0
На рассмотрении

Поддержка OTP токенов

Иван Баталин 3 недели назад обновлен Команда Точки (Администратор) 2 недели назад 14

Добрый день. Насколько я понимаю на 2019 год поддержка OTP токенов отсутствует? В настройках личного кабинета есть только SMS и Push механизмы аутентификации/подписания документов. Есть ли техническая возможность использования OTP токенов, и если нет, почему её отключили.
Если есть, каким образом возможно подключить OTP и какие поддерживаются (SafeNet, Gemalto, и т.п.)?
Спасибо за ответ. Онлайн-чат производит впечатление стучания головой об стенку. SMS и Push не является безопасным способом аутентификации.

На рассмотрении

Иван, добрый день. 
Да, всё верно - ОТП токены сейчас не используются. Раньше ими пользовались, ещё в прошлом интернет-банке. В новом уже убрали такую техническую возможность, потому что это стало неактуально для клиентов. 

Если мы говорим про платежи в интернет-банке, они подписываются простой электронной подписью - смс кодом. Платежи в мобильном приложении можно подписать кодом для входа. Но есть ограничение: сумма платежа до 15 000 рублей за раз, а в день таким образом можно отправить 100 000 рублей. В планах есть и получение кода для подписания платёжки через пуш. 

Что касается входа в интернет-банк, есть несколько вариантов. 
Не так давно стали отправлять пуши с кодами, если клиент залогинен в своём приложении Точки. Мы планировали такую доработку, поэтому коды прилетают за секунды, а сам вход остаётся безопасным.
К интернет-банку можно привязать только 2 номера телефона, на которые будут приходить коды. Если приложением не пользуетесь, то будет приходить смс. Для пользователей Apple совсем недавно мы запустили авторизацию через Apple ID. А для пользователей Android можно привязать свою учётную запись на портале Госуслуги. 

Мы стараемся найти оптимальное решение, и сохранить баланс между удобством для клиента и безопасностью. Главное — сохранять бдительность и ни в коем случае не передавать код из смс или пуш-уведомления третьм лицам, как бы сильно они вас об этом ни просили.

Спасибо за разъясненния.
Тогда докину вам требования по информационной безопасности:
1. В личном кабинете должно быть видно все привязанные клиенты мобильного банка (телефоны).
2. Для каждого телефона должна быть возможность приостановить действие, заблокировать устройство.
3. В случае попытки добавления нового устройства - уведомление на адрес электронной почты и/или СМС уведомлением, можно дублировать пушем с кодом на другое привязанное устройство (если есть).
4. Регистрировать смену IMSI ID карты, привязанной к номеру телефона (смену сим карты).
Это необходимо для защиты от следующих векторов атаки:
1. Смена симкарты по подделаной доверенности, по телефону, "скану" паспорта (прецеденты есть).
2. Эксплуатации SS7 для перехвата сообщений (MiTM)
3. Взлом электронной почты.

Каким образом можно защититься от выпуска сертификата ЭП и входа через госуслуги (вектор атаки может быть тем же) пока не ясно.
На Android отсуствует возможность использовать сертификаты ЭП для входа через ГосУслуги - что отпадает.
Как вариант - использовать кроссплатформенное приложение Google Authenticator (Android/iOS) которое поддерживает стандарт OTP.


Ещё дополнение, в тарифах (https://tochka.com/links/tariffs/update-20190915) присутствует пункт:
8.5.5. Предоставление ОТП-токена для доступа в Интернетбанк (стоимость за 1 токен)

В настройках видны все номера, привязанные к банку. В любой момент номер для входа и подписи можно удалить. А чтобы добавить новый, надо получить два кода - на новый и старый номера телефона. 
Про токен верно. Как и писали выше, раньше они использовались, и клиенты могли их приобрести. 

Спасибо за советы. Мы постоянно ищем возможности улучшить клиентский опыт и обратная связь очень важна. Возьмём паузу и посоветуемся с командой. Вернёмся к ответу в понедельник. 

Не совсем так, у вас видно именно номера телефонов для СМС, телефоны на который установлено мобильное приложение в списке отсутствуют. Это может быть отличное устройство от того, куда приходят СМС.
Очень жаль что поддержку OTP убрали. Буду думать.

В интернет-банке видно, если у вас включены пуш уведомления. Пуш-токен создаётся, когда вы заходите в приложение. Токен можно удалить в интернет-банке. 
Пока действительно в интернет-банке не видно, на сколько устройств установлено приложение, эту информацию можно узнать в чате. Обсудим и этот вопрос с коллегами. 

Без вашего ведома в ваш интернет-банк ни у кого зайти не получится. Всегда отправляется код - в пуше или смс. Если же речь о приложении, то код отправляется при первом входе по логину и паролю. После для быстроты входа успользуется короткий 4-ёх значный код или отпечаток пальца. 

Ладно, добавлю дополнительно Google Authenticator для учетной записи Google. Надеюсь что OTP вернёте, хотя бы как опцию.

Отвечен

Иван, здравствуйте.

Понадобилось чуть больше времени, чтобы подготовить ответ. Мы с командами уже думали над всем, о чём вы пишете. И уже даже запланировали доработку, но пока есть более приоритетные проекты.
Хотим, чтобы вход в интернет-банк был удобным и безопасным для всех. Увы, что для одного будет безопасным, для другого может быть долгим, дорогим и неудобным. Поэтому мы постоянно тестируем новые гипотезы и проекты. Сейчас на повестке дня выход нового интернет-банка. А настройки и сервисы в нём будет добавляться по мере обновления.

