курс цб на 18.11: USD 65.9931 EUR 74.9022
криптовалют: BTC 5499.3$ ETH 172.25$
Форум экспертов / 404 просмотра

О многофакторной аутентификации и не только

Рынок систем аутентификации в финансовых учреждениях демонстрирует сегодня парадоксальную консервативность, несмотря на запуск Единой биометрической системы и рост интереса банков к биометрии в целом. Каких-либо принципиальных изменений в системах ДБО не вызывают даже регулярно повышаемые операторами мобильной связи тарифы на рассылки SMS-сообщений для банков. К таким выводам приходит Павел Есаков, эксперт по системам аутентификации компании CompuTel System Management.

Курьезные вещи иногда имеют под собой какую-то вполне определенную подоплеку. Аутентификация – один из краеугольных камней безопасности. Заметим, что очень часто имеет место подмена понятий: очень часто, даже в банковском секторе, идут разговоры о необходимости именно идентификации клиента.

К счастью, для банков эта необходимость явно надуманная – клиент, как правило, не скрывает свои идентификационные данные (например, называет свою фамилию, имя, отчество при визите в отделение). Банку всего лишь необходимо удостовериться в том, что предоставленная информация о личности достоверна. И если в отделении банка последующие процедуры операциониста по проверке достоверности сообщенных клиентом идентификационных данных строго регламентированы (и при этом унифицированы во всех банках), то в случае предоставления банковских услуг в дистанционном режиме каждый банк практически действует так, как считает нужным. Дело в том, что в России пока отсутствует какой-либо внятный документ, определяющий требования к системе аутентификации при предоставлении банковских услуг в удаленном режиме.

Скажем прямо, российские банки не балуют своих клиентов разнообразием систем аутентификации при предоставлении финансовых услуг в системах ДБО. Пальцев на одной руке хватит, чтобы перечислить все наиболее часто применяемые инструменты: в рознице это одноразовый пароль по SMS, для корпоративных клиентов – та или иная разновидность усиленной квалифицированной подписи. Это может быть USB-токен с не извлекаемым ключом, а может быть и программная реализация усиленной квалифицированной подписи, ключ которой может находится как на внешнем носителе, так и храниться на жестком диске компьютера, который отвечает за функционирование корпоративного интернет-банка.

Какой же в идеале должна быть система аутентификации? Ответ очевиден – безопасной, удобной и недорогой. Увы, можно выбрать лишь два качества из имеющихся трех: удобная и недорогая система аутентификации не будет безопасной, в чем могут на деле убедиться клиенты российских банков.

Многие регуляторы в финансовой сфере, учитывая рост количества незаконных переводов банковских средств в системах ДБО, пришли к необходимости введения требований, а иногда и стандартов для систем аутентификации в решениях для дистанционного управления счетом – примером может послужить документ RTS SCA (Regulatory Technical Standards Strong Customer Authentication) Евросоюза. Любой эксперт в области аутентификации скажет, что для подтверждения личности пользователя и подтверждения транзакции необходимо использование многофакторной аутентификации. Число факторов невелико – всего три:

  • Фактор знания (то, что знаю я (и только я) – пароль, кодовая фраза);
  • Фактор владения (то, что имеется у меня (и только у меня) – ключ от сейфа, карта доступа);
  • Биометрический фактор (то, что присуще мне от рождения – отпечатки пальцев, лицо, голос и масса других признаков).

Как правило, для обеспечения безопасности достаточно использования двух из трех. И если с использованием первых двух факторов: фактора знания и фактора владения вопросов практически не возникает, то третий фактор – биометрический, окутан массой мифов и домыслов. Начнем с того, что иногда можно услышать о том, что банк использует двухфакторную биометрическую аутентификацию, что есть явный нонсенс: многократное использование одного и того же фактора не делает аутентификацию многофакторной. Да, биометрической аутентификации присуща многомодальность: у человека масса биометрических признаков, данных ему природой. Правда, надо отдавать себе отчет, что использование всех этих биометрических признаков:

