчикам еще придется пройти путь до разработки полноценных и стандартизированных SLA, по которым можно сравнивать их услуги.

 4. Интеграция облачных услуг нескольких провайдеров в единую ИС значительно сложнее, чем интеграция приложений, размещенных в традиционном ЦОДе (идея в том и состоит, чтобы декомпозировать информационную инфраструктуру банка, передав ее компоненты в соответствующие облака соответствующих провайдеров).

5. Широкополосный доступ к услугам – одна из ключевых характеристик облачных вычислений и одновременно потенциальная проблема. Невозможность получения достаточной полосы пропускания в целом ряде российских регионов – существенный тормоз на пути внедрения облачных вычислений.

 6. Усложнение контроля функционирования ИС. Очевидно, что перспективы у облачных вычислений хорошие, но сегодня они все таки находятся больше на стадии формирования, и риски при их освоении велики. Сегодня облачные вычисления – больше новая обертка для старой модели аутсорсинга услуг у третьих компаний, чем что-то технологически новое.

Для организации защищенной работы в облачных системах требуется как минимум решить три основные задачи:

 • Создание общего защищенного хранилища данных.

• Организация защищенных вычислений.

• Разработка «облачной» политики безопасности.

 Создание общего хранилища, по-видимому, наиболее простая из сформулированных задач, но даже она не может в настоящее время считаться решенной. Для того чтобы организовать защищенное хранилище, необходимо не только разграничить доступ к данным этого хранилища, но и обеспечить работу с данными, при которой обладатель предоставляемых пользователю вычислительных ресурсов не может, по крайней мере полностью, познакомиться с данными, которые он хранит. Организация защищенных вычислений, и того более, требует проводить вычисления, не расшифровывая данные, с которыми проводятся вычисления. Эти задачи решаются с помощью так называемых гомоморфных алгоритмов, разработка которых находится в самом начале создания теории.

 Наряду с этими криптографическими примитивами требуется создать сами правила пользования облачными системами – политики безопасности этих систем. Нельзя забывать, что все случаи удачных компьютерных преступлений связаны не с вскрытием алгоритмов шифрования, а лишь с использованием неудачных настроек и нарушением политики безопасности в сети. В облачных системах также возможен несанкционированный доступ к данным без вскрытия защищенного хранилища или защищенных вычислений. Поэтому нужны правила работы в таких системах – соответствующие политики безопасности.

Вместо послесловия: «единый вход»

Эта статья начиналась с тезиса о том, что телефон становится универсальным аутентификатором клиента, и им же заканчивается. Если внимательно посмотреть на любые клиентские услуги, то все они, по большому счету, сводятся к аутентификации лица, совершающего операцию. В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута. Это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. На этом фоне необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных.

Надежная аутентификация затруднена не только из-за сетевых угроз, но и по целому ряду других причин. Во-первых, почти все сущности, используемые в процедуре аутентификации, можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора – с другой. Так, по соображениям безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть – это в первую очередь требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

 Таким образом, необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. И сотовый телефон является хорошим решением для подобного компромисса.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… каури были не только «туземным» средством расчета, но также в ходу в Средней Азии, Европе и даже Руси? На Руси в XII-XIV веках, в так называемый безмонетный период, каури были деньгами под названием ужовок, жерновков или змеиных головок. Их до сих пор находят при раскопках в Новгородских и Псковских землях в виде кладов и в погребениях. Только в XIX веке в Западную Африку ввезли не менее 75 млрд раковин каури общим весом 115 тысяч тонн?