Время идет... К 31 декабря американские банки и финансовые организации должны внедрить у себя что-то большее, нежели идентификатор пользователя и пароль для онлайнового входа (т.н. однофакторная идентификация) пользователей на свой банковский счет. Или что? Ну, или ничего. В прошлом октябре, когда несколько национальных банковских организаций были подвергнуты атакам фишеров и других мошенников, Федеральный Совет по проверке финансовых организаций (FFIEC) выпустил строгий руководящий документ для всех американских банков, в котором предписывалось ужесточение безопасности всех веб-сайтов банков к 31 декабря этого года. В руководящем документе FFIEC детально описаны преимущества перехода с однофакторной (форма безопасности, основанная только на "том, что вы знаете") к многофакторной безопасности (включено условие "что у вас есть", вроде банкомата, или "кто вы есть", основанное на биометрических параметрах). Однако нехватка нормальных разработок для мультифакторной безопасности не позволяет выполнить данные условия к концу 2006 года. Вместо этого, в руководстве сказано:
Финансовые организации, предлагающие продукты и услуги, основанные на использовании интернет-технологий, должны иметь надежные и безопасные методы идентификации своих пользователей. Уровень идентификации, используемый финансовыми организациями, должен соответствовать рискам, связанным с данными изделиями или услугами. Финансовые организации должны проводить оценку рисков для идентификации типов и уровней рисков, связанных с собственными приложениями, предназначенными для ведения банковского дела через Интернет. Там, где при оценках рисков было определено, что использование однофакторной идентификации не отвечает требованиям, финансовые организации должны использовать многофакторную идентификацию, многослойную безопасность или другие способы управления, которые позволят снизить указанные риски. Агентства рассматривают однофакторную идентификацию только как механизм управления, которого недостаточно в случае проведения транзакций с большим риском, что предусматривает доступ к личной информации пользователя или передачу денежных средств другому физическому или юридическому лицу.
Другими словами, многофакторная идентификация – это один из способов решения проблемы, но не обязательный. Смысл в том, что, несмотря на разделение идентификации (предварительно) на всего один, два или три фактора, это прочнее однофакторной безопасности, но не совсем многофакторная идентификация.
Почему бы полностью не перейти на многофакторную безопасность? Это слишком неудобно. Не только для клиентов банков, которые будут вынуждены использовать новые токены безопасности (прим. автора: token - средство идентификации) или какие-то биометрические устройства на своем компьютере, но и для банков, для которых онлайн-поддержка клиентов превратиться в кошмар, поскольку они будут использовать свои решения в среде, которая намного менее предсказуема, нежели распространенные сейчас приложения на основе браузера. По крайней мере, это были выводы Стефани Льюис (Stephanie Lewis), финансового аналитика фирмы "Jack Henry and Associates". Льюис высказала свое мнение о том, как Джек Генри (Jack Henry) оценивает онлайновую безопасность банков. Джек Генри занимается разработкой и поддержкой онлайновых банковских приложений, которые используют более 1100 финансовых организаций, большинство из которых – это местные банки и кредитные союзы.
Во многих отношениях банковская индустрия является жертвой своего собственного успеха: когда осуществляется переход к двухфакторной безопасности, они становятся простыми банкоматами. Ведь то, что можно снимать денежные средства со своих счетов в банках в любое время и практически в любом месте, было, и по-прежнему остается, привлекательным, поскольку не надо носить в своем бумажнике наличные или какие-либо еще (кроме карточки торгового автомата или банкомата) кредитные карты. На самом деле, это ужасно неудобно. Поэтому, для того чтобы банковская индустрия соответствовала необходимой безопасности онлайнового банковского дела, она должна быть значительно более удобной.
К сожалению, карточки для банкомата не работают с нашими компьютерами. Нет в компьютерах места, чтобы их вставлять. Мы может добавить кард-ридер к компьютеру через USB-порт, но при этом забываем про сложность поддержки пользователя. И что должны делать клиенты банка, если они закончили сеанс работы с банком на компьютере своего друга или в киоске терминала аэропорта? Носить кард-ридеры вместе с собой? А что, если в системе нет доступных USB-портов? А что если это смартфон? Вот видите, уже очевидно, что простое стало сложным.
Еще одним способом может стать выпуск различных токенов безопасности для онлайнового банковского дела. Например, корпорация RSA выпускает токены SecurID. Они генерируют новое случайное число каждые 60 секунд, и когда вы носите их с собой, то можете использовать эти случайные числа для входа в банковскую систему онлайн (у банка установлено свое приложение с файерволом, которое генерирует совпадающие ряды чисел в том же самом 60-секундном интервале). Однако и здесь есть несколько проблем. Теперь, кроме карточки для банкомата, вам надо носить с собой еще один токен. Для большинства людей, это слишком много. А что если вы их потеряете, или просто оставите дома, когда будете выходить из дома? Получается, что вы закрыли себе доступ к веб-сайту вашего банка. И чтобы попасть туда, вам надо сначала найти свой токен, или заменить его (при оптовых закупках SecurID от RSA стоит около $15 за штуку).
