Недостатки интернет банка Уралсиб

Недостатки интернет банка Уралсиб
Являясь клиентом УралСиб, хочу обратить внимание на небольшие недостатки в подходах к безопасности в Интернет банке при подписании заявлений.
Клиентам предлагается подписывать заявления на выбор двумя путями: либо воспользоваться одноразовым паролем из списка паролей либо сгенерировать одноразовый пароль с помощью специального устройства. Мне видятся недостатки в реализации каждого способа.

Списки одноразовых паролей:
·         Списки печатаются на листах А4. Соответственно эту бумагу можно запросто разорвать, выкинуть, приняв за хлам или даже засунуть в шредер. Хороший путь размещать одноразовые пароли на скретч-картах, размером с банковскую карту.
·     Конверт с паролями продается за 50 рублей. Вместо того, чтобы их выдавать бесплатно, чтобы клиенты лишний раз не приходили в офис, с них берется лишняя копейка.


Генератор одноразовых паролей:
·         Устройство перед генерацией не спрашивает пароль . Получается, что любой злоумышленник может сгенерировать одноразовый пароль, просто нажав на нем кнопку. Справедливости ради отмечу, что устройство привязано к клиенту и в нем присутствует уникальная для каждого клиента информация, участвующая в алгоритме генерации одноразового пароля.
·         Устройство продается за 800 рублей. Это абсолютно завышенная цена, особенно учитывая, что это лишь OTP-токен. Тем более, что Интернет Банк позиционируется для физических лиц.


Также я обратил внимание на позитивную технологию. Это виртуальная клавиатура, по которой не нужно кликать мышью, а достаточно затаить мышь возле нужных клавиш. Как говорится, даже если у вас сломались все клавиши мыши, вы всё равно сможете подтвердить платеж. :-)



Alt text
Комментарии для сайта Cackle

Евгений Шауро

Блог специалиста по информационной безопасности