Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 11 лет назад пользователемЗахар Шпитонцев
1 Аутентификация – основа безопасности мобильных решений Павел Есаков Компания CompuTel Заместитель директора по продажам в финансовом секторе
2 2 Содержание Аутентификация как краеугольный камень безопасности Механизмы аутентификации «на вооружении» мобильных решений «Ахиллесова пята» мобильных приложений Перспективы развития мобильных решений в плане повышения безопасности Выводы
3 3 Выбор средства аутентификации пользователя Типовые требования к средству аутентификации: Возможность генерации одноразового пароля и формирования электронной подписи транзакции Умеренная стоимость средства аутентификации Соответствие требованиям российского законодательства Возможность работы без создания доверенной среды на клиентском компьютере Удобство для клиентов банка
4 4 Ахиллесова пята мобильных решений Основные методы подтверждения операций в мобильном банке: Одноразовый пароль по SMS Программные реализации токенов ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ Автономные токены и персональные кардридеры
5 5 Безопасность мобильных решений Смартфон клиента по определению менее защищенное устройство, чем компьютер: Пользователь смартфона зачастую не имеет каких-либо ограничений по установке приложений Смартфон практически постоянно подключен к Интернету Наличие SIM карты позволяет оператору мобильной связи устанавливать приложения без ведома клиента
6 6 Финансовые учреждения по-прежнему являются наиболее привлекательным объектом для онлайн-мошенников Количество атак на системы ДБО не снижается – системы ДБО входят в список наиболее уязвимых мест финансовых учреждений На смену простейшим видам мошенничества приходят все более сложные виды Анализ ситуации в области онлайн-мошенничества Banking Trojan hijacks out-of-band SMS security - Trusteer Security outfit Trusteer has discovered a new attack used by the SpyEye Trojan that can circumvent mobile SMS security measures used by many banks. In a blog post, Trusteer says it has found a two- step Web-based attack that allows fraudsters to change the mobile phone number in a victim's online banking account and reroute SMS confirmation codes used to verify transactions. Firstly, SpyEye steals the victim's online banking details in the standard Trojan style.
7 7 Соответствие средств подписи закону 63-ФЗ Требования к средству формирования подписи: позволяют установить факт изменения подписанного электронного документа после момента его подписания; обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки. При создании электронной подписи средства электронной подписи должны: показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает; создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи; однозначно показывать, что электронная подпись создана.
8 8 Мобильный банк – где выход? Использование элемента безопасности (SE) в телефонах с поддержкой NFC Создание доверенной среды для исполнения приложений ( Trusted Execution Environment – TEE) Использование решений класса MDM (Mobile Data Management) Использование голосовой аутентификации для подтверждения транзакций
9 9 Заключение Анализ решений в области безопасности мобильного банка: Необходимо наличие системы лимитов для разных методов подтверждения Использование одноразовых СМС паролей создает наиболее существенные риски для мобильных решений Банку необходимо найти правильный компромисс между удобством использования, безопасностью и общей стоимостью владения Сегментация клиентов в зависимости от их потребностей облегчает решение задачи
10 10 Спасибо за внимание! Вопросы?
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.