Новостная лента
Токены с функцией CWYS
В арсенале Protectimus имеются такие токены с поддержкой мехнизма CWYS (Confirm What You See): Protectimus Ultra Protectimus Smart Protectimus SMS Protectimus Mail Рассмотрим их более детально. Protectimus Ultra Представляет из себя физический токен, имеет ряд преимуществ перед другими физическими токенами, о чем подробнее написано на нашем сайте. С точки зрения функции подписи данных несколько уступает другим видам токенов, т.к. не способен визуализировать подписываемые данные. Тем не менее, он все так же защищает от подмены данных на этапе между созданием и проводкой транзакции. Protectimus Smart Это программный и самый популярный токен из всей линейки продуктов компании. Преимущество его заключается в том, что функция подписи данных доступна для любого созданного в нем токена. Подписываемые данные могут быть визуализированы, имеется дополнительная защита от манипуляций с данными транзакции. Процесс подписи данных CWYS представлен на рисунке 1. Как видно из рисунка 2, пользователю достаточно вызвать контекстное меню и выбрать функцию подписи данных, после чего он отсканирует QR-код и получит информацию о совершаемой транзакции, а также ОТР, чтобы ее подтвердить. Несомненным коммерческим преимуществом данного токена есть то, что он предоставляется абсолютно бесплатно. Protectimus SMS Позволяет получать информацию о совершаемой транзакции на телефон пользователя вместе с ОТР. Недостатки данного способа заключаются в недостатках использования СМС как средства доставки аутентификационной информации. Преимущество данного токена в простоте использования и выпуска пользователям. Protectimus Mail Позволяет получать информацию о транзакции на электронную почту. И хотя это добавляет еще один канал верификации, нужно помнить, что в общем случае этот токен не обеспечивает полноценную двухфакторную аутентификацию, т.к. обычно почта тоже защищена паролем. Как и всегда, выбор остается за Вами, мы же рекомендуем использовать Protectimus Smart или Protectimus Ultra для механизма CWYS и надежной защиты Вашей системы от автозаливов, инжектов и других манипуляций с данными пользовательских...
далееБольшие данные на страже безопасности пользователей онлайн-банкинга
Аналитические службы банков давно освоили инструменты, которые анализируют большие данные и помогают решать множество задач: от оценки платежеспособности заемщика до противодействия мошенничеству. Получается, анализ больших данных защищает банк, но может ли он защитить пользователей систем онлайн- банкинга? R&D-отдел компании Protectimus уверяет, что это возможно. В ходе работы над системой многофакторной аутентификации команда Protectimus увидела огромный потенциал в применении анализа данных для интеллектуальной аутентификации. Суть ее заключается в том, что система постоянно собирает и анализирует множество данных о пользователе, а при запросе определяет, соответствует ли поступивший запрос контексту этого пользователя. Попросту говоря, система оценивает вероятность того, что запрос выполнил легальный пользователь. Например, система знает, что Анна всегда заходила в онлайн-банк из Украины, а тут запрос поступает из США. Стоит задуматься о его аутентичности, особенно если последний вход Анны из Украины был менее часа назад, а ее смартфон показывает что она находится в Киеве. Существует множество источников информации: смартфон, компьютер и другие устройства, социальные сети, банковские и другие сервисы и т.д. Сами по себе эти данные несут мало ценного, но, объединяясь, они создают некий контекст, в котором находится пользователь и системе аутентификации остается только проверить, соответствует ли поступивший запрос текущему контексту. Такая система сможет значительно повысить надежность аутентификации пользователя, а, возможно, у нее получится даже работать на опережение и предсказывать будущие обращения клиентов. Протектимус не отстает от лидеров рынка и предлагает своим клиентам Интеллектуальную идентификацию, которая вместе с Двухфакторной аутентификацией позволяет получить пуленепробиваемую защиту для ваших...
