Аутентификация – основа безопасности мобильных решений Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе.

Презентация:



Advertisements
Похожие презентации
Горелов Дмитрий, компания «Актив» февраля 2012 г. IV Межбанковская конференция «Уральский Форум: Информационная Безопасность Банков» Технические.
Advertisements

Методы обеспечения безопасности в ДБО Продолжение 4.
W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.
РАЗРАБОТКА КРИПТОГРАФИЧЕСКОГО МОДУЛЯ, ПРЕДОСТАВЛЯЮЩЕГО УСЛУГИ ШИФРОВАНИЯ С ИСПОЛЬЗОВАНИЕМ ФУНКЦИОНАЛА SIM КАРТЫ МОБИЛЬНОГО ТЕЛЕФОНА. Автор проекта: Карпов.
Предотвращение мошенничества при проведении банковских транзакций докладчик: Павел Ложкин.
© 2014 PayPal Inc. All rights reserved. Confidential and proprietary. PayPal Работаем вместе на увеличение продаж 29/05/2014.
«Электронная подпись в облаках и на земле» Фураков Александр Заместитель коммерческого директора ООО «КРИПТО-ПРО»
Общая архитектура системы электронного правительства.
Аутентификационный центр - решение для интернет-банкинга Чернышев Антон
УПРАВЛЕНИЕ ИЛИ БЕЗОПАСНОСТЬ ЭВОЛЮЦИЯ СТРАТЕГИИ АДАПТАЦИИ МОБИЛЬНЫХ ТЕХНОЛОГИЙ ДЛЯ БИЗНЕСА.
Александр Федоров Начальник управления информационной безопасности ЗАО Банковские информационные системы (БИС) ЗАЩИТА ДАННЫХ В СИСТЕМЕ ДБО Защита данных.
Москва 2010 Баланс удобства и защищенности электронного банкинга Профили безопасности частных клиентов в iBank 2 - сплав технологий и бизнеса X международный.
Клиент-Банк On-Line Mobile Клиентская часть системы Клиент-Банк ООО НОКК.
Закон об электронной подписи
Мобильный Кошелек Компания «Бесконтакт»
W w w. a l a d d i n. r u eToken PRO Anywhere 1 Безопасный удаленный доступ с любого компьютера!
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
W w w. a l a d d i n. r u С.А. Белов, руководитель стратегических проектов, Aladdin Москва, 11 декабря 2008 Использование токенов с аппаратной реализацией.
Мобильный эквайринг. Что такое Pay-me? Это мини-терминал приема пластиковых карт подключаемый к смартфону Это удобный и безопасный способ осуществления.
РЕШЕНИЯ КОМПАНИИ «АКТИВ» ДЛЯ СИСТЕМ ДБО Сухов Евгений, компания «Актив» 7-8 февраля 2012 г. XII Международный Форум iFin-2012 «Электронные финансовые услуги.
Транксрипт:

Аутентификация – основа безопасности мобильных решений Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе

2 Содержание Аутентификация как краеугольный камень безопасности Механизмы аутентификации «на вооружении» мобильных решений «Ахиллесова пята» мобильных приложений Перспективы развития мобильных решений в плане повышения безопасности Выводы

3 Выбор средства аутентификации пользователя Типовые требования к средству аутентификации: Возможность генерации одноразового пароля и формирования электронной подписи транзакции Умеренная стоимость средства аутентификации Соответствие требованиям российского законодательства Возможность работы без создания доверенной среды на клиентском компьютере Удобство для клиентов банка

4 Ахиллесова пята мобильных решений Основные методы подтверждения операций в мобильном банке: Одноразовый пароль по SMS Программные реализации токенов ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ Автономные токены и персональные кардридеры

5 Безопасность мобильных решений Смартфон клиента по определению менее защищенное устройство, чем компьютер: Пользователь смартфона зачастую не имеет каких-либо ограничений по установке приложений Смартфон практически постоянно подключен к Интернету Наличие SIM карты позволяет оператору мобильной связи устанавливать приложения без ведома клиента

6 Финансовые учреждения по-прежнему являются наиболее привлекательным объектом для онлайн-мошенников Количество атак на системы ДБО не снижается – системы ДБО входят в список наиболее уязвимых мест финансовых учреждений На смену простейшим видам мошенничества приходят все более сложные виды Анализ ситуации в области онлайн-мошенничества Banking Trojan hijacks out-of-band SMS security - Trusteer Security outfit Trusteer has discovered a new attack used by the SpyEye Trojan that can circumvent mobile SMS security measures used by many banks. In a blog post, Trusteer says it has found a two- step Web-based attack that allows fraudsters to change the mobile phone number in a victim's online banking account and reroute SMS confirmation codes used to verify transactions. Firstly, SpyEye steals the victim's online banking details in the standard Trojan style.

7 Соответствие средств подписи закону 63-ФЗ Требования к средству формирования подписи: позволяют установить факт изменения подписанного электронного документа после момента его подписания; обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки. При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи; однозначно показывать, что электронная подпись создана.

8 Мобильный банк – где выход? Использование элемента безопасности (SE) в телефонах с поддержкой NFC Создание доверенной среды для исполнения приложений ( Trusted Execution Environment – TEE) Использование решений класса MDM (Mobile Data Management) Использование голосовой аутентификации для подтверждения транзакций

9 Заключение Анализ решений в области безопасности мобильного банка: Необходимо наличие системы лимитов для разных методов подтверждения Использование одноразовых СМС паролей создает наиболее существенные риски для мобильных решений Банку необходимо найти правильный компромисс между удобством использования, безопасностью и общей стоимостью владения Сегментация клиентов в зависимости от их потребностей облегчает решение задачи

10 Спасибо за внимание! Вопросы?