18 октября, четверг 08:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

А нужны ли сеансовые ключи?!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • А нужны ли сеансовые ключи?!

    Уважаемые господа!
    Сейчас многие банки предлагают различные средства управления счетами через Интернет,например, Enter.IMB™, Альфа-клик и тд и тп.
    Некоторые из них используют сеансовые ключи для подтверждения операций, а некоторые нет.
    Как вы считаете, насколько увеличиваются риски для клиентов и для банка при отказе от использования сеансовых ключей?
    И еще вопрос: достаточно ли надежное средство MobiPass?
    ( http://bss.bssys.com/s/bsi.dll?I=496 ), ведь вычисление сеансового ключа происходит на телефоне клиента...

  • #2
    http://dom.bankir.ru/showthread.php?t=27717 , вот эту тему почитайте, она немного проливает свет для чего банкам нужны сеансовые ключи.

    Комментарий


    • #3
      То есть фактически это некое средство, что бы обезопасить себя и клиента.

      Если кредитная организация использует несертифицированный криптографический алгоритм ири работе с инет банкингом, и обходиться без сеансовых ключей, то риски сильно увеличиваются, так как при таком раскладе любой клиент может выйграть судебный процесс.
      Если кредитная организация использует сертифицированный криптографический алгоритм, (например продукт iBank обходиться отлично без сеансовых ключей), то суета с сеансовыми ключами ему не особо нужна.

      Комментарий


      • #4
        Что касается клиентов - думаю если у них при использовании сеансовых ключей есть еще один шанс обезопасить себя.
        Но не думаю что их отсутствие сильно отрицательно сказывается на безопасности работы, при условии использования ЭЦП.

        Комментарий


        • #5
          Сеансовый ключ НЕ гарантирует целостности документа. Т.е. теоретически клиент может отправить в банк документ под сеансовым ключём, а в банке документ может быть скорректирован. И другой момент. Клиент предъявил претензию, что "тот документ не совсем тот докумен, он другой прислал". И не докажешь обратного, т.к. нет ЭЦП клиента.

          Комментарий


          • #6
            Конечно ЭЦП обеспечивает целостность документов - это плюс, но огромный минус для клиентов, ведь далеко не все знают, что такое ЭЦП. Кроме того, клиенту нужно генерировать собственные ключи...
            Что касается изменения документов клиента в самом банке, то думаю этот риск несущественный, так как считаю, что внутри банка найдутся более легкие способы мошенничества.

            2DELPHIN:
            Альфа-клик работает без сеансовых ключей и ЭЦП. На что они надеятся, по вашему? http://dom.bankir.ru/images/smilies/pain25.gif

            Комментарий


            • #7
              Сообщение от Apeiron Посмотреть сообщение
              Альфа-клик работает без сеансовых ключей и ЭЦП. На что они надеятся, по вашему?
              Сразу скажу, что я не нашел информации обязывающей/запрещающей использование НЕ СЕРТИФИЦИРОВАННЫХ алгоритмов.

              Причем, заметте использование сеансовых ключей это как правило некое дополнительное средство защиты, скорее даже от некоторых клиентов, чем от взломщиков или кул хацкеров. И использовать его правильнее в связке с ЭЦП, пусть несертифицированной и тд.

              А на что надеется Альфа, я не знаю.
              Тут нужно детально разбираться. Я к сожелению не имел и не имею возможности исследовать работу Альфа банка в области интренет банкинга (у нас в городе его просто нет, видимо пока).

              1. Если они используют сертефицир. ЭЦП и криптографический алгоритм, то он им не нужен ни какой пакет доп. ключей.
              2. Если они имеют лицензии ФАПСИ на все что прийдется, то им подавно не нужны эти сеансовые ключи.
              3. Придумали что то свое.

              Честно говоря использование пакета ключей у меня почему то вызывает косвенные ассоциации с фишингом.

              Комментарий


              • #8
                Apeiron
                Что касается изменения документов клиента в самом банке, то думаю этот риск несущественный, так как считаю, что внутри банка найдутся более легкие способы мошенничества.
                Речь идёт не об изменении документа в банке (зачем оно банку-то?), а о том, что клиент может заявить об изменении документа. Доказать обратное практически нереально, т.к. контрольцелостности документа и ЭЦП клиента отсутствуют.
                Но в принципе возможно и изменение документа в банке.

                Комментарий

                Пользователи, просматривающие эту тему

                Свернуть

                Присутствует 1. Участников: 0, гостей: 1.

                Обработка...
                X