далееСложный пароль не защитит Ваш аккаунт
Не секрет, что простая парольная аутентификация не защитит ваши данные от рук злоумышленника. Дело тут не в длине Вашего пароля, и не в том как часто Вы его меняете. Простой фишинг или вирус на вашем компьютере передаст Ваш сложный пароль тому, кто его ждет. Про решение проблемы уже все наслышаны. Конечно, речь идет о применении мультифакторной аутентификации (MFA). Факторами могут выступать знания, предметы или биометрические данные. Чаще всего используется двухфакторная аутентификация, которая использует привычный и одноразовый (OTP) пароль, который может быть доставлен пользователю различными способами и действует только для одного сеанса аутентификации. Способы доставки или автономной генерации существуют различные: от распечатанных списков паролей на карточках, чеках из банкоматов, SMS-сообщений, до использования специальных устройств генерации OTP — токенов. Решение от компании Protectimus Solutions включает множество новых идей и концепций многофакторной защиты данных, а также сертифицировано отраслевой инициативой OATH. Оно может быть предоставлено как в виде облачного сервиса без вовлечения оборудования клиента, так и на серверах заказчика, что особенно популярно в финансовых организациях и платежных системах. Облачный сервис позволяет использовать двухфактороную аутентификацию для компаний любого размера. Этот факт ломает стереотип о том, что надежная защита стоит дорого. Оба варианта позволяют с минимумом затрат интегрировать защиту в Вашу систему в очень сжатые...
далееНадежная защита аккаунтов пользователей
Мир вокруг стремительно развивается, меняется абсолютно все. Кто бы мог представить несколько десятилетий назад, что мы сможем выбрать и приобрести понравившуюся нам вещь или даже заказать продукты на дом сидя на диване используя сеть Интернет. Претерпели изменения многие сферы нашей жизни, начиная с работы, и заканчивая досугом. Сейчас, многие из нас, хранят важную деловую и личную информацию в различных облачных сервисах, а многие компании практически свели к нулю бумажный документооборот. Теперь, вместо шкафов с уймой документов, все что нам нужно это доступ к сети, компьютер или другой разумный девайс. Безусловно это делает нашу жизнь более комфортной, в тоже время порождает целый ряд новых угроз. Одно из самых узких мест в безопасности любой системы это процесс авторизации. Зачастую на страже вашей личной информации стоят логин и пароль, на которые и охотятся злоумышленники. Ежедневно осуществляются множество хакерский атак по всему миру, компании теряют миллионы долларов из-за утечек информации, а иногда то, что куда более ценное — репутацию. Существует множество известных способов узнать ваш логин и пароль о которых мы знаем и еще, наверное, больше, о которых нам еще предстоит узнать в будущем. Если существует проблема, то найдется и решение. И оно было найдено. Известные многим компании используют, хорошо зарекомендовавший себя способ защиты информации, именуемый двухфакторной аутентификацией. На данный момент двухфакторная аутентификация является одним из самых эффективных способов защиты вашей учетной записи и жизненно важной информации от несанкционированного доступа. Давайте разберемся что же такое факторы аутентификации? Специалисты выделяют три фактора, по которым можно судить, что человек является тем, за кого себя выдает: нечто, нам известное – это пароль, девичья фамилия матери, и т.д. нечто, у нас имеющееся — это может быть банковская карта, телефон или специальное устройство токен для генерации одноразового пароля нечто, нам присущее — это может быть отпечаток пальца, рисунок сетчатки глаза, особенности голоса и т.д Для двухфакторной аутентификации чаще всего используются первые два фактора, этого обычно достаточно для обеспечения надлежащего уровня безопасности. Конечно сейчас претерпевают изменения устоявшиеся концепции и расширяются понятия о возможных факторах аутентификации. Передовые системы безопасности, о которых мы будем говорить в данной статье вводят такие понятия как поведенческие факторы. Не секрет, что многие из нас редко изменяют своим привычкам: используют определенный браузер, операционную систему, авторизируются из одной и той же страны, находятся на работе в определенное время и многое другое, что присуще именно Вам. И в случае, если эти параметры отличаются от обыденных у пользователя, который пытается получить доступ к системе или данным, то стоит особенно тщательно его проверить, а в обратном случае сделать систему авторизации для пользователя менее требовательной. Смысл использования сразу нескольких факторов заключается в том, что преимущества одного фактора перекрывают недостатки другого, что значительно усложняет задачу злоумышленника. Компания Протектимус постоянно улучшает свои инструменты и предлагает к использованию целый ряд дополнительных возможностей, помимо двухфакторной аутентификации, таких как интеллектуальная идентификация, подпись данных и многое другое. Узнайте о возможностях перейдя по...
