Поддержка OTP токенов

Avatar
  • обновлен
  • На рассмотрении

Добрый день. Насколько я понимаю на 2019 год поддержка OTP токенов отсутствует? В настройках личного кабинета есть только SMS и Push механизмы аутентификации/подписания документов. Есть ли техническая возможность использования OTP токенов, и если нет, почему её отключили.
Если есть, каким образом возможно подключить OTP и какие поддерживаются (SafeNet, Gemalto, и т.п.)?
Спасибо за ответ. Онлайн-чат производит впечатление стучания головой об стенку. SMS и Push не является безопасным способом аутентификации.

Avatar
Иван Баталин
Цитата от Команда Точки

Добрый день. Рады, что вы решили прийти к нам.

Пока не можем обещать, что вернёмся к токенам. Но у команд есть в планах некоторые проекты. Это требует времени. 
Здорово, что вы интересуетесь безопасностью. Расскажите, пожалуйста, чуть больше о необходимости контролировать доступ для каждого устройства отдельно. Почему он вам необходим? Не так часто нам задают такие вопросы.

И ещё раз добрый день. Дело в том, что основным профилем деятельности компании является IP телефония и системная интеграция, в первую очередь решений на базе GNU/Linux. Помимо должности директора я совмещаю должность главного инженера (фактически - системного архитектора) и по специфике работы обязан разбираться в информационной безопасности, стандартах и протоколах передачи данных. В том числе существующих уязвимостях и способах их обхода (Workaround). Попутно занимаюсь преподавательской деятельностью.
Понятие комплексной защиты (Defense-In-Depth) возникло далеко не на пустом месте и включает в себя семь уровней информационной безопасности, начиная от физической защиты помещений, заканчивая антивирусной защитой операционных систем.
Исторически - самая большая уязвимость любой компании - человеческий фактор и безграмотность сотрудников и зачастую руководства в области информационной безопасности, отсюда и пренебрежение даже самыми простыми правилами - например блокировать рабочие станции при уходе на обед, или использование для корпоративных ящиков публичной (не контролируемой) почты на фришард хостингах, типа gmail, yandex, mail.ru и т.п.
Возвращаясь к уязвимостям информационных систем, и обеспечения защиты данных, их можно отнести к разным классам защиты. В частности финансовые активы, я бы относил к классу безопасности ИС: Б2 (охрана коммерческой тайны), но с учетом специфики пользовательского опыта достаточно иметь уровень В1 (Двухфакторная Аутентификация, Авторизация, Аудит). По большей части ваша система клиент-банка соответствует критериям класса В1, и может пройти сертификацию.
По поводу клиентских устройств. Представьте, что руководитель, или бухгалтер, имеющий привязку телефона к личному кабинету интернет-банка забывает свой телефон на деловой встрече, семинаре, конференции (нужное - подчеркнуть) и к его телефону получает доступ посторонний. Разблокировать телефон на Android (за исключением версии 7 или выше) не представляет особой сложности, push уведомления и СМС так же показываются без полной разблокировки экрана. На лицо - возможность несанкционированного доступа к персональным данным, коммерческой и финансовой тайне, включая доступ к расчетным счетам.
Для обхода данной уязвимости чаще всего применяется две технологии - временной блокировки устройства через личный кабинет и полный вайп (очистка) данных. Временная блокировка применяется если телефон забыт, скажем на работе или у партнеров, и хочется временно запретить доступ к электронной почте, операций по счетам, мобильной версии бухгалтерии и т.п. Полный вайп - в случае утери или кражи устройства.
В любом случае, можете написать мне в Telegram, Viber или Skype для более подробной информации. Контактные данные у вас должны быть.

Avatar
Команда Точки Администратор

Спасибо за информацию. Очень подробно и познавательно. 
В случае потери телефона, можно легко заблокировать доступ, позвонив нам по телефону 8 800 2000 024. По телефону можно и заблокировать бизнес карту, если не можете её найти. 
В любом случае, мы на связи 24/7. И поможем разобраться в любой ситуации, главное во время заметить потерю. 

Avatar
Иван Баталин

Тут дело даже не в возможности заблокировать доступ, а в возможности полностью удалить данные в случае утери, как то - электронную почту, СМС, ключи шифрования, сертификаты, VPN доступ и, возможно, копии документов.

Avatar
Команда Точки Администратор

Удалить данные, конечно, тоже можно. Раздел Настройки и тариф интернет-банка вкладка Уведомления. Там можно управлять настройками уведомлений по смс, электронной почте и пушей. А ещё советуем менять пароль от интернет-банка раз в 2-3 месяца.