Поддержка OTP токенов

Avatar
Иван Баталин
  • обновлен
  • На рассмотрении

Добрый день. Насколько я понимаю на 2019 год поддержка OTP токенов отсутствует? В настройках личного кабинета есть только SMS и Push механизмы аутентификации/подписания документов. Есть ли техническая возможность использования OTP токенов, и если нет, почему её отключили.
Если есть, каким образом возможно подключить OTP и какие поддерживаются (SafeNet, Gemalto, и т.п.)?
Спасибо за ответ. Онлайн-чат производит впечатление стучания головой об стенку. SMS и Push не является безопасным способом аутентификации.

Ответы 14
Avatar
Иван Баталин

Не совсем так, у вас видно именно номера телефонов для СМС, телефоны на который установлено мобильное приложение в списке отсутствуют. Это может быть отличное устройство от того, куда приходят СМС.
Очень жаль что поддержку OTP убрали. Буду думать.

Avatar
Команда Точки Администратор

В настройках видны все номера, привязанные к банку. В любой момент номер для входа и подписи можно удалить. А чтобы добавить новый, надо получить два кода - на новый и старый номера телефона. 
Про токен верно. Как и писали выше, раньше они использовались, и клиенты могли их приобрести. 

Спасибо за советы. Мы постоянно ищем возможности улучшить клиентский опыт и обратная связь очень важна. Возьмём паузу и посоветуемся с командой. Вернёмся к ответу в понедельник. 

Avatar
Иван Баталин

Спасибо за разъясненния.
Тогда докину вам требования по информационной безопасности:
1. В личном кабинете должно быть видно все привязанные клиенты мобильного банка (телефоны).
2. Для каждого телефона должна быть возможность приостановить действие, заблокировать устройство.
3. В случае попытки добавления нового устройства - уведомление на адрес электронной почты и/или СМС уведомлением, можно дублировать пушем с кодом на другое привязанное устройство (если есть).
4. Регистрировать смену IMSI ID карты, привязанной к номеру телефона (смену сим карты).
Это необходимо для защиты от следующих векторов атаки:
1. Смена симкарты по подделаной доверенности, по телефону, "скану" паспорта (прецеденты есть).
2. Эксплуатации SS7 для перехвата сообщений (MiTM)
3. Взлом электронной почты.

Каким образом можно защититься от выпуска сертификата ЭП и входа через госуслуги (вектор атаки может быть тем же) пока не ясно.
На Android отсуствует возможность использовать сертификаты ЭП для входа через ГосУслуги - что отпадает.
Как вариант - использовать кроссплатформенное приложение Google Authenticator (Android/iOS) которое поддерживает стандарт OTP.


Ещё дополнение, в тарифах (https://tochka.com/links/tariffs/update-20190915) присутствует пункт:
8.5.5. Предоставление ОТП-токена для доступа в Интернетбанк (стоимость за 1 токен)

Avatar
Команда Точки Администратор
  • На рассмотрении

Иван, добрый день. 
Да, всё верно - ОТП токены сейчас не используются. Раньше ими пользовались, ещё в прошлом интернет-банке. В новом уже убрали такую техническую возможность, потому что это стало неактуально для клиентов. 

Если мы говорим про платежи в интернет-банке, они подписываются простой электронной подписью - смс кодом. Платежи в мобильном приложении можно подписать кодом для входа. Но есть ограничение: сумма платежа до 15 000 рублей за раз, а в день таким образом можно отправить 100 000 рублей. В планах есть и получение кода для подписания платёжки через пуш. 

Что касается входа в интернет-банк, есть несколько вариантов. 
Не так давно стали отправлять пуши с кодами, если клиент залогинен в своём приложении Точки. Мы планировали такую доработку, поэтому коды прилетают за секунды, а сам вход остаётся безопасным.
К интернет-банку можно привязать только 2 номера телефона, на которые будут приходить коды. Если приложением не пользуетесь, то будет приходить смс. Для пользователей Apple совсем недавно мы запустили авторизацию через Apple ID. А для пользователей Android можно привязать свою учётную запись на портале Госуслуги. 

Мы стараемся найти оптимальное решение, и сохранить баланс между удобством для клиента и безопасностью. Главное — сохранять бдительность и ни в коем случае не передавать код из смс или пуш-уведомления третьм лицам, как бы сильно они вас об этом ни просили.