Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам, операции нельзя будет провести с незарегистрированных устройств

отметили
54
человека
в архиве
Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам, операции нельзя будет провести с незарегистрированных устройств
Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты.

Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.

— Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.

— Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.
Добавил skrt skrt 19 Марта 2015
Комментарии участников:
cheliko
+4
cheliko, 19 Марта 2015 , url
банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты
К слову сказать, в некоторых банках это давно работает. Мне прошлой весной Альфа заблокировала доступ в интернет-банк после смены сим-карты.
Max Folder
+3
Max Folder, 19 Марта 2015 , url
Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.
Короче, как всегда — указание приняли, а вы крутитесь, как хотите.
В статье несколько раз упоминается МАС-адрес. Так вот, есть устройства, которые могут его клонировать с других устройств. У многих дома есть роутеры, а роутер, в зависимости от настроек, может отдавать во «внешний мир» или свой MAC или MAC-и подключённых устройств. Центробанк будет ездить по стране и роутеры правильно настраивать?
Гудвин
+4
Гудвин, 19 Марта 2015 , url
Это нормальный подход. Есть требование. Его нужно выполнить. Как — дело банка.

Про MAC-адрес упомянуто скорее как один из вариантов. Нормальный специалист этот вариант даже рассматривать не будет, т.к. MAC легко меняется руками или клонируется. К тому же у устройства может быть несколько интерфейсов для связи, на каждом из них будет свой MAC-адрес, насколько я понимаю.

Навязывать конкретное техническое решение — избыточно, это должны определять архитекторы системы дистанционного обслуживания. Да и не может быть единого подхода для всех классов устройств.

Например, мобильное приложение ставится и привязывается к устройству, для доступа с этого устройства используется свой уникальный пароль, не совпадающий с паролем для входа через сайт. У Сбербанка так сделано. Т.е. требование в отношении мобильного приложения уже выполнено. К чему оно там привязывается, не знаю, но явно не к MAC-адресу. Я бы взял, например (так, навскидку), хэш от суммы значений серийного номера устройства и еще пары параметров, уникальных для устройства.

Что делать с доступом через браузер — хз, надо подумать. Возможно, придется какой-то плагин ставить на конечное устройство (если нет возможности как-то получить идентификационные данные машины в рамках сессии нормальными методами).
Гудвин
+2
Гудвин, 19 Марта 2015 , url
В любом случае, способ защиты — это как минимум коммерческая тайна. Да и вопрос безопасности. Конкретные требования в НПА прописывать нельзя.
Max Folder
+4
Max Folder, 19 Марта 2015 , url
А чем вас не устраивает существующая система с паролем и СМС. Например, у меня есть знакомый, у которого есть дома технические проблемы с интернетом, поэтому он заходит в свой интернет-банк то с рабочего компа, то с домашнего, то я для него захожу со своего. За долгие годы использования пароля+СМС с его счетами ничего не случилось.
Чует моё сердце, что это ж-ж-ж неспроста — обяжут всех россиян или электронную подпись получить или купить кард-ридер для УЭК.
Игемон
+2
Игемон, 19 Марта 2015 , url
И всех нас, любителей и пользователей Сети, сосчитают.
Max Folder
0
Max Folder, 19 Марта 2015 , url
Обязательно. И с подтверждённых счетов будут взимать налог для Михалкова.
Гудвин
0
Гудвин, 19 Марта 2015 , url
Меня — все устраивает :)
Видимо, не устраивает кого-то, кто инициировал такие требования. Политическую сторону дела я не обсуждал, и вникать в нее мне лень. Я говорил сугубо о технической части и претензиях к проработке НПА.
KS5
0
KS5, 20 Марта 2015 , url
Некоторые банки бесплатно карт-ридеры предлагают и даже для физлиц.
KS5
0
KS5, 20 Марта 2015 , url
Идентификатор может включать в себя привязку сразу к нескольким компонентам. Да и зачем это ”светить”?
FreedomRed
+3
FreedomRed, 19 Марта 2015 , url
Просто все станет сложнее, как для воров, так и для пользователей. В этом и состоит проблема методов безопасности — при увеличении безопасности происходит увеличение операций необходимых для проведения операции. Если бы этой проблемы не было и обычный пользователь был бы способен и согласен выполнять дополнительные операции, то подобные привязки давно уже стали бы нормой.
X86
+8
X86, 19 Марта 2015 , url
А в чем проблема в нынешнем подходе с отправкой кода на телефон? Это хорошая защита.

dbond
0
dbond, 19 Марта 2015 , url
Трояны на андроиде смеются над тобой. А у одной известной фруктовой компании смс шарятся между разными устройствами, в т.ч. копируются на компьютер.
X86
0
X86, 19 Марта 2015 , url
Ну, вот, я пользуюсь Сбербанком онлайн, приложение их не устанавливаю, т.е. захожу только с компьютера, а телефон только получает СМСку с кодом. По-моему при такой схеме никакие трояны на андроиде не страшны.
Marlan
+1
Marlan, 19 Марта 2015 , url
Идиотизм. Вконтактом из-за этого пользоваться неудобно.