Поэтому для банков, а также для разработчиков приложений, таких как RSA, единственным способом остается использование приложений "1b" или "однофакторной безопасности +", т.е. приложений, которые в большинстве своем основаны на том, что вы знаете, плюс имитацию того, что вы имеете (второй фактор в реальной многофакторной безопасности). Например, во время недавнего интервью с вице-президентом RSA Кристофером Янгом (Christopher Young), можно было услышать о том, как приложения от RSA используют определенные методы, основанные на учете куки-файлов (cookies) и IP-адресов. Например, одним способом является использование куки-файлов, IP-адресов и другой информации (например, последнее время входа в систему) для определения степени конфиденциальности личности того человека, который пытается получить доступ к счету. Янг описывает пример использования где, если вы постоянно используете один и тот же компьютер, приложение RSA может это определить и при обработке данных снизить барьер для входа в систему. Однако если вы входите в банковскую систему с нового компьютера, то вам, возможно, придется вводить больше информации, нежели ранее.
Финансовые организации, предлагающие продукты и услуги, основанные на использовании интернет-технологий, должны иметь надежные и безопасные методы идентификации своих пользователей. Уровень идентификации, используемый финансовыми организациями, должен соответствовать рискам, связанным с данными изделиями или услугами. Финансовые организации должны проводить оценку рисков для идентификации типов и уровней рисков, связанных с собственными приложениями, предназначенными для ведения банковского дела через Интернет. Там, где при оценках рисков было определено, что использование однофакторной идентификации не отвечает требованиям, финансовые организации должны использовать многофакторную идентификацию, многослойную безопасность или другие способы управления, которые позволят снизить указанные риски. Агентства рассматривают однофакторную идентификацию только как механизм управления, которого недостаточно в случае проведения транзакций с большим риском, что предусматривает доступ к личной информации пользователя или передачу денежных средств другому физическому или юридическому лицу.
Другими словами, многофакторная идентификация – это один из способов решения проблемы, но не обязательный. Смысл в том, что, несмотря на разделение идентификации (предварительно) на всего один, два или три фактора, это прочнее однофакторной безопасности, но не совсем многофакторная идентификация.
Почему бы полностью не перейти на многофакторную безопасность? Это слишком неудобно. Не только для клиентов банков, которые будут вынуждены использовать новые токены безопасности (прим. автора: token - средство идентификации) или какие-то биометрические устройства на своем компьютере, но и для банков, для которых онлайн-поддержка клиентов превратиться в кошмар, поскольку они будут использовать свои решения в среде, которая намного менее предсказуема, нежели распространенные сейчас приложения на основе браузера. По крайней мере, это были выводы Стефани Льюис (Stephanie Lewis), финансового аналитика фирмы "Jack Henry and Associates". Льюис высказала свое мнение о том, как Джек Генри (Jack Henry) оценивает онлайновую безопасность банков. Джек Генри занимается разработкой и поддержкой онлайновых банковских приложений, которые используют более 1100 финансовых организаций, большинство из которых – это местные банки и кредитные союзы.
Во многих отношениях банковская индустрия является жертвой своего собственного успеха: когда осуществляется переход к двухфакторной безопасности, они становятся простыми банкоматами. Ведь то, что можно снимать денежные средства со своих счетов в банках в любое время и практически в любом месте, было, и по-прежнему остается, привлекательным, поскольку не надо носить в своем бумажнике наличные или какие-либо еще (кроме карточки торгового автомата или банкомата) кредитные карты. На самом деле, это ужасно неудобно. Поэтому, для того чтобы банковская индустрия соответствовала необходимой безопасности онлайнового банковского дела, она должна быть значительно более удобной.
К сожалению, карточки для банкомата не работают с нашими компьютерами. Нет в компьютерах места, чтобы их вставлять. Мы может добавить кард-ридер к компьютеру через USB-порт, но при этом забываем про сложность поддержки пользователя. И что должны делать клиенты банка, если они закончили сеанс работы с банком на компьютере своего друга или в киоске терминала аэропорта? Носить кард-ридеры вместе с собой? А что, если в системе нет доступных USB-портов? А что если это смартфон? Вот видите, уже очевидно, что простое стало сложным.
Еще одним способом может стать выпуск различных токенов безопасности для онлайнового банковского дела. Например, корпорация RSA выпускает токены SecurID. Они генерируют новое случайное число каждые 60 секунд, и когда вы носите их с собой, то можете использовать эти случайные числа для входа в банковскую систему онлайн (у банка установлено свое приложение с файерволом, которое генерирует совпадающие ряды чисел в том же самом 60-секундном интервале). Однако и здесь есть несколько проблем. Теперь, кроме карточки для банкомата, вам надо носить с собой еще один токен. Для большинства людей, это слишком много. А что если вы их потеряете, или просто оставите дома, когда будете выходить из дома? Получается, что вы закрыли себе доступ к веб-сайту вашего банка. И чтобы попасть туда, вам надо сначала найти свой токен, или заменить его (при оптовых закупках SecurID от RSA стоит около $15 за штуку).
Поэтому для банков, а также для разработчиков приложений, таких как RSA, единственным способом остается использование приложений "1b" или "однофакторной безопасности +", т.е. приложений, которые в большинстве своем основаны на том, что вы знаете, плюс имитацию того, что вы имеете (второй фактор в реальной многофакторной безопасности). Например, во время недавнего интервью с вице-президентом RSA Кристофером Янгом (Christopher Young), можно было услышать о том, как приложения от RSA используют определенные методы, основанные на учете куки-файлов (cookies) и IP-адресов. Например, одним способом является использование куки-файлов, IP-адресов и другой информации (например, последнее время входа в систему) для определения степени конфиденциальности личности того человека, который пытается получить доступ к счету. Янг описывает пример использования где, если вы постоянно используете один и тот же компьютер, приложение RSA может это определить и при обработке данных снизить барьер для входа в систему. Однако если вы входите в банковскую систему с нового компьютера, то вам, возможно, придется вводить больше информации, нежели ранее.
