Узнайте больше о двухфакторной аутентификации и протестируйте функцию CWYS здесь: Demo
В предыдущих публикациях мы рассмотрели работу механизма CWYS (Confirm What You See), который позволяет генерировать ОТР с привязкой к защищаемым данным. В процессе эксплуатации часто возникает вопрос: какие данные должны принимать участие в генерации ОТР, чтобы наилучшим образом защитить систему.
Рассмотрим наиболее распространенный случай использования функции CWYS — подтверждение транзакций в платежных и банковских системах. Для защиты этой операции рекомендуем использовать следующие данные:
Использование функции CWYS для подтверждения транзакций
- сумма;
- валюта;
- получатель платежа;
- идентификатор или номер транзакции;
- текущий баланс пользователя или баланс после выполнения операции;
- дополнительные данные, которые нужно защитить от подмены с точки зрения Ваших бизнес-процессов, например, дата выполнения операции, IP-адрес пользователя или отправитель платежа.
Важно отметить, что на каждом этапе взаимодействия с Protectimus необходимо использовать актуальные данные, с которыми работает пользователь в данный момент, а не те, которые были кешированы, речь идет о балансе, который иногда пересчитывают по определенному событию в системе, а пользователю отображают его состояние на определенный момент времени.
Использование этих данных в процессе генерации ОТР защищает их от подмены между созданием и выполнением транзакции, следовательно, уберегает пользователя от потери средств, а Вашу систему от множества репутационных и других рисков.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!