Николай Терещенко

Вопрос из смежной области.

В этой теме 35 сообщений

Михаил, представляете, что такое организовать PKI на предприятии?

1. Надо зарегистрировать свой Центр Сертификации в русском дереве имен.

2. Надо установить его и настроить в соответствии с регистрационными данными (см. пункт 1).

3. Нужно на каждой станции пользователя провести установку ПО и его настройку.

4. Нужно выдать каждому пользователю ключ с персональными сертификатами (до этого сгенерить их – все делается вручную).

5. Нужно отслеживать время жизни каждого из сертификатов, своевременно менять их (пользователь приносит ключ администратору и тот выполняет операции).

Это я привел пример внутри предприятия. А теперь представьте, когда идет речь о внешних пользователях ...

И OTP:

1. Поднять и настроить сервер аутентификации.

2. Установить агенты на объекты инфраструктуры, на которых должна происходить аутентификация.

3. Раздать пользователям OTP токены.

OTP требует значительно меньше трудозатрат на установку и поддержание.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так давайте не мешать все в кучу ...

Говорим о сертификатах и аутентификации. Шифрование подождет.

Мы говорим о том, как выглядит универсальная защита от фишинга.

Есть еще Vasco.

Это Event Base. Time Base - запатентована и что бы ее использовать, нужно компании RSA отвалить немала $$$ ... ;-)

А мне сотрудники Vasco говорили, что у них дешевле решение, чем у RSA. (см. картинку --- очень похоже на RSA)

vasco.JPG

post-14-1135597402.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил, представляете, что такое организовать PKI на предприятии?

Сам не делал, но наслышан...

OTP требует значительно меньше трудозатрат на установку и поддержание.

Вывод: Банки должны выдавать OTP-устройства каждому клиенту для работы с банком онлайн. Использовать сертификаты (USB-брелоки) --- сложно и дорого.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что касаемо Vasco - слева, белая - это кнопка. На нее давишь и генерируется новый пароль (то же самое у Aladdin, VeriSign и т.п.). А у RSA все основано на времени, не надо ничего нажимать для генерации пароля.

Плюс к этому, если на Event Base токене вы случайно нажали несколько раз кнопку, то вас сервер не аутентифицирует, т.к. у него будут пароли, которые вы пропустили ... Этого нет на Time Base.

Да RSA дороже - 250$ на человека (токены + софт и лицензии), у Vasco и прочих - 150$. PKI - 40$.

USB брелки + PKI - трудоемко и неудобно для внешних клиентов, но дешево.

OTP - очень удобно для внешних клиентов, но дорого ...

rsa.jpg

post-7-1135598792.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насколько я понял, внедрение ОТР для использования в интернет-банках упирается в деньги по большей части. По тем цифрам которые привел Николай - это 150$ на одного клента (внедрение) + еще кае-то деньги на поддрежку (т.е. абоненская плата).

А теперь подумайте, станет ли банк идти на такие инвестиции?

Ведь перевались фининсирование этой затеи на клиента вряд ли удастся, не многие в России еще знают что-то об угрозе фишинга, а если и знают, то деньги не будут платить :-) Я бы, например, не стал этого делать.

Возможно для интернет-банкинга, где клиентом выступает предприятие это бы подошло, так как для компании 150$ сразу + скажем 100$ в год за надежную защиту транзакций - не деньги.

Кроме того, вы забываете, что фишинг - это несколько более широкое понятие, чем получение мошенническим путем реквизитов доступа к управлению считами. Часто добычем фишеров могут выступать просто логины и пароли от платных интернет сервисов, типа аукционов, конетнт-сайтов и т.д. Я уже не говорю про так называемые "нигерийские письма".

И это только начало, ведь фишинг будет развиваться очень быстро. Через год он может приобрести совсем другие черты.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кроме того, вы забываете, что фишинг - это несколько более широкое понятие, чем получение мошенническим путем реквизитов доступа к управлению считами. Часто добычем фишеров могут выступать просто логины и пароли от платных интернет сервисов, типа аукционов, конетнт-сайтов и т.д. Я уже не говорю про так называемые "нигерийские письма".

И это только начало, ведь фишинг будет развиваться очень быстро. Через год он может приобрести совсем другие черты.

Вы правы, но аукционы и контент-сайты, это фигня по сравнению со своими кровными.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

есть такая услуга как банк-клиент (не важно какой банк), дк в нём давно реализована процедура смены ключей на каждую сессию..и что?

кроме этого есть другие применения, обычно стоимость контракта на услугу значительно дороже брелка rsa паролем :)

эцп не много другое, и именно эцп может защитить от фишинга, а одноразовый пароль не может. :)))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
есть такая услуга как банк-клиент (не важно какой банк), дк в нём давно реализована процедура смены ключей на каждую сессию..и что?

Если у меня iPAQ я могу воспользоваться этой услугой?

эцп не много другое, и именно эцп может защитить от фишинга, а одноразовый пароль не может. :)))

Почему не может?!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

потому что, если пришло письмо пришло из банка и оно без валидного эцп, то пользователь сразу удаляет его.

А в вашем случае, пользователь должен ввести пароль, фишер его перехватит :) И... если успеет (пароль действителен допустим 1 минуту) может им воспользоваться :)))

Вы должны понимать, что фишеры НЕ ДУРАКИ, и могут полность автоматизировать процесс.. а пользователь будет видеть окошко конннекта :)))) А потом связь оборвётся...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
потому что, если пришло письмо пришло из банка и оно без валидного эцп, то пользователь сразу удаляет его.

А в вашем случае, пользователь должен ввести пароль, фишер его перехватит :) И... если успеет (пароль действителен допустим 1 минуту) может им воспользоваться :)))

Вы должны понимать, что фишеры НЕ ДУРАКИ, и могут полность автоматизировать процесс.. а пользователь будет видеть окошко конннекта :)))) А потом связь оборвётся...

В этом случае - ДА, все что мы тут обсуждали бесполезно.

Более того, фишер может в тупую по мылу запросить пароль и логин к интернет банку якобы для проверки. Например, так:

"Уважаемый Василий Пупкин!

В нашем банке продятся профилактические мероприятия, направленны на устранение неактивных записей пользователей интерент-банка. Если Вы желеаете дальше польззоваться нашим сервисов ХХХ, вышлите нам свой логин и пароль" :)

И самое главное, найдется N человек, что точно вышлет!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS