Поддержка OTP токенов
Добрый день. Насколько я понимаю на 2019 год поддержка OTP токенов отсутствует? В настройках личного кабинета есть только SMS и Push механизмы аутентификации/подписания документов. Есть ли техническая возможность использования OTP токенов, и если нет, почему её отключили.
Если есть, каким образом возможно подключить OTP и какие поддерживаются (SafeNet, Gemalto, и т.п.)?
Спасибо за ответ. Онлайн-чат производит впечатление стучания головой об стенку. SMS и Push не является безопасным способом аутентификации.
Добрый день. Рады, что вы решили прийти к нам.
Пока не можем обещать, что вернёмся к токенам. Но у команд есть в планах некоторые проекты. Это требует времени.
Здорово, что вы интересуетесь безопасностью. Расскажите, пожалуйста, чуть больше о необходимости контролировать доступ для каждого устройства отдельно. Почему он вам необходим? Не так часто нам задают такие вопросы.
И ещё раз добрый день. Дело в том, что основным профилем деятельности компании является IP телефония и системная интеграция, в первую очередь решений на базе GNU/Linux. Помимо должности директора я совмещаю должность главного инженера (фактически - системного архитектора) и по специфике работы обязан разбираться в информационной безопасности, стандартах и протоколах передачи данных. В том числе существующих уязвимостях и способах их обхода (Workaround). Попутно занимаюсь преподавательской деятельностью.
Понятие комплексной защиты (Defense-In-Depth) возникло далеко не на пустом месте и включает в себя семь уровней информационной безопасности, начиная от физической защиты помещений, заканчивая антивирусной защитой операционных систем.
Исторически - самая большая уязвимость любой компании - человеческий фактор и безграмотность сотрудников и зачастую руководства в области информационной безопасности, отсюда и пренебрежение даже самыми простыми правилами - например блокировать рабочие станции при уходе на обед, или использование для корпоративных ящиков публичной (не контролируемой) почты на фришард хостингах, типа gmail, yandex, mail.ru и т.п.
Возвращаясь к уязвимостям информационных систем, и обеспечения защиты данных, их можно отнести к разным классам защиты. В частности финансовые активы, я бы относил к классу безопасности ИС: Б2 (охрана коммерческой тайны), но с учетом специфики пользовательского опыта достаточно иметь уровень В1 (Двухфакторная Аутентификация, Авторизация, Аудит). По большей части ваша система клиент-банка соответствует критериям класса В1, и может пройти сертификацию.
По поводу клиентских устройств. Представьте, что руководитель, или бухгалтер, имеющий привязку телефона к личному кабинету интернет-банка забывает свой телефон на деловой встрече, семинаре, конференции (нужное - подчеркнуть) и к его телефону получает доступ посторонний. Разблокировать телефон на Android (за исключением версии 7 или выше) не представляет особой сложности, push уведомления и СМС так же показываются без полной разблокировки экрана. На лицо - возможность несанкционированного доступа к персональным данным, коммерческой и финансовой тайне, включая доступ к расчетным счетам.
Для обхода данной уязвимости чаще всего применяется две технологии - временной блокировки устройства через личный кабинет и полный вайп (очистка) данных. Временная блокировка применяется если телефон забыт, скажем на работе или у партнеров, и хочется временно запретить доступ к электронной почте, операций по счетам, мобильной версии бухгалтерии и т.п. Полный вайп - в случае утери или кражи устройства.
В любом случае, можете написать мне в Telegram, Viber или Skype для более подробной информации. Контактные данные у вас должны быть.