Немного об интернет-банкинге

Немного об интернет-банкинге
Думаю, что едва ли ни каждый сегодня пользуется этой услугой, предлагаемой банками. В эпоху пластиковых карточек это, в общем-то, вполне естественно, потому что это очень удобно. В то же время, любые системы ДБО (дистанционного банковского обслуживания) - это всегда большая головная боль для службы безопасности банка.
Как и любые услуги ДБО,интернет-банкинг является потенциальной лазейкой для злоумышленников, желающих воспользоваться уязвимостями в системе и завладеть деньгами клиента, пользующегося ДБО. Поэтому безопасность при дистанционном обслуживании клиентов является одним из приоритетных вопросов в работе банков.
На сегодняшний день мировым стандартом для осуществления операций с помощью систем интернет-банкинга является применение электронной цифровой подписи (ЭЦП). Она позволяет банку убедиться в том, что именно данный клиент осуществляет перевод денежных средств, а клиенту, в свою очередь, даёт возможность защитить свои деньги не только от злоумышленников, но и от ошибок банковских работников, оспаривая ошибочные операции, не защищенные с помощью ЭЦП. В то же время применение ЭЦП ставит ряд новых вопросов перед пользователем сервисов интернет-банкинга. Одним из главных при этом является вопрос хранения электронного сертификата, выданного пользователю банком. В случае, если сертификат хранится в недостаточно хорошо защищенном хранилище (а это, к сожалению, бывает слишком часто), вместо того человека, кому он выдан, воспользоваться им может практически любой, и пользователь уже вряд ли сможет вернуть свои деньги, если только не предоставит убедительных доказательств того, что транзакции совершал не он.
Другой вариант защиты – это использование разовых паролей, действительных только в течении одной сессии дистанционной работы пользователя со своим или с корпоративным банковским счетом. Пароли могут высылаться в виде SMS-сообщений на указанный при регистрации в системе интернет-банкинга номер мобильного телефона, либо каким-либо другим образом передаваться клиенту по независимому от системы интернет-банкинга каналу. Такой способ несколько менее надежен, однако позволяет клиенту не думать о том, как надежно сохранить свой цифровой сертификат.
А какой способ авторизации при использовании интернет-банкинга кажется наиболее подходящим вам?
Р. Идов,
ведущий аналитик компании SearchInform
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.