Что значит сеансовый пароль

Что значит сеансовый пароль

Редакция сайта iXBT.com обращается к вам с просьбой отключить блокировку рекламы на нашем сайте.

Дело в том, что деньги, которые мы получаем от показа рекламных баннеров, позволяют нам писать статьи и новости, проводить тестирования, разрабатывать методики, закупать специализированное оборудование и поддерживать в рабочем состоянии серверы, чтобы форум и другие проекты работали быстро и без сбоев.

Мы никогда не размещали навязчивую рекламу и не просили вас кликать по баннерам. Вашей посильной помощью сайту может быть отсутствие блокировки рекламы.

Спасибо вам за поддержку!

В начале марта ЮниКредит Банк сообщил о появлении в мобильных приложениях банка технологии генерирования сеансовых ключей MobiPass, призванной повысить удобство и безопасность использования дистанционных каналов услуг. Портал Банки.ру выяснял, как работает эта технология и какие преимущества дает клиентам.

Об уязвимости передачи кодов подтверждения операции по СМС говорилось уже не раз. Они не имеют непосредственной привязки к реквизитам операции, относительно легко перехватываются и подмениваются злоумышленниками. Другой дешевый вариант доставки одноразовых кодов — — в целом безопаснее, но не так удобен. Ведь коды могут кончиться, а карту можно потерять.

Вместо этих классических методов подтверждения операций можно использовать различные более защищенные и удобные технологии, многие из которых требуют применения дорогостоящих аппаратных компонентов. Некоторые российские банки, использующие систему «ДБО » компании BSS, дают клиентам возможность создавать свои коды (сеансовые ключи) самостоятельно, у себя на мобильном устройстве. Такие возможности предоставляет технология MobiPass.

«В нашем банке технология MobiPass реализована в приложении для физических лиц. Для юридических лиц MobiPass не может использоваться в качестве основного средства аутентификации, поскольку по закону необходима усиленная подпись. В качестве дополнительного подтверждения операций юридических лиц мы используем коды на и , и для их замены MobiPass использовать можно, но наш банк это пока не планирует», — говорит начальник отдела развития интернет- и мобильного банкинга «ЮниКредита» Елена Шальнова.

Читайте также:  Как отобразить линейку в ворде 2007

ЮниКредит Банка состоит в том, что кредитная организация оснастила технологией MobiPass свои мобильные приложения. «В стандартном варианте MobiPass распространяется в виде отдельного приложения, — рассказывает Шальнова. — Когда клиент пользуется мобильным банкингом, ему приходится дважды переключаться с между приложениями, чтобы сформировать сеансовый ключ и вставить в документ. У нас же от клиента требуется минимум манипуляций: чтобы подтвердить документ, достаточно нажать кнопку, что гораздо быстрее и удобнее. В случае подтверждения документа в никакой разницы между отдельным приложением и нашим вариантом нет».

Чтобы воспользоваться MobiPass, клиент должен скачать и установить мобильное приложение (BSS MobiPass в случае «ДБО »). Причем, помимо версий для iOS и Android, есть вариант для Java MIDP 1.0, который подходит практически для любого современного телефона. После установки приложения пользователю нужно придумать персональный четырехзначный и ввести секретный ключ, который ему выдает банк. Ключ поставляется четырьмя частями, которые для безопасности можно поставлять разными каналами (СМС, электронная почта, сообщение в системе , телефонный звонок ).

В дальнейшем, при необходимости подтвердить операцию в или мобильном банке, пользователю нужно ввести в мобильное приложение кодовое число ( подписи документа), которое соответствует созданному документу, и свой . Приложение MobiPass выдаст одноразовый ответный код, который зависит и от , и от кодового числа. Этот код необходимо ввести в поле или приложения мобильного банка для подтверждения операции.

Несмотря на кажущуюся уязвимость перед мобильными троянцами, приложение MobiPass достаточно защищено. , секретный ключ в прямом виде в нем не хранится — на него наложена битовая маска из , заданного пользователем. Таким образом, приложение «не знает» правильный ключ — оно просто выдает ответный код при вводе любого , а уже система банка разбирается, корректен ли этот код. Через несколько попыток ввода некорректного кода учетная запись пользователя будет блокирована.

Читайте также:  Как подключить гп nvidia на ноутбуке

Таким образом, MobiPass хорошо защищает от троянцев, подменяющих интерфейс или мобильного банка. В ситуации, когда вы создаете документ на оплату 100 рублей в адрес оператора мобильной связи, а вредоносная программа формирует документ на оплату 100 тыс. рублей в адрес «дяди Васи», создать правильное кодовое число без знания секретного ключа оно не сможет. Без правильного кодового числа корректный ответный код уже не получить.

Очевидным способом мошенничества в таком случае может быть внутренний фрод, когда сотрудник банка использует секретный ключ в своих целях. Однако в «ЮниКредите», как утверждает Елена Шальнова, этого опасаться не стоит: «Мы практически исключили возможность внутреннего фрода: при подключении клиента требуется дополнительная авторизация другим сотрудником, клиенту высылается при любом изменении настроек. И вообще весь процесс от подачи клиентом заявления до непосредственно подключения верифицирован с точки зрения безопасности».

Тем не менее возможна ситуация компрометации секретного ключа и со стороны пользователя: если вредоносное приложение обойдет систему самозащиты приложения MobiPass, отследит , введенный пользователем при выполнении корректной операции, то оно может узнать и секретный ключ. Потому обычных мер предосторожности (например, использования мобильного антивируса) избегать не следует.

Ссылка на основную публикацию
Что делать если браузерные игры лагают
Что делать если зависает браузерная игра, не грузится, лагает? Если игра не загружается, зависает, загрузка останавливается на определенном шаге, вы...
Чем обработать сколы на машине от ржавчины
Получайте на почту один раз в сутки одну самую читаемую статью. Присоединяйтесь к нам в Facebook и ВКонтакте. 1. Если...
Чем опасно низкое напряжение в сети
Эффект «проседания» входного напряжения ниже установленной нормы довольно распространенная проблема. Она более характерна для электроснабжения в сельской местности, но нередко...
Что делать если взорвалось колесо
Вы когда-нибудь видели взрыв шины? Это поистине экстремальное зрелище, особенно если речь идёт о грузовом транспорте. Взрываясь на ходу, куски...
Adblock detector