Николай Терещенко

Вопрос из смежной области.

В этой теме 35 сообщений

Все мы боремся с различными Spyware и Phishing'ом антивирусными средствами.

А кто-нибудь задумывался о том, что можно эту проблему ликвидировать (в большей степени) внедрив технологию One Time Password (OTP)?

Для более подробной информации об OTP можно посмотреть:

http://www.rsasecurity.com/node.asp?id=1157 (технология RSA SecurID)

или

http://www.aladdin.ru/solutions/individ/product47.php (технология Aladdin eToken NG-OTP)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да действительно можно использовать данные технологии, но они ориентированы на корпоративных клиентов. Такое удобно внеднять в рамках всех организации.

Для персональщиков нужно что-то более простое, вряд ли они станут масово с этим заморачиваться.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что касаемо "персональщиков", то тут можно предположить следующее.

Если рассматривать внедрение данной технологии в банках для клиентов, тогда как раз и будут задействованы "персональщики".

Другое дело, готовы ли к этому банки?

В принципе прецидент уже есть - http://www.metrobank.ru/banknews.htm#sto

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А кто-нибудь задумывался о том, что можно эту проблему ликвидировать (в большей степени) внедрив технологию One Time Password (OTP)?

Каким образом?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Каким образом?

Все достаточно просто.

Одна из целей фишинга и шпионских программ, как известно, это выведать различные пароли, например к управлению банковским счетом (как было описано в данной статье - http://www.anti-malware.ru/index.phtml?par...;anid=phishing). В принципе это то самое при помощи чего достаточно легко склонить человека к покупке программного обеспечения для защиты от подобного типа мошенничества.

Но почему в данном случае должен страдать конечный вкладчик банка?

Ведь внедрив технологию OTP, защита от приведенного примера - гарантирована. Да, конечно банкам придется выложить достаточную сумму, если посчитать количество вкладчиков ... :-)

Как я упоминал выше, недавно уже и подоспел первый банк, внедривший технологию OTP для конечных вкладчиков.

Конечно, от всего разнообразия Фишинга и шпионских программ не защитишься, но тем не менее, от самых опасных видов мошенничества можно вполне, причем с надежностью 100%. Вряд ли любая из анти-фишинговых или анти-шпионских программ способна дать столь большой процент защиты ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я знаю, что у Алфа банка используются сеансовые ключи для интернет-банка, но они нужны только для серьезных операций, видимо все таки экономят ребята :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А кто-нибудь задумывался о том, что можно эту проблему ликвидировать (в большей степени) внедрив технологию One Time Password (OTP)?

Теперь я понял суть предложения.

Если фишинг будет массово осознан, то банки будут предлагать OTP-системы для онлайн-банкинга, как конкурентное преимущество. Антивирусные компании более динамичны. Представить решение быстрее, чем искоренить проблему. В MS-DOS были бутовые вирусы и с ними боролись антивирусы. Много позже, переход к Windows избавил нас от бутовых вирусов, но появились другие вирусы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все таки это разные вещи.

OTP решает вопрос аутентефикации пользователя. И все.

Признаться из прессрелиза не очень понятно в каком масштабе МетроБанк внедрил у своих партнеров OTP, если подходить с точки зрения денег, особого смысла в этом нет.

<цитата>

Клиент, не вставая с места, получает решение МЕТРОБАНКА о выдаче кредита буквально за 10-15 минут. В тоже время все взаимодействие между Банком и партнером по обслуживанию клиента происходит в реальном режиме времени с помощью интерактивной системы «Интернет-офис», доступ к которой партнер осуществляется посредством eToken NG-OTP.

</цитата>

Вот эта фраза наиболее не понятна. Если это постоянный партнер, магазин, то OTP ему не нужен по определению. Если это некий агент... То тоже как то странно.

Если говорить о клиенте - тут вопросов нет, имея любой выход в интернет, можно управлять своим счетом.

Однако это очень относительно связано с фишингом и spyware, примерно так же как отказаться от интернет-банкинга и все операции со своим счетом производить только лично.