Скажу честно — у меня за всю жизнь один раз увели аккаунт на форуме за пароль 12345. Без серьезных проблем все восстановил. А вот из-за требований к безопасности пару-тройки раз терял около 2-х недель времени на отсылание фотки своего большого и толстого для верификации что я это я, а в случае с ЯДом пришлось лично к ним в офис явиться. Теперь весь этот идиотизм из классических платежных систем перейдет в банковские системы.

И самое главное что если кто-то решит поставить вам на компьютер вирус, то антивирус вам не поможет, а если кто-то захочет увести у вас деньги со счета, то доступ к вашему телефону получить будет не многим сложнее вашего пароля. Это защита ни коим образом не нас с вами — теперь чтобы увести деньги с вашего счета вам дополнительно проломят бошку топором,- это защита банка — этакие костыли на их дыры безопасности.
thy
+2
thy, 19 Марта 2015 , url
Все можно усложнить, нарастить, повысить, ужесточить и тд, но нельзя уменьшить человеческую тупость. Если человек идиот, то это на долго (с) У него уведут не только телефон, но и трусы последние стырят в людном месте при всех.
Не раз сталкивался с ситуациями, когда «физики» приходят в банк и просят отменить транзакции дневной или даже недельной давности в виду того, что их «кинули», как оказалось. Ну, типа «переведите стопицот копеек на наш Yandex-кошелек и мы удлиним вам сами знаете, что, на 4 см дистанционно». Тут уж никакая защита не поможет.
Вероятность того, что «уведут» телефон в момент, когда вы пользуетесь инет-банком практически равна нулю. Сделать ее полностью нулевой можно за счет работы с компутера. Одноразовые пароли или верификация по пин-коду на телефон, имхо, лучшее, что может быть придумано на данный момент. Все остальное — бред и геморрой.
Flinky
0
Flinky, 19 Марта 2015 , url
В принципе логично. Хороший вариант авторизации при таком раскладе — УЭК или любой другой носитель, содержащий ЭЦП клиента, как это делается в системах ДБО «Клиент-банк». Тогда и к устройству привязываться не нужно. Хотя некоторые банки всё равно привязываются, формируя ЭЦП для конкретного девайса.
blogman
0
blogman, 20 Марта 2015 , url
содержащий ЭЦП клиента
ЭЦП не является защитой строго говоря. Только одноразовые пароли.
Flinky
0
Flinky, 20 Марта 2015 , url
Строго говоря, более-менее стойкой является только биометрическая аутентификация.
blogman
0
blogman, 20 Марта 2015 , url
Нет фактора изменения, что обычный пароль, что отпечаток пальца — действует на протяжении отрезка времени. Как их получить дело техники. Перехват одноразового пароля по определению лишен смысла. Именно по этому over 9000 банков внедрили именно одноразовые пароли.
Flinky
0
Flinky, 20 Марта 2015 , url
Впервые слышу, что отпечаток пальца — это биометрическая аутентификация.
blogman
0
blogman, 20 Марта 2015 , url
Впервые слышу, что отпечаток пальца — это биометрическая аутентификация.

Просветитесь
Flinky
0
Flinky, 20 Марта 2015 , url
Спасибо, педивикию не читаю. Спорить смысла не вижу — предмет отсутствует.
blogman
0
blogman, 20 Марта 2015 , url
че тут спорить? Вы круто не правы и точка )
http://habrahabr.ru
http://www.rnbo.ru
http://www.securrity.ru
http://www.computerra.ru
Flinky
-1
Flinky, 20 Марта 2015 , url
Читать умеете что-нибудь, кроме ссылок?
Строго говоря, более-менее стойкой является только биометрическая аутентификация.
В лес, батенька, в лес.
blogman
0
blogman, 20 Марта 2015 , url
Да я то умею, а Вы?

Вот ваша фраза.
Впервые слышу, что отпечаток пальца — это биометрическая аутентификация.
В ней Вы утверждаете, что не в курсе, что отпечаток пальца — это биометрическая аутентификация.

Кстати даже в лесу отпечаток пальца — это биометрическая аутентификация. )
Flinky
-1
Flinky, 20 Марта 2015 , url
Фраза как фраза. Я действительно впервые слышу, что отпечаток пальца является биометрической аутентификацией. Несогласие где-то выражено? Я просил вас заняться моим образованием? Не просил. В лес, батенька, в лес. Способ и скорость доставки выберете сами.
blogman
+1
blogman, 20 Марта 2015 , url
Вас просветили а вы в лес человека… И это вместо спасибо. О времена, о нравы…
Flinky
-1
Flinky, 20 Марта 2015 , url
Времена не выбирают — в них живут и умирают.
Большей пошлости на свете нет, чем клянчить и пенять —
Будто можно те на эти, как на рынке, поменять.
vguzev
+1
vguzev, 19 Марта 2015 , url
Теперь поняли почему они так взъелись на всякие там Биткойны? Потому что это единственные денежные потоки, на которые они не могут наложить свои ручки… Ждем ещё когда нал теперь отменят полностью.
KS5
0
KS5, 20 Марта 2015 , url
И причем здесь альтернативные деньги, неподконтрольные государству?
Да и вам лично они зачем? ))
ypt911
0
ypt911, 19 Марта 2015 , url
в конце откажемся от бумаги. :)


Войдите или станьте участником, чтобы комментировать