Comments 3
Описанная возможность попыток подбора PIN-кода, когда PIN оставлен стандартным или изменен на достаточно простой, не является специфичной для токенов производства «Аладдин Р.Д.», она общая для подобных устройств. Аналогичная ситуация при попытках блокировки токенов после неудачных попыток ввода PIN-кода. При использовании токенов для защиты от подобных атак существуют общеизвестные рекомендации для владельцев токенов:
Понимая, что не все владельцы токенов следуют общеизвестным рекомендациям, мы специально предусмотрели в наших продуктах дополнительную защиту и функциональность. Так, токены JaCarta-2 ГОСТ поддерживают
1. Возможность установить гибкие политики использования PIN-кодов перед выдачей токена пользователю:
a. необходимость смены PIN-кода при первом использовании;
b. минимальная длина;
c. обязательное наличие специальных символов (!, $, #, % и др. символов, коды которых находятся в диапазонах 20h–2Fh, 3Ah–40h, 5Bh–60h и 7Bh–7Eh);
d. обязательное наличие цифр (от 0 до 9, т.е. символов, коды которых находятся в диапазоне 30h–39h);
e. обязательное наличие строчных букв (от a до z или от а до я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 61h– 7Ah и E0h–FFh);
f. обязательное наличие прописных букв (от A до Z или от А до Я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 41h– 5Ah и С0h–DFh).
2. Различные механизмы разблокировки токена:
a. разблокировка по PUK-коду;
b. разблокировка по времени;
c. разблокировка с использованием механизма Challenge-Response.
Таким образом, рекомендуем Вам использовать специально реализованные в токенах механизмы – и описанных Вами проблем возможного подбора «слабого» PIN-кода или невозможности разблокировки не будет.
Более того, мы пошли далее, и решили сделать работу пользователей еще более удобной, реализовав в новой версии JC-WebClient 4.2 механизм фильтрации сайтов, которые работают с токеном. JC-WebClient проверяет адрес сайта, который обращается к токену, и, если сайт не находится в списке доверенных, JC-WebClient блокирует такую попытку и запрашивает подтверждение пользователя.
В случае подтверждения адрес сайта заносится в список доверенных, и далее подтверждение больше не требуется. При необходимости пользователь может удалить сайт из списка доверенных через интерфейс JC-WebClient.
Такая дополнительная функциональность предотвращает попытки фишинговых сайтов заблокировать токен. До необходимости разблокировки дело даже не доходит.
P.S. При работе с моделями eToken PRO (Java) или JaCarta PRO также предусмотрена возможность установить требование на сложность PIN-кода, необходимость принудительной смены PIN-кода по умолчанию и задействовать механизм разблокировки. Описанная выше функциональность доверенных сайтов также работает в отношении указанных моделей.
- необходимо отключать устройство от компьютера в период, когда не требуется выполнять операции с его использованием;
- владелец токена не должен посещать посторонние сайты или переходить по ссылкам в то время, когда токен подключен и используется;
- стандартный пароль от токена (PIN-код) необходимо менять на более сложный при первом использовании (рекомендуемая длина – от 6 символов).
Понимая, что не все владельцы токенов следуют общеизвестным рекомендациям, мы специально предусмотрели в наших продуктах дополнительную защиту и функциональность. Так, токены JaCarta-2 ГОСТ поддерживают
1. Возможность установить гибкие политики использования PIN-кодов перед выдачей токена пользователю:
a. необходимость смены PIN-кода при первом использовании;
b. минимальная длина;
c. обязательное наличие специальных символов (!, $, #, % и др. символов, коды которых находятся в диапазонах 20h–2Fh, 3Ah–40h, 5Bh–60h и 7Bh–7Eh);
d. обязательное наличие цифр (от 0 до 9, т.е. символов, коды которых находятся в диапазоне 30h–39h);
e. обязательное наличие строчных букв (от a до z или от а до я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 61h– 7Ah и E0h–FFh);
f. обязательное наличие прописных букв (от A до Z или от А до Я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 41h– 5Ah и С0h–DFh).
2. Различные механизмы разблокировки токена:
a. разблокировка по PUK-коду;
b. разблокировка по времени;
c. разблокировка с использованием механизма Challenge-Response.
Таким образом, рекомендуем Вам использовать специально реализованные в токенах механизмы – и описанных Вами проблем возможного подбора «слабого» PIN-кода или невозможности разблокировки не будет.
Более того, мы пошли далее, и решили сделать работу пользователей еще более удобной, реализовав в новой версии JC-WebClient 4.2 механизм фильтрации сайтов, которые работают с токеном. JC-WebClient проверяет адрес сайта, который обращается к токену, и, если сайт не находится в списке доверенных, JC-WebClient блокирует такую попытку и запрашивает подтверждение пользователя.
В случае подтверждения адрес сайта заносится в список доверенных, и далее подтверждение больше не требуется. При необходимости пользователь может удалить сайт из списка доверенных через интерфейс JC-WebClient.
Такая дополнительная функциональность предотвращает попытки фишинговых сайтов заблокировать токен. До необходимости разблокировки дело даже не доходит.
P.S. При работе с моделями eToken PRO (Java) или JaCarta PRO также предусмотрена возможность установить требование на сложность PIN-кода, необходимость принудительной смены PIN-кода по умолчанию и задействовать механизм разблокировки. Описанная выше функциональность доверенных сайтов также работает в отношении указанных моделей.
Механизм фильтрации сайтов это конечно хорошо, но с учётом большой «любви» отечественных пользователей к обновлению ПО (которое, с учётом политики его распостранения ещё надо получить от своего банка, а некоторые банки до сих пор работают с версией JC-WebClient 3), полагаться можно только на надёжность пин кода и главное правило безопасности при работе с банк-клиентами — отдельный комп
на котором работают только с банком и больше ни с чем, но это опять же не во всех компаниях соблюдается, обычно это комп бухгалтера, где и почта со всего мира, а в не рабочее время ещё и порно качают ))
на котором работают только с банком и больше ни с чем, но это опять же не во всех компаниях соблюдается, обычно это комп бухгалтера, где и почта со всего мира, а в не рабочее время ещё и порно качают ))
Sign up to leave a comment.
Тестируем JaCarta WebClient или храните токены в сейфе