― Может быть, вам еще дать ключ от квартиры, где деньги лежат?
Илья Ильф, Евгений Петров. Двенадцать стульев (1927)
Очень не хочу, чтобы мои деньги без моего ведома попали в чужие руки.
Можно, наверное, нагородить огородов с сундуками, зайцами, утками, яйцами и иглами, но время надо тратить рационально.
Конечно, сначала я представлюсь, и платежная система после ввода логина+пароля или использования клиентского сертификата узнает, что я — это я. Но настаиваю, чтобы прямо перед переводом денег меня спросили еще что-то более-менее секретное.
Это что-то может называться как угодно (PIN, секретный код, платежный пароль), но суть одна: создать дополнительный барьер.
С одной стороны всё должно быть просто, с другой стороны — достаточно безопасно.
Фиксированный код
Некая последовательность символов, которую знает клиент и система.
Плюсы: Всё просто. Придумал, запомнил, когда попросили — написал.
Минусы: Ещё один пароль. Если «кто-то» знает, как получить первый пароль, то получит и второй. Спасает только от случайной утечки первого пароля.
Аудитория: Лентяи, потому что можно записать такой код в автозаполнителе форм вместе с логином и паролем для входа и не тратить время зря на всякую безопасность.
Таблица кодов с порядковыми номерами
Разновидность одноразовых паролей (OTP). Коды могут использоваться по очереди или вразнобой.
Плюсы: Без доступа к полному списку достаточно трудно отгадать код. Есть программы для хранения паролей, умеющие работать со списками.
Может использоваться в сессионном режиме для выполнения нескольких переводов подряд: действует до тех пор, пока клиент идентифицирован системой в пределах одной сессии.
Минусы: Надо бережно хранить список, особенно если был выдан на кусочке пластика или на блекнущей чековой ленте.
Аудитория: Клиенты, кому эту услугу навязали банки, потому что нет других вариантов.
SMS-код
Одноразовый код отправляется на заранее предоставленный номер телефона в виде SMS.
Плюсы: Очень привычный и распространённый вариант. Никому ничего не надо объяснять.
Может использоваться в сессионном режиме для выполнения нескольких переводов подряд: действует до тех пор, пока клиент идентифицирован системой в пределах одной сессии.
Минусы: Телефон должен быть с собой, исправен, способен принять SMS, особенно в роуминге. Важно помнить, что номер телефона выдаётся не один раз на всю жизнь, а мог кому-то принадлежать раньше и может достаться кому-то в будущем.
Иногда сообщения просто не приходят по непонятным причинам. И это становится просто очень трудно решаемой проблемой, которая сильно раздражает клиентов.
Аудитория: Большинство клиентов большинства банков и систем, потому что это mainstream.
TOTP (RFC6238)
Открытый алгоритм формирования одноразовых паролей на основе секрета и точного времени. Многим известен как Google Authenticator.
Плюсы: Популяризируется в качестве второго этапа двухфакторной идентификации. Просто использовать: сфотографировал QRCode, увидел цифры, попросили — написал. Интернет на устройстве для генерации кода не нужен, оператор связи не нужен. На разных устройствах можно сгенерировать один и тот же код, зная секрет. Алгоритм открыт и описан, поэтому реализации есть практически для всего (Nokia S40, Android, iOS, PC, Mac, KeePass, Javascript и др.).
Минусы: Часы на устройстве должны быть очень точными. Важно особое внимание уделить безопасному хранению секрета, который может понадобиться для повторной инициализации генератора.
Аудитория: Те, кого «заставили», и гики, конечно, потому что лентяям слишком лень, а большинство не захочет разбираться.
Hardware OTP
Специальные устройства, генерирующие одноразовый код. Могут быть встроены в пластиковую карту с ЖК дисплеем и кнопками, могут быть выполнены в виде брелока с фирменным оформлением банка и т.п.
Плюсы: Довольно просто использовать. Интернет на устройстве для генерации кода не нужен.
Минусы: Обычно существует в одном экземпляре, то есть, каждое устройство уникально, потому что на нём ещё на заводе записан некий секрет. Хотя батарейки в таких устройствах хватает очень на долго, важно, чтобы заряд не кончился в самый неподходящий момент. Некоторые банки любят такие устройства продавать, хоть и за небольшие деньги.
Аудитория: Клиенты некоторых банков, потому что нуждаются в обеспечении дополнительной безопасности или получили устройство как дополнительную опцию или бонус.
Push-уведомление
Одноразовый код отправляется сервисом на смартфон/планшет в виде специального уведомления.
Плюсы: Может быть очень похоже на SMS-код. Для отправителя push-уведомление дешевле, чем отправить SMS.
Минусы: Нужен интернет и нужно приложение, которое, как минимум, зарегистрирует клиента для получения Push-уведомлений.
Аудитория: Некоторые клиенты некоторых банков, потому что установили качественно сделанное мобильное приложение.
USB Token
Устройство, обеспечивающее безопасное использование закрытого ключа и надежное шифрование данных.
Плюсы: Всё должно быть очень безопасно. Шифрование данных происходит прозрачно для пользователя. Не требует от клиента переключения внимания от основного процесса.
Минусы: Существует в единственном экземпляре. Как правило, требует специального программного обеспечения на клиентском устройстве. Требует существенной доработки сервиса для использования таких ключей.
Аудитория: Мне не известно, использует ли кто-нибудь USB Token’ы в качестве дополнительного фактора для подтверждения платежей. Возможно с распространением УЭК что-то поменяется.
Выводы
Технически мы умеем работать с фиксированным кодом, табличным одноразовым и сессионным кодом, SMS одноразовым и сессионным кодом, TOTP. В разное время, по мере того, как у нас появлялись новые реализации платежных паролей, мы включали и отключали возможность их выбора. Сейчас в личном кабинете в управлении счетами можно переключаться между фиксированным, табличным, SMS и TOTP кодом. Но наша статистика показывает, что у подавляющего большинства пользователей выбрано то, что мы им предлагаем по умолчанию. И только у некоторых, видимо, как раз гиков, то, что им действительно нужно и удобно для обеспечения безопасности.
В результате при регистрации мы оставили всего два способа: фиксированный код и TOTP.
Я думаю, что TOTP обеспечивает безопасность на достаточном уровне, при этом является не сильно сложным ни в использовании для клиентов, ни в реализации в автоматизированных системах (может быть реализован даже целиком на уровне БД).
А есть ли спрос у общества на другие варианты: Hardware OTP, Push-уведомления и USB Token’ы?
(использованы изображения с сайтов www.uecard.ru и www.vasco.com)