По личному опыту, для компаний (не банков), актуален когда сотруднику компании должны получить доступ к ресурсам компании по любому интернет-доступу (Ноутбук сел или WIFI не работает, вариант посмотреть почту только через Интернет-Кафе). Или вместо обычного ключа, носить такой красивый гаджет http://www.alladin.ru/ufiles/47product_IMAGE_1.JPG

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

М.б. меня опять не правильно поняли.

Да, согласен, что OTP решает вопрос только аутентификации. Но от подобного (http://www.anti-malware.ru/index.phtml?par...p;anid=phishing) вида мошенничества - дает 100% гарантию защиты при Интернет банкинге.

Разве нет?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

коллеги, любая серьёзная банковская операция со временем (у некоторых уже сейчас) будет подписываться ЭЦП клиента.. а это не только пароль...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
коллеги, любая серьёзная банковская операция со временем (у некоторых уже сейчас) будет подписываться ЭЦП клиента.. а это не только пароль...

Вопрос знатокам: Как лучше ЭЦП или OTP?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
коллеги, любая серьёзная банковская операция со временем (у некоторых уже сейчас) будет подписываться ЭЦП клиента.. а это не только пароль...

Вопрос знатокам: Как лучше ЭЦП или OTP?

Во-первых, одно другому не мешает :)

Во-вторых, клиент, используя ОТР должен удостовериться что перед ним действительно ЛЕГАЛЬНЫЙ сервер. Или я чего-то не понимаю?

Поэтому я считаю что в банковской сфере эти вещи не взаимоисключающие а взаимодополняющие.

Как бывший работник СБ банка, могу сказать, что я бы не отказался от ЭЦП в пользу ОТР, но вместе с тем не отказывался бы и от ОТР

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в лоб сравнивать не стоит..

надо смотреть в каждом конкретном случае применения эцп и одноразовых паролей..

Но, можно с уверенностью сказать, что пакет подписанныей эцп ..

гарантирует конфиденциальность и целостность информации, которая в нём содержится..

Для финансовой компании это главное..

Как вы понимаете переподписать возможно только в случаи наличия у злоумышленника закрытого сертификата клиента.. а дешифровать только с помощью закрытого сертификата на стороне сервера..

Одноразовый ключ, можно использовать для открытия сессии передачи зашифрованных и подписанных пакетов, что собственно абсолютно не вредит

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но, можно с уверенностью сказать, что пакет подписанныей эцп ..

гарантирует конфиденциальность ...

Разве?

Давайте проще.

OTP --- это когда мне банк выдает такую маленькую коробочку (красная цена --- $10), на которой высвечиваются циферки. Я, заходя на сайт банка, набираю в Веб-форме те циферки, которые показывает коробочка.

Как простыми словами должна выгляеть ЭЦП?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все перепутали. :shock:

OTP это замена аутентификации на основе сертификатов (безусловно в ней применяется технология ЭЦП, но эта лишь небольшая составляющая), а не замена ЭЦП. ЭЦП обеспечивает только достоверность, целостность и неотказуемость (подписавший, не может отказаться от своей подписи). Конфиденциальность обеспечивается шифрованием!!!

Вследствие чего совершенно не корректно ставить вопрос, что лучше OTP или ЭЦП.

А вот что лучше OTP или аутентификация на основе сертификатов - вот об этом можно поговорить ...

Немного о OTP - их существует два типа:

1. Time Base - реализация только у RSA (Этот тип токенов генерит пароли на основе нынешнего времени и вектора инициализации. Параллельно этому сервер для данного клиента генерит то же самое на своей стороне, т.е. каждые 60 секунд цифры на токене сами автоматом меняются).

2. Event Base - все остальные :-) (Этот тип токенов генерит пароли на основе количества нажатий вами кнопки на токене и вектора инициализации. Каждое нажатие - новый пароль).

