Поддержка OTP токенов

Avatar
Иван Баталин
  • обновлен
  • На рассмотрении

Добрый день. Насколько я понимаю на 2019 год поддержка OTP токенов отсутствует? В настройках личного кабинета есть только SMS и Push механизмы аутентификации/подписания документов. Есть ли техническая возможность использования OTP токенов, и если нет, почему её отключили.
Если есть, каким образом возможно подключить OTP и какие поддерживаются (SafeNet, Gemalto, и т.п.)?
Спасибо за ответ. Онлайн-чат производит впечатление стучания головой об стенку. SMS и Push не является безопасным способом аутентификации.

Ответы 14
Avatar
Команда Точки Администратор

Удалить данные, конечно, тоже можно. Раздел Настройки и тариф интернет-банка вкладка Уведомления. Там можно управлять настройками уведомлений по смс, электронной почте и пушей. А ещё советуем менять пароль от интернет-банка раз в 2-3 месяца. 

Avatar
Иван Баталин

Тут дело даже не в возможности заблокировать доступ, а в возможности полностью удалить данные в случае утери, как то - электронную почту, СМС, ключи шифрования, сертификаты, VPN доступ и, возможно, копии документов.

Avatar
Команда Точки Администратор

Спасибо за информацию. Очень подробно и познавательно. 
В случае потери телефона, можно легко заблокировать доступ, позвонив нам по телефону 8 800 2000 024. По телефону можно и заблокировать бизнес карту, если не можете её найти. 
В любом случае, мы на связи 24/7. И поможем разобраться в любой ситуации, главное во время заметить потерю. 

Avatar
Иван Баталин
Цитата от Команда Точки

Добрый день. Рады, что вы решили прийти к нам.

Пока не можем обещать, что вернёмся к токенам. Но у команд есть в планах некоторые проекты. Это требует времени. 
Здорово, что вы интересуетесь безопасностью. Расскажите, пожалуйста, чуть больше о необходимости контролировать доступ для каждого устройства отдельно. Почему он вам необходим? Не так часто нам задают такие вопросы.

И ещё раз добрый день. Дело в том, что основным профилем деятельности компании является IP телефония и системная интеграция, в первую очередь решений на базе GNU/Linux. Помимо должности директора я совмещаю должность главного инженера (фактически - системного архитектора) и по специфике работы обязан разбираться в информационной безопасности, стандартах и протоколах передачи данных. В том числе существующих уязвимостях и способах их обхода (Workaround). Попутно занимаюсь преподавательской деятельностью.
Понятие комплексной защиты (Defense-In-Depth) возникло далеко не на пустом месте и включает в себя семь уровней информационной безопасности, начиная от физической защиты помещений, заканчивая антивирусной защитой операционных систем.
Исторически - самая большая уязвимость любой компании - человеческий фактор и безграмотность сотрудников и зачастую руководства в области информационной безопасности, отсюда и пренебрежение даже самыми простыми правилами - например блокировать рабочие станции при уходе на обед, или использование для корпоративных ящиков публичной (не контролируемой) почты на фришард хостингах, типа gmail, yandex, mail.ru и т.п.
Возвращаясь к уязвимостям информационных систем, и обеспечения защиты данных, их можно отнести к разным классам защиты. В частности финансовые активы, я бы относил к классу безопасности ИС: Б2 (охрана коммерческой тайны), но с учетом специфики пользовательского опыта достаточно иметь уровень В1 (Двухфакторная Аутентификация, Авторизация, Аудит). По большей части ваша система клиент-банка соответствует критериям класса В1, и может пройти сертификацию.
По поводу клиентских устройств. Представьте, что руководитель, или бухгалтер, имеющий привязку телефона к личному кабинету интернет-банка забывает свой телефон на деловой встрече, семинаре, конференции (нужное - подчеркнуть) и к его телефону получает доступ посторонний. Разблокировать телефон на Android (за исключением версии 7 или выше) не представляет особой сложности, push уведомления и СМС так же показываются без полной разблокировки экрана. На лицо - возможность несанкционированного доступа к персональным данным, коммерческой и финансовой тайне, включая доступ к расчетным счетам.
Для обхода данной уязвимости чаще всего применяется две технологии - временной блокировки устройства через личный кабинет и полный вайп (очистка) данных. Временная блокировка применяется если телефон забыт, скажем на работе или у партнеров, и хочется временно запретить доступ к электронной почте, операций по счетам, мобильной версии бухгалтерии и т.п. Полный вайп - в случае утери или кражи устройства.
В любом случае, можете написать мне в Telegram, Viber или Skype для более подробной информации. Контактные данные у вас должны быть.

Avatar
Команда Точки Администратор
  • На рассмотрении

Добрый день. Рады, что вы решили прийти к нам.

Пока не можем обещать, что вернёмся к токенам. Но у команд есть в планах некоторые проекты. Это требует времени. 
Здорово, что вы интересуетесь безопасностью. Расскажите, пожалуйста, чуть больше о необходимости контролировать доступ для каждого устройства отдельно. Почему он вам необходим? Не так часто нам задают такие вопросы.

Avatar
Иван Баталин

Добрый день. Решился перевести часть расчетов с клиентами в ваш банк. Буду ждать решения по токенам, советую обратить внимание на GoogleAuthenticator. Он использует библиотеку libfreeotp для реализации работы OTP токена, поддерживает архитектуру F2A. На стороне клиентского ПО реализуется легким движением руки (C/C++) или чуть сложнее на PHP/C#.
И перечень подключенных устройств к интернет-банку с возможностью контролировать доступ, в том числе push уведомления для каждого устройства - должен быть обязательно. В идеале - мобильный клиент должен при установке запрашивать разрешение на администратора устройства и в случае разрешения - в личном кабинете должна появляться функция удаленного сброса на заводские настройки. Подобный механизм управления есть в Microsoft Exchange, InTune, и других продуктах нацеленных на безопасность.

Avatar
Команда Точки Администратор
  • Отвечен

Иван, здравствуйте.

Понадобилось чуть больше времени, чтобы подготовить ответ. Мы с командами уже думали над всем, о чём вы пишете. И уже даже запланировали доработку, но пока есть более приоритетные проекты.
Хотим, чтобы вход в интернет-банк был удобным и безопасным для всех. Увы, что для одного будет безопасным, для другого может быть долгим, дорогим и неудобным. Поэтому мы постоянно тестируем новые гипотезы и проекты. Сейчас на повестке дня выход нового интернет-банка. А настройки и сервисы в нём будет добавляться по мере обновления.

Про IMSI хотим добавить, что раньше это было возможно, но операторы перестали поддерживать такую услугу, и непонятно, будут ли снова. Чтобы защититься от мошенников, важно не передавать свои данные третьим лицам, не оставлять свои устройства без присмотра разблокированными и не устанавливать на них непроверенные приложения. Последние могут запрашивать доступ к пуш-уведомлениям и смс. Если для вас это приемлемо, то можете дать согласие. Также можете принимать или не принимать риски, возникающие при подключении интернет-банка к своему аккаунту на Госуслугах. Об этом мы предупреждаем пользователей, которые настраивают подключение впервые. И для входа в интернет-банк через Госуслуги всё так же надо получить код.

В конце концов, каждый выбирает сервис себе по душе. И если дистанционное обслуживание вызывает у вас смешанные чувства, всегда можно рассмотреть банки, работающие по привычной модели. Главное, чтобы вы ощущали себя комфортно, а бизнес приносил удовольствие.

Avatar
Команда Точки Администратор

Пока обещать не можем, но и не исключаем ;)

Avatar
Иван Баталин

Ладно, добавлю дополнительно Google Authenticator для учетной записи Google. Надеюсь что OTP вернёте, хотя бы как опцию.

Avatar
Команда Точки Администратор

В интернет-банке видно, если у вас включены пуш уведомления. Пуш-токен создаётся, когда вы заходите в приложение. Токен можно удалить в интернет-банке. 
Пока действительно в интернет-банке не видно, на сколько устройств установлено приложение, эту информацию можно узнать в чате. Обсудим и этот вопрос с коллегами. 

Без вашего ведома в ваш интернет-банк ни у кого зайти не получится. Всегда отправляется код - в пуше или смс. Если же речь о приложении, то код отправляется при первом входе по логину и паролю. После для быстроты входа успользуется короткий 4-ёх значный код или отпечаток пальца.