Поддержка OTP токенов

Avatar
  • обновлен
  • На рассмотрении

Добрый день. Насколько я понимаю на 2019 год поддержка OTP токенов отсутствует? В настройках личного кабинета есть только SMS и Push механизмы аутентификации/подписания документов. Есть ли техническая возможность использования OTP токенов, и если нет, почему её отключили.
Если есть, каким образом возможно подключить OTP и какие поддерживаются (SafeNet, Gemalto, и т.п.)?
Спасибо за ответ. Онлайн-чат производит впечатление стучания головой об стенку. SMS и Push не является безопасным способом аутентификации.

Avatar
Команда Точки Администратор
  • На рассмотрении

Иван, добрый день. 
Да, всё верно - ОТП токены сейчас не используются. Раньше ими пользовались, ещё в прошлом интернет-банке. В новом уже убрали такую техническую возможность, потому что это стало неактуально для клиентов. 

Если мы говорим про платежи в интернет-банке, они подписываются простой электронной подписью - смс кодом. Платежи в мобильном приложении можно подписать кодом для входа. Но есть ограничение: сумма платежа до 15 000 рублей за раз, а в день таким образом можно отправить 100 000 рублей. В планах есть и получение кода для подписания платёжки через пуш. 

Что касается входа в интернет-банк, есть несколько вариантов. 
Не так давно стали отправлять пуши с кодами, если клиент залогинен в своём приложении Точки. Мы планировали такую доработку, поэтому коды прилетают за секунды, а сам вход остаётся безопасным.
К интернет-банку можно привязать только 2 номера телефона, на которые будут приходить коды. Если приложением не пользуетесь, то будет приходить смс. Для пользователей Apple совсем недавно мы запустили авторизацию через Apple ID. А для пользователей Android можно привязать свою учётную запись на портале Госуслуги. 

Мы стараемся найти оптимальное решение, и сохранить баланс между удобством для клиента и безопасностью. Главное — сохранять бдительность и ни в коем случае не передавать код из смс или пуш-уведомления третьм лицам, как бы сильно они вас об этом ни просили.

Avatar
Иван Баталин

Спасибо за разъясненния.
Тогда докину вам требования по информационной безопасности:
1. В личном кабинете должно быть видно все привязанные клиенты мобильного банка (телефоны).
2. Для каждого телефона должна быть возможность приостановить действие, заблокировать устройство.
3. В случае попытки добавления нового устройства - уведомление на адрес электронной почты и/или СМС уведомлением, можно дублировать пушем с кодом на другое привязанное устройство (если есть).
4. Регистрировать смену IMSI ID карты, привязанной к номеру телефона (смену сим карты).
Это необходимо для защиты от следующих векторов атаки:
1. Смена симкарты по подделаной доверенности, по телефону, "скану" паспорта (прецеденты есть).
2. Эксплуатации SS7 для перехвата сообщений (MiTM)
3. Взлом электронной почты.

Каким образом можно защититься от выпуска сертификата ЭП и входа через госуслуги (вектор атаки может быть тем же) пока не ясно.
На Android отсуствует возможность использовать сертификаты ЭП для входа через ГосУслуги - что отпадает.
Как вариант - использовать кроссплатформенное приложение Google Authenticator (Android/iOS) которое поддерживает стандарт OTP.


Ещё дополнение, в тарифах (https://tochka.com/links/tariffs/update-20190915) присутствует пункт:
8.5.5. Предоставление ОТП-токена для доступа в Интернетбанк (стоимость за 1 токен)

Avatar
Команда Точки Администратор

В настройках видны все номера, привязанные к банку. В любой момент номер для входа и подписи можно удалить. А чтобы добавить новый, надо получить два кода - на новый и старый номера телефона. 
Про токен верно. Как и писали выше, раньше они использовались, и клиенты могли их приобрести. 

Спасибо за советы. Мы постоянно ищем возможности улучшить клиентский опыт и обратная связь очень важна. Возьмём паузу и посоветуемся с командой. Вернёмся к ответу в понедельник. 

