4 сентября, 2013

Безопасное использование паролей в работе банков


Дрозд Алексей

аналитик (Компания SearchInform)

Эффективное использование паролей – вопрос актуальный

Нет сомнений в том, что парольная защита ещё очень долго будет оставаться практически единственной для многих пользователей систем ДБО, особенно интернет-банкинга. Система пин-кодов на карточках – тоже, по сути, разновидность парольной защиты… Поэтому вопрос её эффективного использования в банковской среде далеко не праздный.

 

Сразу стоит оговориться, что везде, где возможно, стоит заменить чисто парольную аутентификацию биометрической или двухфакторной. В первую очередь, это касается средств доступа в информационных системах самого банка. Конечно, не всегда имеет смысл использовать средство биометрической аутентификации, например, для компьютера оператора в отделении банка. Всегда нужно помнить о том, что средство защиты не должно стоить дороже, чем та информация, которую оно защищает. Но для доступа к серверам или компьютерам управленцев, несомненно, необходима биометрическая или многофакторная аутентификация.

Впрочем, как показывает практика, наибольшее число проблем с паролями возникает не у сотрудников банка, а у его клиента, использующего сервисы интернет-банкинга. Именно поэтому мы остановимся на вопросах применен паролей в таких сервисах наиболее подробно.

Для систем ДБО, несомненно, парольная аутентификация является, фактически, безальтернативным методом авторизации пользователя подобных систем. Несмотря на то, что парольная аутентификация не является самым надежным методом, существуют способы снизить риск неправомерного доступа к системам ДБО, использующим парольную авторизацию.

ОДНОРАЗОВЫЕ ПАРОЛИ

Система парольной аутентификации опасна, прежде всего, тем, что пароль может утечь самыми разными способами. Сам пользователь может записать его на бумажке и забыть, он может быть украден с помощью «кейлоггеров», в конце концов, его можно просто подобрать. Поэтому система, генерирующая одноразовые пароли, является в разы более эффективной, чем система, которая использует многоразовый пароль. Правда, эта система уже будет относиться к системам многофакторной аутентификации, поскольку одноразовый пароль необходимо каким-то образом доставить пользователю. Наиболее удачным решением здесь является его отсылка с помощью SMS: в отличие от доступа к электронной почте, получить физический доступ к мобильному телефону намного сложнее. Одноразовый пароль вовсе не должен быть таким же сложным, как многоразовый: его можно составить, для простоты, из одних цифр, и сделать сравнительно небольшой длины (4-6 символов). Это будет более удобно для пользователей, чем использование длинных и сложных многоразовых паролей, и, несомненно, гораздо более надежно.

СМЕНА И СЛОЖНОСТЬ ПАРОЛЯ

Даже если ваша система по каким-то причинам не может поддерживать одноразовые пароли, постарайтесь сделать многоразовые максимально короткоживущими. Раз в несколько посещений пользователем сайта системы ДБО или раз в несколько дней предлагайте ему сменить пароль. Не стоит бояться жалоб пользователей на излишнюю «параноидальность» защиты системы ДБО: поверьте, недовольство клиента, который потеряет свои деньги из-за того, что он потерял свой пароль, будет куда сильнее. И обвинять себя в произошедшем он будет в последнюю очередь. Оптимальным интервалом для требования о смене пароля лично я считаю десять посещений или две недели. При этом, конечно же, нужно помнить и о таком аспекте пароля, как его сложность. Не стоит бояться просить пользователя вводить максимально надежный пароль: всё равно, запомнить его не вашему клиенту, а его браузеру. Также можно сделать «мягкий» вариант требования сложности пароля, демонстрируя пользователю индикатор сложности пароля, меняющийся по мере его ввода на сайте. Ненадежных паролей на сайтах, где присутствуют такие индикаторы, как правило, в 3-4 раза меньше, чем на сайтах, где такого индикатора нет.

