Аутентификация – основа безопасности мобильных решений Павел Есаков

Аутентификация – основа
безопасности мобильных
решений
Павел Есаков
Компания CompuTel
Заместитель директора по продажам в
финансовом секторе
Содержание
 Аутентификация как краеугольный камень безопасности
 Механизмы аутентификации «на вооружении» мобильных решений
 «Ахиллесова пята» мобильных приложений
 Перспективы развития мобильных решений в плане повышения
безопасности
 Выводы
2
Выбор средства аутентификации пользователя
Типовые требования к средству аутентификации:
•
Возможность генерации одноразового пароля и формирования
электронной подписи транзакции
•
Умеренная стоимость средства аутентификации
•
Соответствие требованиям российского законодательства
•
Возможность работы без создания доверенной среды на клиентском
компьютере
•
Удобство для клиентов банка
3
Ахиллесова пята мобильных решений
• Основные методы подтверждения операций в мобильном
банке:
 Одноразовый пароль по SMS
 Программные реализации токенов
 ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ
 Автономные токены и персональные кардридеры
4
Безопасность мобильных решений
Смартфон клиента по определению менее защищенное
устройство, чем компьютер:
•
Пользователь смартфона зачастую не имеет каких-либо ограничений
по установке приложений
•
Смартфон практически постоянно подключен к Интернету
•
Наличие SIM карты позволяет оператору мобильной связи
устанавливать приложения без ведома клиента
5
Анализ ситуации в области онлайн-мошенничества
Banking Trojan hijacks out-of-band SMS
security - Trusteer
Security outfit Trusteer has discovered a
new attack used by the SpyEye Trojan that
can circumvent mobile SMS security
measures used by many banks.
• Финансовые учреждения по-прежнему являются наиболее
привлекательным объектом для онлайн-мошенников
In a blog post, Trusteer says it has found a twostep Web-based attack that allows fraudsters to
change the mobile phone number in a victim's
online banking account and reroute SMS
confirmation codes used to verify transactions.
• Количество атак на системы ДБО не снижается – системы ДБО
входят в список наиболее уязвимых мест финансовых
учреждений
Firstly,
SpyEye steals the victim's online banking
details in the standard Trojan style.
• На смену простейшим видам мошенничества приходят все
более сложные виды
6
Соответствие средств подписи закону 63-ФЗ
Требования к средству формирования подписи:
•
•
•
позволяют установить факт изменения подписанного электронного документа
после момента его подписания;
обеспечивают практическую невозможность вычисления ключа электронной
подписи из электронной подписи или из ключа ее проверки.
При создании электронной подписи средства электронной подписи должны:
 показывать лицу, подписывающему электронный документ, содержание
информации, которую он подписывает;
 создавать электронную подпись только после подтверждения лицом,
подписывающим электронный документ, операции по созданию
электронной подписи;
 однозначно показывать, что электронная подпись создана.
7
Мобильный банк – где выход?
•
Использование элемента безопасности (SE) в
телефонах с поддержкой NFC
•
Создание доверенной среды для исполнения
приложений
( Trusted Execution Environment – TEE)
•
Использование решений класса MDM (Mobile
Data Management)
•
Использование голосовой аутентификации для
подтверждения транзакций
8
Заключение
Анализ решений в области безопасности мобильного банка:
• Необходимо наличие системы лимитов для разных методов
подтверждения
• Использование одноразовых СМС паролей создает наиболее
существенные риски для мобильных решений
• Банку необходимо найти правильный компромисс между
удобством использования, безопасностью и общей стоимостью
владения
• Сегментация клиентов в зависимости от их потребностей
облегчает решение задачи
9
Спасибо за внимание!
Вопросы?
10