Одноразовые пароли.

Одноразовый пароль используется для осуществления входа, проведения платежных и иных операций в интернет - банке. Для получения одноразового пароля необходим мобильный телефон, номер которого был указан вами при подключении услуги «Альфа-Клик» или при заведении кредитной карты банка. После ввода всех необходимых платежных данных и проверки их правильности, система предложит ввести одноразовый пароль для совершения операции. Для получения одноразового пароля нужно нажать на кнопку «Получить пароль», пароль будет доставлен со скоростью SMS-сообщения на ваш мобильный телефон.

Текст SMS-сообщения, например, может выглядеть так:

Vash parol dlya vhoda v Alfa-Click- 22m1s0c0. Alfa-Bank.

Защищенное соединение (SSL-шифрование). Соединение и работа с системой интернет-банк осуществляется через общедоступную сеть интернет, поэтому для защиты канала по которому компьютер пользователя соединяется с сервером банка используется защищенный режим с помощью протокола SSL (Secure Sockets Layer). Этот режим позволяет обеспечить конфиденциальность при работе в «Альфа-Клик» через интернет.

Виртуальная клавиатура позволяет обеспечить более высокий уровень защиты конфиденциальной информации во время работы в Интернет-банке «Альфа-Клик». Данная технология повышает степень защищенности пароля от перехвата злоумышленниками.

Для защиты ПК на торговой точке от несанкционированного доступа можно использовать этот способ. Сервис уже разработан. Каждый агент имеет кредитную карту банка (зарплатную), в которой указан мобильный номер. К мобильному номеру агента привязан логин для входа в «Альфа-Клик». Перед началом работы агент вводит в соответствующее поле свой логин и пароль, который может храниться в любом месте. Если злоумышленник знает логин и пароль агента, он все равно не может им воспользоваться в корыстных целях, так как ему будет необходим и мобильный телефон агента (т.е. своеобразная программно-аппаратная защита). После ввода логина и пароля, на телефон агента приходит соответствующее SMS- сообщение с одноразовым паролем. Этот пароль агент сможет ввести в соответствующее поле. Используя виртуальную клавиатуру, обеспечивается более высокий уровень защиты конфиденциальных данных.

При подобном подходе, возможна быстрая и удобная аутентификация сотрудника. Пройдя ее, агент сможет получить доступ к кредитному комплексу и приступить к своей работе.

Достаточно удобный и недорогой в использовании способ аутентификации человека для защиты от НСД на уровне приложения.

Глава 3 Разработка и внедрение технологии защищенного доступа

В результате анализа технологий и аппаратных решений, проведенных во второй главе можно сделать выводы, систематизированные в приведенных ниже таблицах.

3.1 Сводная таблица уровня обеспечения безопасности в разных программно- аппаратных подходах для анализируемых рисков

Таблица 3. Сводная таблица уровня обеспечения безопасности для протоколов.

