Кто-то когда-то спрашивал про Интернет-банкинг
В прошлом году, на одном из форумов признался, что являюсь активным пользователем систем Интернет-банкинга различных систем. В ходе дискуссии о безопасности разных систем написал короткий обзор существующих систем, и сугубо свое мнение о доверии разным из них. Сегодня нашел в архивах, решил перенести сюда.
Интернет-банкинг — это специальное приложение на Java или программное обеспечение в кодах той операционной системы, для которой оно предназначено. Это самый удобный и надежный вариант, поскольку связь клиентского приложения с серверами банка осуществляется по закрытым интерфейсам и протоколам. Также он самый удобный — настолько удобней Web-банкинга, насколько удобней пользоваться MS Outlook по сравнению с Майл.ру. Из минусов — как правило не работает на Маке.
Web-банкинг — это специальный web-сайт, на котором можно выполнять банковские операции. Он независим от компьютера — работает хоть под Мак, хоть под Linux. В теории он гибче, можно зайти в банк с любого компьютера, хоть из Интернет-кафе в отпуске (В ТЕОРИИ — ПОТОМУ ЧТО НА ПРАКТИКЕ НИ В КОЕМ СЛУЧАЕ НЕЛЬЗЯ ИСПОЛЬЗОВАТЬ СВОИ КЛЮЧИ НА ЧУЖИХ МАШИНАХ, ОСОБЕННО НЕ ЗНАЯ, КАК РАБОТАЮТ МЕХАНИЗМЫ КЭШИРОВАНИЯ ДАННЫХ. НО ДАЖЕ ЗНАЯ — ЛУЧШЕ НЕ ДЕЛАТЬ ОПЕРАЦИЙ С ЧУЖИХ МАШИН — ТОЛЬКО С ДОМАШНЕЙ). Именно поэтому, например, Банк Москвы ограничивает перечень операций, совершаемых через Web-банкинг. Минусы — чуть меньше удобство, меньшая защищенность. Для обмена с банком используются хоть и защищенные, но стандартные протоколы Интернета, потенциально уязвимые, в том числе для вирусов. Я спокойно пользуюсь web-банкингом, у меня Мак, а для него вирусов нет. По крайней мере пока их никто не видел, и Web-банкинг практически так же надежен, как и Интернет-банкинг.
Важный вопрос — идентификация пользователя, которая возможна пятью способами (их больше, но этими лично пользовался):
1. Коды в конвертах. В банке выдается конверт, на котором напечатаны несколько сотен одноразовых кодов. При входе в Web-банкинг система спрашивает: «Введите код 54». Я смотрю код в конверте и ввожу его (это помимо ввода логина и пароля. То есть фактически используется третий код, а сама процедура красиво называется «двухфакторной авторизацией»). Достоинства — совместимость с любой системой (Win/Mac). Недостаток — после окончания кодов надо ехать в банк за следующим конвертом и предварительно заказать его. В моем банке для большей надежности, помимо ввода кода из конверта при логине, необходимо вводить код для подтверждения каждой банковской операции.
2. OTP-токен. OTP — One Time Password. Это маленькое электронное устройство — брелок, с кнопкой и экраном. По сути — тот же «конверт», но в него зашито несколько десятков или сотен тысяч кодов. Когда входите в систему Web-банкинга — нажимаете кнопку на брелке, и вводите код с экрана OTP-токена в третье поле (после логина и пароля). На мой взгляд — сегодня самый удобный, надежный и безопасный способ.
3. USB-токен. Это тоже удобный способ, но для меня основной его недостаток — несовместимость с Маком. Способ предусматривает генерацию ЭЦП (электронной цифровой подписи), которые надо печатать и относить в банк, где они фиксируются в ИТ-системах. При оформлении банковской операции, перед нажатием «Отправить в банк» появляется окно «для подписи документа с помощью ЭЦП подключите USB-ключ». Делаете это и подписанный документ уходит в банк. В случаях, описанных в рейтинге Банка Москвы, похоже, именно эти ЭЦП и были похищены. Вообщем, данный способ технологически сложен, оставляет следы в компьютере и я бы его не рекомендовал.
4. С помощью SMS. Я вхожу в систему привычным образом с помощью логина и пароля. Затем, когда я формирую операцию, и нажимаю кнопку «Отправить в банк», появляется поле, куда надо вбить код подтверждения, действительный в течение 3-10 минут. Сам код приходит по SMS через 10-20 секунд. Данный способ также, как и способ 2, совместим с любой операционной системой. Этот способ я бы поставил вторым по надежности и удобству пользования. Вирус ничего перехватить не может, поскольку код подтверждения одноразовый и вообще ни в каком виде не передается по сети Интернет. Максимум перехватят логин/пароль и получат систему «только для чтения». Неприятно, но не фатально.
5. С помощью сертификатов. Этот способ использует «Тройка-Диалог». Я толком не понимаю, как он работает. Не совместим с Маком, приходиться запускать виртуальную машину Windows, чтобы пользоваться им. Это не беспокоит, поскольку с помощью их системы, слава богу, пока нельзя продать паи. Только обмен. Хотя для моего удобства я бы предпочел, чтобы они сделали операцию продажи, но только на заранее определяемый в офисе банковский счет. Для подключения к Интернет-пифингу они выдают в офисе конверт с логином/паролем, затем на сайте заказывается сертификат. Он выдается в течение 5-10 секунд, записывается на диск в виде файла. Для подтверждения операции, в момент запроса, необходимо указать с диска файл-сертификат.
Материалы по теме:
- Эх, банк. Как ты мог, любимый банк?
- Кто-то когда-то спрашивал про Интернет-банкинг