Avatar
Иван Баталин

Не совсем так, у вас видно именно номера телефонов для СМС, телефоны на который установлено мобильное приложение в списке отсутствуют. Это может быть отличное устройство от того, куда приходят СМС.
Очень жаль что поддержку OTP убрали. Буду думать.

Avatar
Команда Точки Администратор

В интернет-банке видно, если у вас включены пуш уведомления. Пуш-токен создаётся, когда вы заходите в приложение. Токен можно удалить в интернет-банке. 
Пока действительно в интернет-банке не видно, на сколько устройств установлено приложение, эту информацию можно узнать в чате. Обсудим и этот вопрос с коллегами. 

Без вашего ведома в ваш интернет-банк ни у кого зайти не получится. Всегда отправляется код - в пуше или смс. Если же речь о приложении, то код отправляется при первом входе по логину и паролю. После для быстроты входа успользуется короткий 4-ёх значный код или отпечаток пальца. 

Avatar
Иван Баталин

Ладно, добавлю дополнительно Google Authenticator для учетной записи Google. Надеюсь что OTP вернёте, хотя бы как опцию.

Avatar
Команда Точки Администратор

Пока обещать не можем, но и не исключаем ;)

Avatar
Команда Точки Администратор
  • Отвечен

Иван, здравствуйте.

Понадобилось чуть больше времени, чтобы подготовить ответ. Мы с командами уже думали над всем, о чём вы пишете. И уже даже запланировали доработку, но пока есть более приоритетные проекты.
Хотим, чтобы вход в интернет-банк был удобным и безопасным для всех. Увы, что для одного будет безопасным, для другого может быть долгим, дорогим и неудобным. Поэтому мы постоянно тестируем новые гипотезы и проекты. Сейчас на повестке дня выход нового интернет-банка. А настройки и сервисы в нём будет добавляться по мере обновления.

Про IMSI хотим добавить, что раньше это было возможно, но операторы перестали поддерживать такую услугу, и непонятно, будут ли снова. Чтобы защититься от мошенников, важно не передавать свои данные третьим лицам, не оставлять свои устройства без присмотра разблокированными и не устанавливать на них непроверенные приложения. Последние могут запрашивать доступ к пуш-уведомлениям и смс. Если для вас это приемлемо, то можете дать согласие. Также можете принимать или не принимать риски, возникающие при подключении интернет-банка к своему аккаунту на Госуслугах. Об этом мы предупреждаем пользователей, которые настраивают подключение впервые. И для входа в интернет-банк через Госуслуги всё так же надо получить код.

В конце концов, каждый выбирает сервис себе по душе. И если дистанционное обслуживание вызывает у вас смешанные чувства, всегда можно рассмотреть банки, работающие по привычной модели. Главное, чтобы вы ощущали себя комфортно, а бизнес приносил удовольствие.

Avatar
Иван Баталин

Добрый день. Решился перевести часть расчетов с клиентами в ваш банк. Буду ждать решения по токенам, советую обратить внимание на GoogleAuthenticator. Он использует библиотеку libfreeotp для реализации работы OTP токена, поддерживает архитектуру F2A. На стороне клиентского ПО реализуется легким движением руки (C/C++) или чуть сложнее на PHP/C#.
И перечень подключенных устройств к интернет-банку с возможностью контролировать доступ, в том числе push уведомления для каждого устройства - должен быть обязательно. В идеале - мобильный клиент должен при установке запрашивать разрешение на администратора устройства и в случае разрешения - в личном кабинете должна появляться функция удаленного сброса на заводские настройки. Подобный механизм управления есть в Microsoft Exchange, InTune, и других продуктах нацеленных на безопасность.

Avatar
Команда Точки Администратор
  • На рассмотрении

Добрый день. Рады, что вы решили прийти к нам.

Пока не можем обещать, что вернёмся к токенам. Но у команд есть в планах некоторые проекты. Это требует времени. 
Здорово, что вы интересуетесь безопасностью. Расскажите, пожалуйста, чуть больше о необходимости контролировать доступ для каждого устройства отдельно. Почему он вам необходим? Не так часто нам задают такие вопросы.