далееПодпись данных в деталях
Реагируя на новые вызовы компания Protectimus реализовала мощное средство защиты от автозаливов, инжектов и прочего зловредного ПО, которое тем или иным образом производит подмену данных при совершении транзакции. Существуют различные схемы реализации, например, при осуществлении перевода подменяется получатель, не зная об этом пользователь вводит одноразовый код подтверждения из СМС. Проблема заключается в том, что пользователь самостоятельно выполняет и подтверждает ложную транзакцию, не имея представления о том, что она ложная. Большая угроза для банков и платежных систем заключается в том, что клиенты не признавая свои собственные ошибки перекладывают вину на сами системы, что очень отрицательно сказывается на деловой репутации компании. RnD отдел компании Protectimus нашел способ решить эту проблему. В соответствии с RFC 6287 challenge для challenge-response алгоритма генерируется случайным образом. Мы пошли дальше и разработали специальный алгоритм генерации challenge на основе данных транзакции, которую совершает пользователь. Это позволяет ввести зависимость между подтверждаемыми данными и одноразовым паролем, следовательно, если данные пользователя были подменены, то введенный одноразовый пароль не сможет их подтвердить, т.к. он был сгенерирован на основании других данных, что позволяет предотвратить махинации. Новая функция подпись данных CWYS (Confirm What You See) доступна в токенах Ultra, Smart, SMS, Mail. Процесс выполнения операции, требующей подтверждения изображен на рисунке 1. Для того, чтобы отправить данные в Protectimus и получить challenge необходимо вызвать метод POST по адресу https://api.protectimus.com/api/v1/token-service/tokens/sign-transaction c такими обязательными параметрами: tokenId — идентификатор токена пользователя; transactionData — данные транзакции, которые должны принимать участие в генерации ОТР; hash — НМАС-SHA256 хеш строки transactionData для подтверждения целостности полученных данных, в качестве ключа используется Ваш API-ключ. В ответе Вы получите XML или JSON с такими элементами: challenge — challenge для алгоритма генерации ОТР; transactionData — зашифрованные данные транзакции; tokenType — тип токена; tokenName — имя токена; id — идентификатор токена. Для пользователей с токеном Smart нужно сформировать и отобразить QR-код, для пользователей с другими токенами или для тех, кто не может сканировать QR-код нужно показать challenge, который они должны ввести в токен для генерации ОТР. Например, если в ответе вы получили challenge равный 191565, а значение transactionData = 9/vhmVzLIm/M+8w9QXiJDA==, то строка для формирования QR кода будет выглядеть следующим образом: transaction://challenge=191565&transactionData=9/vhmVzLIm/M+8w9QXiJDA== Для завершения процесса и подтверждения транзакции пользователю нужно предоставить полученный ОТР защищаемой системе. После получения ОТР система снова отправляет POST запрос по адресу: https://api.protectimus.com/api/v1/token-service/tokens/verify-signed-transaction с параметрами: tokenId — идентификатор токена пользователя; transactionData — данные подтверждаемой транзакции (важно, чтобы здесь передавались именно те данные, которые будут отправлены в проводку, а не те, которые были получены на предыдущих шагах); hash — хеш от строки transactionData, сформированный таким же образом, как и при вызове предыдущего метода; otp — одноразовый пароль, предоставленный пользователем. В ответ защищаемая система получит информацию о валидности предоставленного одноразового пароля. Функциональность CWYS будет доступна в новой версии программного обеспечения Protectimus, если Вы хотите обезопасить себя уже сегодня — обратитесь в службу поддержки для получения прогрессивного инструмента уже...