Риски	IPSec	SSL
Код	Не требуется изменений для приложений. Может потребовать доступ к исходному коду стека TCP/IP.	Требуются изменения в приложениях. Могут потребоваться новые DLL или доступ к исходному коду приложений.
Защита	IP пакет целиком. Включает защиту для протоколов высших уровней.	Только уровень приложений.
Фильтрация пакетов	Основана на аутентифицированных заголовках, адресах отправителя и получателя, и т.п. Простая и дешёвая. Подходит для роутеров.	Основана на содержимом и семантике высокого уровня. Более интеллектуальная и более сложная.
Производительность	Меньшее число переключений контекста и перемещения данных.	Большее число переключений контекста и перемещения данных. Большие блоки данных могут ускорить криптографические операции и обеспечить лучшее сжатие.
Платформы	Любые системы, включая роутеры	В основном, конечные системы (клиенты/серверы), также firewalls.
Firewall/VPN	Весь трафик защищён.	Защищён только трафик уровня приложений. ICMP, RSVP, QoS и т.п. могут быть незащищены.
Прозрачность	Для пользователей и приложений.	Только для пользователей.
Текущий статус	Появляющийся стандарт.	Широко используется WWW браузерами, также используется некоторыми другими продуктами.
Человек посередине	Цифровая подпись IP-пакетов гарантирует, что полученные данные исходят из доверенного источника. (эта угроза возможна для ipv4, но учтена и исключена в ipv6)	Этот фактор риска исключен так как подлинность конечного web ресурса удостоверена сертификатом, выданным доверенным центром сертификации.
НСД	Возможен только доступ к локальным ресурсам удаленной рабочей станции.
НСД	Используя мощное шифрование на основе публичных ключей, может обеспечить защиту соединений от несанкционированного доступа.
Маскарад	Исключен, так как осуществляется защита всего трафика от отправителя к получателю.	Исключен, так как подлинность и уникальность конечного web сервиса обеспечена сертификатом, выданным доверенным центром сертификации.
Спуфинг	Для предотвращения используется технология связывания IP/МАС адресов, автоматически сопоставляющая IP адрес узла с его уникальным МАС адресом. Ничтожна при замене или клонировании MAC адреса оборудования.	Возможен, при изменении соответствия IP адреса конечного сервера и его DNS имени, т.о. в этом случае легитимность сервера опирается на подлинность DNS имени к которому привязан SSL сертификат.

Таблица 4. Сводная таблица уровня обеспечения безопасности для программно-аппаратных средств.

Риски		eToken NL	OTP	Технология «Альфа-Клик»
Защита		Предназначен для безопасного доступа к сети Windows NT	Предназначен для организации строгой аутентификации.	Предназначен для защиты от НСД на уровне приложений
Подбор пароля		Исключается	Исключается.	Исключается
Маскарад (действие от чужого лица)		Не является угрозой, благодаря специальным особенностям.
Проблема «слабых» паролей		Решена
Автоматическая блокировка ПК		Осуществляется	Отсутствует	Отсутствует
Ввод пароля		Хранятся в памяти устройства	Клавиатура или перьевой ввод	С помощью виртуальной клавиатуры
Аппаратная аутентификация		Надо иметь eToken	Надо иметь eToken	Необходим мобильный телефон
Особенность технологии		Двухфакторная аутентификация	Двухфакторная аутентификация	Двухфакторная аутентификация
Открытые USB порты	---		---	---
Наличие спец. тех. средств	Клавиатура со встроенным картридером. Специализир. ПО.		Сервер + специализир. ПО	сервер для генерирования паролей

Чаще всего при аутентификации используется логин и пароль. Такой метод аутентификация называется однофакторным, так как базируется на одном факторе — статической информации (логине), которую мы знаем и предоставляем системе в процессе аутентификации.

Двухфакторная аутентификация eToken Network Logon позволяет сохранить реквизиты пользователя в памяти eToken и защитить их паролем пользователя eToken. Двухфакторная аутентификация технологии «Альфа-Клик» обеспечивается за счет ввода статичного пароля на web- странице банка, в случае удачной авторизации на web- сервисе, генерируется и высылается одноразовый пароль на мобильный телефон, владельцем которого является агент банка.

Исходя из данных, приведенных в таблицах, с технологической точки зрения, целесообразнее применять решения организованные на применении SSL технологии. SSL– не требует приобретение дорогостоящего оборудования и ПО для установки на каждое удалённое рабочее место, простота обслуживания– не требуется привлечение штата высокооплачиваемых специалистов. Вся работа по организации и сопровождению доступа по технологии SSL может быть выполнена штатным системным администратором.

SSL на ряду с IpSec обладает аналогичными характеристиками:

1. Установление подлинности: сайт действительно принадлежит компании, которая установила свидетельство;

2. Секретность сообщения: используя уникальный "ключ сессии", SSL зашифрует всю информацию, которой обмениваются сайт и его клиенты (например, номер кредитной карточки или персональные регистрационные данные). Это гарантирует, что передаваемые серверу данные не могут быть просмотрены или перехвачены посторонними лицами;

3. Целостность сообщения: данные, передаваемые посредством этого протокола, не могут быть частично потерянными или замененными;