Про IMSI хотим добавить, что раньше это было возможно, но операторы перестали поддерживать такую услугу, и непонятно, будут ли снова. Чтобы защититься от мошенников, важно не передавать свои данные третьим лицам, не оставлять свои устройства без присмотра разблокированными и не устанавливать на них непроверенные приложения. Последние могут запрашивать доступ к пуш-уведомлениям и смс. Если для вас это приемлемо, то можете дать согласие. Также можете принимать или не принимать риски, возникающие при подключении интернет-банка к своему аккаунту на Госуслугах. Об этом мы предупреждаем пользователей, которые настраивают подключение впервые. И для входа в интернет-банк через Госуслуги всё так же надо получить код.

В конце концов, каждый выбирает сервис себе по душе. И если дистанционное обслуживание вызывает у вас смешанные чувства, всегда можно рассмотреть банки, работающие по привычной модели. Главное, чтобы вы ощущали себя комфортно, а бизнес приносил удовольствие.

Добрый день. Решился перевести часть расчетов с клиентами в ваш банк. Буду ждать решения по токенам, советую обратить внимание на GoogleAuthenticator. Он использует библиотеку libfreeotp для реализации работы OTP токена, поддерживает архитектуру F2A. На стороне клиентского ПО реализуется легким движением руки (C/C++) или чуть сложнее на PHP/C#.
И перечень подключенных устройств к интернет-банку с возможностью контролировать доступ, в том числе push уведомления для каждого устройства - должен быть обязательно. В идеале - мобильный клиент должен при установке запрашивать разрешение на администратора устройства и в случае разрешения - в личном кабинете должна появляться функция удаленного сброса на заводские настройки. Подобный механизм управления есть в Microsoft Exchange, InTune, и других продуктах нацеленных на безопасность.

+1
На рассмотрении

Добрый день. Рады, что вы решили прийти к нам.

Пока не можем обещать, что вернёмся к токенам. Но у команд есть в планах некоторые проекты. Это требует времени. 
Здорово, что вы интересуетесь безопасностью. Расскажите, пожалуйста, чуть больше о необходимости контролировать доступ для каждого устройства отдельно. Почему он вам необходим? Не так часто нам задают такие вопросы.

И ещё раз добрый день. Дело в том, что основным профилем деятельности компании является IP телефония и системная интеграция, в первую очередь решений на базе GNU/Linux. Помимо должности директора я совмещаю должность главного инженера (фактически - системного архитектора) и по специфике работы обязан разбираться в информационной безопасности, стандартах и протоколах передачи данных. В том числе существующих уязвимостях и способах их обхода (Workaround). Попутно занимаюсь преподавательской деятельностью.
Понятие комплексной защиты (Defense-In-Depth) возникло далеко не на пустом месте и включает в себя семь уровней информационной безопасности, начиная от физической защиты помещений, заканчивая антивирусной защитой операционных систем.
Исторически - самая большая уязвимость любой компании - человеческий фактор и безграмотность сотрудников и зачастую руководства в области информационной безопасности, отсюда и пренебрежение даже самыми простыми правилами - например блокировать рабочие станции при уходе на обед, или использование для корпоративных ящиков публичной (не контролируемой) почты на фришард хостингах, типа gmail, yandex, mail.ru и т.п.
Возвращаясь к уязвимостям информационных систем, и обеспечения защиты данных, их можно отнести к разным классам защиты. В частности финансовые активы, я бы относил к классу безопасности ИС: Б2 (охрана коммерческой тайны), но с учетом специфики пользовательского опыта достаточно иметь уровень В1 (Двухфакторная Аутентификация, Авторизация, Аудит). По большей части ваша система клиент-банка соответствует критериям класса В1, и может пройти сертификацию.
По поводу клиентских устройств. Представьте, что руководитель, или бухгалтер, имеющий привязку телефона к личному кабинету интернет-банка забывает свой телефон на деловой встрече, семинаре, конференции (нужное - подчеркнуть) и к его телефону получает доступ посторонний. Разблокировать телефон на Android (за исключением версии 7 или выше) не представляет особой сложности, push уведомления и СМС так же показываются без полной разблокировки экрана. На лицо - возможность несанкционированного доступа к персональным данным, коммерческой и финансовой тайне, включая доступ к расчетным счетам.
Для обхода данной уязвимости чаще всего применяется две технологии - временной блокировки устройства через личный кабинет и полный вайп (очистка) данных. Временная блокировка применяется если телефон забыт, скажем на работе или у партнеров, и хочется временно запретить доступ к электронной почте, операций по счетам, мобильной версии бухгалтерии и т.п. Полный вайп - в случае утери или кражи устройства.
В любом случае, можете написать мне в Telegram, Viber или Skype для более подробной информации. Контактные данные у вас должны быть.

+1

Спасибо за информацию. Очень подробно и познавательно. 
В случае потери телефона, можно легко заблокировать доступ, позвонив нам по телефону 8 800 2000 024. По телефону можно и заблокировать бизнес карту, если не можете её найти. 
В любом случае, мы на связи 24/7. И поможем разобраться в любой ситуации, главное во время заметить потерю. 

Тут дело даже не в возможности заблокировать доступ, а в возможности полностью удалить данные в случае утери, как то - электронную почту, СМС, ключи шифрования, сертификаты, VPN доступ и, возможно, копии документов.

-1

Удалить данные, конечно, тоже можно. Раздел Настройки и тариф интернет-банка вкладка Уведомления. Там можно управлять настройками уведомлений по смс, электронной почте и пушей. А ещё советуем менять пароль от интернет-банка раз в 2-3 месяца. 

Сервис поддержки клиентов работает на платформе UserEcho