Являясь клиентом УралСиб, хочу обратить внимание на небольшие недостатки в подходах к безопасности в Интернет банке при подписании заявлений.
Клиентам предлагается подписывать заявления на выбор двумя путями: либо воспользоваться одноразовым паролем из списка паролей либо сгенерировать одноразовый пароль с помощью специального устройства. Мне видятся недостатки в реализации каждого способа.
Списки одноразовых паролей:
· Списки печатаются на листах А4. Соответственно эту бумагу можно запросто разорвать, выкинуть, приняв за хлам или даже засунуть в шредер. Хороший путь размещать одноразовые пароли на скретч-картах, размером с банковскую карту.
· Конверт с паролями продается за 50 рублей. Вместо того, чтобы их выдавать бесплатно, чтобы клиенты лишний раз не приходили в офис, с них берется лишняя копейка.
Генератор одноразовых паролей:
· Устройство перед генерацией не спрашивает пароль . Получается, что любой злоумышленник может сгенерировать одноразовый пароль, просто нажав на нем кнопку. Справедливости ради отмечу, что устройство привязано к клиенту и в нем присутствует уникальная для каждого клиента информация, участвующая в алгоритме генерации одноразового пароля.
· Устройство продается за 800 рублей. Это абсолютно завышенная цена, особенно учитывая, что это лишь OTP-токен. Тем более, что Интернет Банк позиционируется для физических лиц.
Также я обратил внимание на позитивную технологию. Это виртуальная клавиатура, по которой не нужно кликать мышью, а достаточно затаить мышь возле нужных клавиш. Как говорится, даже если у вас сломались все клавиши мыши, вы всё равно сможете подтвердить платеж. :-)
Комментариев нет:
Отправить комментарий