далееИдеальная аутентификация
Творчество — это искусство компромисса. Можно быть гениальным, но непризнанным художником, и умереть в нищете (Винсент ван Гог). А можно малевать однодневку на заказ и купаться в народной славе (Борис Кустодиев). Время все расставило по местам, но это произошло после смерти обоих. Процедура проверки подлинности — тоже своего рода искусство. Идеальная аутентификация для производителя — это надежная защита данных при минимальных затратах. Пользователя тоже интересует цена, но при максимальном удобстве и прозрачности пользования. Придется искать компромисс, то есть, идеала уже не получится. В конце концов, из-за трения невозможен вечный двигатель, но повысить КПД реального мотора все-таки возможно. Что нужно, чтобы убедиться: вводящий пароль человек — тот самый, за кого себя выдает? В простом случае — стоять рядом и видеть, как он вводит пароль. Для большинства случаев это не подходит — потому что одна половина планеты должна «сторожить» другую. Но информацию можно собрать косвенно: где человек находится, что покупает, с какого браузера заходит, в какое время, есть ли у него жена и дети, за какой клуб болеет; возможно использовать биометрические данные, или поведенческие (например, наклон почерка, скорость набора с клавиатуры и т.п.). Из этого массива можно сделать электронный образ, своего рода «зеркало» пользователя. И поместить его в «облако», откуда данные доступны серверу, производящему аутентификацию. У этой медали есть обратная сторона. Пользователь должен согласиться со сбором информации о себе. Как показывает практика, больших проблем с этим не возникнет. Какой бум вызвал в Фейсбуке переход на новые правила пользования данными подписчиков, как все возмущались вмешательством в свою жизнь, но вышедших из сети именно по этой причине — ничтожно мало. Здесь появляется повод для второго компромисса. Производителю нужно иметь наиболее полные данные для аутентификации, но часть из них получается путем сбора при помощи очень затратных технологий. Пользователь тоже не против максимально защитить свою информацию, но не готов рассказывать о себе абсолютно все. На каких-то параметрах определения подлинности они сойдутся. Для жителей планеты Земля из Солнечной системы галактики Млечный Путь в данный период времени актуальны три компромиссных фактора аутентификации — “что я знаю”, “чем я владею” и “кто я есть”. Знаю я пароль, владею гаджетом для его генерации (токеном) и располагаю биометрическими данными. В этом времени и в этой точке пространства “идеальная” аутентификация должна учитывать все три параметра сразу. Но биометрические датчики пока дороги (уступка для производителя) и не совсем надежные (уступка для пользователя). Случай, когда американский мальчик прижал палец спящего папы к шестому айфону и таким образом “взломал” систему Touch ID — притча во языцех. Мечтать об идеалах мы можем и должны — чтобы творить реальные вещи. Предполагая, что в идеале система аутентификации учитывает n параметров одновременно. Компания Protectimus предлагает решение с использованием привычных двух факторов, анализа окружения пользователя с ограничением доступа по адресу и применением временных фильтров. Все эти новшества дают хорошие результаты — и по уровню защиты, и по комфортности...
далееПочему банки слабо переживают за безопасность клиентов?
Я уже длительный период работаю в аутсорсинге. Начинал как разработчик, а сейчас руководитель проектов, но речь дальше пойдет не обо мне. Однажды, в одном финансовом проекте перед моей командой стоял вопрос усиления защиты аккаунтов пользователей путем внедрения двухфакторной аутентификации. Вариант такой системы был выбран нашим заказчиком, называть ее не буду из этических соображений. Как я понял через время, выбор оказался не очень удачным: служба поддержки реально плохо ориентировалась во всем многообразии своих продуктов, инструкции по развертыванию системы превышали тысячу страниц, софт их работал только под определенную операционную систему, мне даже пришлось побывать на их курсах. Мы, конечно, внедрили эту систему, но средств и времени было потрачено уйма. Через некоторое время я столкнулся с сервисом, который полностью отличается от того, с которым я познакомился раньше: удобный интерфейс, получение аккаунта в системе за минуту, цены ясны без дополнительных запросов, поддержка всевозможных токенов, можно использовать как платформу, так и сервис, и многое другое. Суппорт заслуживает отдельной благодарности. Еще важный момент для клиентов — решение сертифицировано инициативой OATH и стоимость очень конкурентная. Речь идет о решении от Protectimus. После внедрения его в один из наших аутсорсинговых проектов я решил стать их партнером. Теперь мне стало еще и выгодно продвигать это решение среди заказных проектов и наших местных заказчиков. Как результат — несколько внедрений без каких-либо серьезных проблем. Теперь мы подобрались к сути статьи. В первую очередь, свой взор я обратил на финансовые системы и банковский сектор, так как они обладают двумя компонентами, которые присущи моим потенциальным клиентам: наличие данных, несанкционированный доступ к которым недопустим и большое число клиентов. После многочисленных коммуникаций с представителями банковского и фин. сектора я немного разочаровался. Опишу по пунктам, какие преграды я встретил на пути продвижения любых ИТ-решений в банковскую сферу: Многие считают, что сейчас не время для внедрения дополнительной защиты, так как многие из банков подвержены стагнации или под угрозой полной ликвидации. Они считают, что лучше купить средства физической защиты, такие как броне-двери, защитный туман, экипировку для инкассаторов и другой инвентарь. Я отчасти согласен с такими суждениями, но кибер-преступления никто не отменял. Если речь идет об иностранном банке, то их местные представители мало что решают, т.