  • носит вероятностный характер;
  • биометрические признаки в режиме дистанционного обслуживания могут легко отчуждаться (можно предъявить видео или фото клиента, полученное без его ведома, можно подделать и голос). Следует, однако, отметить – в случае динамической биометрической аутентификации (которую использует ЕБС) последнее становится достаточно сложным.
  • ужесточение требований к качеству аутентификации клиента обязательно повышает вероятность того, что клиент не будет аутентифицирован;
  • сама схема биометрической аутентификации намного расширяет вектор возможных атак на систему аутентификации (желающие могут познакомится с документом NIST по теме биометрической аутентификации по ссылке https://pages.nist.gov/SOFA/SOFA.html).

Тема биометрической аутентификации стала настолько широко обсуждаемой, что на этой волне не могли не появиться компании, которые используют данный информационный повод для создания интереса к свои продуктам, которые зачастую вообще не имеют отношения к аутентификации. Так, очень часто стали говорить об аутентификации на основе рисков (Risk Based Authentication). Присмотревшись к такому методу аутентификации, нетрудно заметить следующее — предлагается совместить в одном решении три совершенно независимые технологии:

  • поведенческую биометрию;
  • контроль за используемым для входа в систему ДБО устройством;
  • анализ транзакционных рисков.

Поведенческая биометрия основана на идее контроля за тем, как, какой скоростью вы работаете с клавиатурой, как перемещаете курсор. Вероятность правильной аутентификации клиента весьма невысока, да и слишком много факторов оказывают влияние на скорость работы с клавиатурой и мышью: время суток, условия освещения, ваше физическое и психологическое состояние – но, тем не менее, это действительно использование биометрического аутентификационного фактора, хотя в данном случае весьма ненадежного.

Во втором случае предполагается, что клиент банка использует всегда (или преимущественно) одно и тоже устройство для дистанционного управления счетом, и в том случае, если это так, и например, вы работаете с того же IP-адреса, что и ранее, а ваши географические координаты те же, что и ранее, то предлагается отказаться от использования второго фактора – например, не посылать SMS-пароль, тем самым упростить процесс аутентификации и сэкономить деньги банка. Говоря строго, данная технология никак не связана с аутентификацией вас как клиента банка. Более того, масса атак в системах ДБО использует технологию удаленного доступа к компьютеру легального клиента: для проведения атаки будет использован тот же компьютер, те же геолокационные данные и тот же IP-адрес легального клиента. В этих условиях вышеописанный механизм может оказать вам медвежью услугу, упростив задачу для мошенника.

Анализ транзакционных рисков – очень полезный механизм, но, увы, к аутентификации он тоже никакого отношения не имеет. Понятно, что транзакции, несущие малый уровень риска, банк может выполнить и без подтверждения от клиента – это упрощает жизнь клиенту, хотя и требует наличия системы оценки рисков на стороне банка. Какие транзакции несут наиболее низкие риски? Это переводы по шаблонам, переводы доверенным поставщикам, переводы налоговым органам, да и просто транзакции на малые суммы. Именно такой подход и позволяет создать систему аутентификации, которая будет одновременно удобна и безопасна. Но практически отсутствуют банки, которые могут предоставить такую систему в действии. Многие банки используют для оценки транзакционных рисков системы риск мониторинга, но только единицы могут похвастаться тем, что результат оценки риска учитывается в системе аутентификации ДБО. К тому же задачи фрод-мониторинговых систем не вполне совпадают с задачами системы оценки транзакционных рисков.

В целом, надо отметить, что сложившаяся картина на рынке систем аутентификации в финансовых учреждениях свидетельствует о том, что даже регулярно повышаемые операторами мобильной связи тарифы на рассылки SMS-сообщений для банков так и не вызвали каких-либо изменений в системах ДБО.

Экспертам отсутствие реальной реакции банков в этом отношении видится ошибочной, особенно с точки зрения дальнейшей непредсказуемости «тарифного зуда» компаний мобильной связи.

По материалам PLUSworld.ru