ОГРАНИЧЕННОЕ ЧИСЛО ПОПЫТОК ВВОДА ПАРОЛЯ

Несмотря на то, что ограничение числа попыток ввода пароля является очевидным требованием к системам дистанционного банковского обслуживания, еще можно встретить банки, где системы интернет-банкинга почему-то не поддерживают данную функцию. Число попыток здесь принципиального значения не имеет, совсем не обязательно делать его равным двум или трем: некоторым, особенно пожилым пользователям, будет удобнее, если система предоставит девять-десять попыток. Какие-то «драконовские» меры по отношению к тем, кто не вспомнил пароль за установленное число попыток, тоже принимать не стоит: вполне достаточно заблокировать для пользователя возможность вводить логин и пароль на несколько часов. Для того, чтобы предотвратить попытку брутфорса этого будет вполне достаточно.

ВИРТУАЛЬНАЯ КЛАВИАТУРА

Проблема кражи паролей к системам ДБО с помощью клавиатурных шпионов («кейлоггеров») совсем не надумана и даже, можно сказать, достаточно остра. По статистике, около 35% всех случаев неправомерного доступа к системам дистанционного банковского обслуживания в мире связаны именно с кражами паролей с помощью «кейлоггеров». Вряд ли статистика по России сильно отличается в этом вопросе от общемировой, поэтому такая защита от клавиатурных шпионов является простым, и вместе с тем достаточно эффективным способом защитить клиентов вашего банка от кражи их аутентификационных данных. Виртуальная клиатура на сайте банка в разделе доступа к системе ДБО может появляться только при вводе пароля, при этом необходимо сопровождать её появление сообщением, настойчиво рекомендующим пользователю воспользоваться именно ею, а не физической клавиатурой.

МОБИЛЬНЫЕ ПРИЛОЖЕНИЯ

В наши дни всё большее число банков выпускает собственные мобильные приложения для систем ДБО, позволяя своим клиентам пользоваться банковскими услугами буквально везде, где у них «ловит» мобильный телефон или планшет. Это не только отличная возможность прорекламировать свой банк среди пользователей мобильных устройств, но и возможность использовать все возможные средства защиты, что не всегда возможно с мобильными браузерами. Количество популярных сегодня в России мобильных платформ не так велико, чтобы создание приложения ДБО для каждой из них являлось бы серьезной проблемой: по сути, достаточно охватить iOS, Android и Windows Phone, чтобы 99% пользователей смартфонов и планшетов имели возможность использовать ваше мобильное приложение. При этом, поскольку именно вы проектируете его, вы можете сохранять пароли в зашифрованном виде, выбрать удобный и защищенный протокол авторизации и т.д. Таким образом, выбирая между мобильной версией сайта системы ДБО и мобильным приложением для неё же, предпочтение стоит отдать второму варианту, так как он имеет значительное число преимуществ.

ПОМОЩЬ ПОЛЬЗОВАТЕЛЮ

Конечно, пользователи не любят читать справку, и заходит на страницу со справочной информацией не более 5% из тех, кто заходит в систему интернет-банкинга. Тем не менее, именно они будут выражать своё недовольство, если вы не дадите им возможность самостоятельно ознакомиться с рекомендациями по тому, как обеспечить максимальную безопасность своих денежных средств при использовании системы дистанционного банковского обслуживания. А ознакомившись с этими рекомендациями, эти 5% сознательных пользователей не только будут неукоснительно им следовать, но и приобщать к этому других. Поэтому сделайте ссылку на правила безопасного поведения в Сети для ваших клиентов максимально заметной при входе в ваш интернет-банкинг – это сократит количество нежелательных инцидентов, связанных с использованием паролей.

Что ж, давайте подведем итог тому, что было сказано выше. Как видите, существует множество недорогих и достаточно эффективных способов сделать использование паролей в системах ДБО более безопасным. Причем стоит помнить об эффекте синергии: чем большее число этих способов реализуете вы у себя, тем выше будет уровень защиты данных ваших клиентов. Не стоит забывать также и об упорядочивании работы с паролями среди самих сотрудников банка. Впрочем, это уже тема совсем другого разговора…

 

Смотрите также

High tech, low life

15 июля, 2013
Подпишись на новости!
Подписаться