к. все решения приходят от головных офисов. Руководители ИТ-подразделений не всегда заинтересованы в дополнительном бремени внедрения новых продуктов в свою инфраструктуру. У руководителей банков нет достаточной компетенции и времени, чтобы уделить должное внимание данному вопросу. Любое внедрение в банк занимает годы. Я знаю ИТ-руководителя, который внедряет клиент-банк уже 5 лет и говорит, что не уйдет на пенсию пока не доведет дело до конца. Большинство банков используют уже готовые решения (клиент-банки и другое) от провайдеров банковского ПО. А они просто так не пошевелятся и поддерживать будут третье-сторонние решения только, если увидят свою прямую заинтересованность. Внедрение подобной поддержки в решение от провайдеров дорогостоящие и за все это платит банк. Зачастую следующий банк платит снова за это “внедрение”. Почему это дорого не ясно, т.к. стандартное внедрение, описанного выше решения, не представляет собой сложностей и может быть произведено в короткие сроки. А самое главное, что касается конкретно защиты аккаунтов пользователей и о чем публично не распространяются, это то, что банкиры считают, что кража средств с аккаунта клиента это, скорее, проблема клиента, чем самого банка: “надо было следить за своими сотрудниками, а бухгалтерам не лазить по кулинарным сайтам, на которых были заражены их компьютеры ”. В этой статье я хотел поднять вопрос не только проблемы переноса ответственности на...
далееПочему двухфакторная аутентификация — это проще?
«Кто владеет информацией, тот владеет миром», — говаривали братья Ротшильды, зарабатывая на результатах битвы при Ватерлоо. Необходимо лишь уточнить: своей или чужой информацией. Поэтому развитием аутентификации человечество занималось на протяжении всей эволюции — от позывных птичьими голосами, через ручную шифровку, до входа в системупо GPS. Все это время по касательной решался вопрос о более простом способе аутентификации (без потери надежности системы). Проблема в том, что новые способы защиты устаревали, потому что злоумышленники тоже не дураки и хотят владеть если не всем миром, то фотографиями голых звезд эстрады — точно. А то, что один человек собрал, другой всегда может поломать. Современное поле информационного боя переместилось в интернет — площадка самая удобная и многочисленная. И способы аутентификации становятся сложнее: дайджест-аутентификация (протокол HTTPS), OpenID, OpenAuth… На данном этапе развития общества выяснилась парадоксальная вещь — чтобы сделать аутентификацию проще, ее нужно сделать сложнее. В смысле, сложнее для производителя — для потребителя все остается проще некуда. Факторов, по которым можно проверить пользователя, три: то, что он знает (пароль); то, чем он обладает (карта-ключ); то, что ему дала природа, — биометрия. Объединить три параметра в одной системе — что может быть проще? Но здесь в дело вступает экономическая целесообразность. Биометрический детектор сам по себе — не новинка: например, технологией Touch ID оснащен шестой iPhone. Но в паре с эппловским софтом сканер отпечатка пальца сбоит, из-за чего производитель даже отзывал обновление iOS 8.0.1. Да и на пользовательском уровне иногда возникают проблемы со сканером. При этом биометрические технологии относительно дороги. В плане надежности биометрика тоже хромает: порез пальца меняет отпечаток. К тому же, один раз получив биометрические данные человека, злоумышленник может пользоваться ими до конца жизни — своей или дискредитированного субъекта. А вот первые два из названных факторов объединять выгодно и по затратам, и по уровню защиты. В двухфакторной аутентификации используются два пароля — многоразовый статический и одноразовый. По технологии “One Time Password” в нашем случае происходит следующее. Пользователь захотел аутентифицироваться в системе и для этого ввел свой обычный статический пароль, а потом OTP, показанный на дисплее специального гаджета — токена. Система пересылает данные серверу аутентификации, в нашем случае это Protectimus, он сгенерирует по тому же алгоритму пароль и сравнит с тем, который ввел пользователь, если пароли совпали — добро пожаловать в систему. Сам гаджет стоит менее десяти долларов, а обслуживание — менее бакса в месяц. Получается, двухфакторная аутентификация с использованием токена — это оптимальное решение с точки зрения защиты, стоимости и удобства пользования. Пользователю просто необходимо ввести еще один пароль. Если говорить образно, то каждый способ аутентификации сам по себе — это веревочка, которую легко порвать. Надежней будет сплести из них...
далее