Самый большой недостаток OTP - стоят они дорого. Если внедрять эту технологию, то на каждого пользователя придется суммарно потратить в первом случае порядка 250$, во втором 150$. Но при этом простота использования - двухфакторная аутентификация без установки и настройки дополнительного софта на стороне клиента. Плюс к этому, перехват такого пароля злоумышленнику ничего не дает ...

Если рассматривать аутентификацию на основе сертификатов – опять же потребуются USB Tokenы или смарт-карты. Но тут уже на одного пользователя тратится порядка 40$. Но при этом на стороне пользователя должно быть установлено и настроено ПО. Плюс к этому на уровне предприятия должна быть развернута и поддерживаться PKI (раз в пол года перевыпуск пользовательских сертификатов).

Вот в принципе коротко по теме ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Все перепутали. :shock:

OTP это замена аутентификации на основе сертификатов (безусловно в ней применяется технология ЭЦП, но эта лишь небольшая составляющая), а не замена ЭЦП. ЭЦП обеспечивает только достоверность, целостность и неотказуемость (подписавший, не может отказаться от своей подписи). Конфиденциальность обеспечивается шифрованием!!!

.

Почти все продукты использующие ЭЦП для гарантий достоверности, целостности и неотказуемости, могут применят и крипто защиту.. только по другому принципу :) кстати про это я писал ВЫШЕ..

напрямую эцп и шифорвание не связаны, неточность с моей стороны :oops:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Time Base - реализация только у RSA (Этот тип токенов генерит пароли на основе нынешнего времени и вектора инициализации. Параллельно этому сервер для данного клиента генерит то же самое на своей стороне, т.е. каждые 60 секунд цифры на токене сами автоматом меняются).

Есть еще Vasco.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если рассматривать аутентификацию на основе сертификатов – опять же потребуются USB Tokenы или смарт-карты. Но тут уже на одного пользователя тратится порядка 40$. Но при этом на стороне пользователя должно быть установлено и настроено ПО. Плюс к этому на уровне предприятия должна быть развернута и поддерживаться PKI (раз в пол года перевыпуск пользовательских сертификатов).

Вот в принципе коротко по теме ...

Не отделаетесь. Вы слишком умные. Объясните проще. Если мы рассматриваем корпоративную сеть, то все ясно, но мы же начинали с фишинга!

Куда я буду совать свою смарт-карту в моем ноутбуке? То есть я должен получить от банка USB-брелок (USB-порты у моего ноута есть). Хакер, даже перехватив общение USB-брелока с сайтом банка не получит и бита полезной информации. Так?

Alladin выпустил USB-брелоки с ЖК-экранчиком. Не это ли гибрид OTP и сертификатов?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вы считаете, что эти данные передаются в незашифрованном виде??? Вот вам сертификаты.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это я вам, если есть шифрование есть и сертификаты :) или так называемые ключи

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
это я вам, если есть шифрование есть и сертификаты :) или так называемые ключи

Я вас понял. Действительно. Если есть сертификаты, то можно и шифрование и ЭЦП и все прочее. То есть возможность ЭЦП одновременно означает возможность шифрования, хотя сама по себе не является шифрованием.

Так все-таки как это должно выглядеть в реальной жизни?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так давайте не мешать все в кучу ...

Говорим о сертификатах и аутентификации. Шифрование подождет.

Есть еще Vasco.

Это Event Base. Time Base - запатентована и что бы ее использовать, нужно компании RSA отвалить немала $$$ ... ;-)

Что касаемо фишинга. Если рассматривать сертификаты, которые хранятся на смарт-картах (USB токенах), то злоумышленнику, кроме пин-кода к смарт-карте перехватить ничего не удастся. Это связано с тем, что закрытый ключ хранится в защищенной области памяти и ни при каких операциях не покидает ее - все вычислительные операции с закрытым ключом идут внутри токена (смарт-карты).

А так же при использовании OTP, все что можно перехватить злоумышленнику тоже не принесет пользы.

Если с точки зрения управления и поддержания системы (или PKI или OTP), то бесспорно выигрывает OTP. Но вот по цене ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS