17 октября, среда 01:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аутентификация с одноразовыми паролями...

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Аутентификация с одноразовыми паролями...

    Доброго времени суток, господа!
    Вопрос в следующем: как на "доступном" уровне, без "углубления" в детали, объяснить человеку процесс аутентификации при использовании клиентом индивидуального генератора паролей?
    Всё в наших руках...(с)

  • #2
    http://7000.ru/crypto/details3.php?prod_id=720&id=182

    Перерисовать процесс от руки на бумажке, а остальное своими словами.
    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

    Комментарий


    • #3
      ValentineS
      Благодарствую!
      Всё в наших руках...(с)

      Комментарий


      • #4
        ValentineS
        Вечером возник ещё один вопрос по теме (но это уже для себя лично ): ведь существуют ещё генераторы паролей, выполненные в виде калькулятора,более того,среди всех кнопок на них присутствует ещё и кнопка "send"(вроде как чего-то куда-то посылается )
        Как такие девайсы вписываются в схему?
        Всё в наших руках...(с)

        Комментарий


        • #5
          Немного не по теме, но.
          Гложет меня такой вопрос: а под какие "бумаги" можно отнести использование одноразовых паролей? Это всё здорово и удобно, но есть закон об ЭЦП, в котором пароли никак не упоминаются, а есть только "сертифицированные средства КЗИ".
          Или не там ищу?

          Комментарий


          • #6
            Сообщение от Uncle Dima Посмотреть сообщение
            Немного не по теме, но.
            Гложет меня такой вопрос: а под какие "бумаги" можно отнести использование одноразовых паролей? Это всё здорово и удобно, но есть закон об ЭЦП, в котором пароли никак не упоминаются, а есть только "сертифицированные средства КЗИ".
            Или не там ищу?
            А что они у себя используют понятие ЭЦП в каком-то месте?
            В лучшем случае может АСП, а это уже не ФЗ, а 17-П.

            Комментарий


            • #7
              Есть еще ГК 187 пункт 3 (кажется), вот туда пароли и ложатся

              Комментарий


              • #8
                Возможно не по теме...
                Но например Москомприватбанк практикует в своем интернет-банке "Приват24" регистрацию по одноразовым паролям.

                Комментарий


                • #9
                  zalevsky например Москомприватбанк практикует в своем интернет-банке "Приват24" регистрацию по одноразовым паролям

                  А как же тогда можно обеспечить сохранность и неизменность документа? Допустим, клиент прислал платёж, а потом начал "отнекиваться" от него. Каким образом без ЭЦП или АСП доказать, что платёж совершён клиентом?

                  Комментарий


                  • #10
                    Пообщался с хорошим знакомым из ФСТЭК ,немножко прояснил для себя ситуацию.Проблемы у банка могут быть только в том случае, когда существующие средства КЗИ разрабатываются и внедряются им самостоятельно .В случае покупки и внедрения банком готового решения сертифицированного отечественного разработчика соответствие средства всем "бумагам" - проблема разработчика .Что касается внедрения ЭЦП и одноразовых паролей - тут для банков пока вообще полная свобода выбора и действий , но по словам знакомого, в перспективе государство в лице уполномоченных органов собирается регулировать и эту область .
                    Всё в наших руках...(с)

                    Комментарий


                    • #11
                      Пух575 Пообщался с хорошим знакомым из ФСТЭК А можно расшифровать, что это за контора, плиз?

                      В случае покупки и внедрения банком готового решения сертифицированного отечественного разработчика соответствие средства всем "бумагам" - проблема разработчика Не совсем так, думаю. Банк тоже берёт на себя ответственность, предлагая клиентам конкретный продукт. Скажем, на данный момент бумаги действительны, завтра - устарели. Разработчик не виноват, что банк не обратился за новым решением.

                      Что касается внедрения ЭЦП и одноразовых паролей - тут для банков пока вообще полная свобода выбора и действий
                      Можно подробнее про пароли? ЭЦП и АСП - понятно. А про пароли где читать? Как идентифицировать платёж клиента?

                      Комментарий


                      • #12
                        Почитайте в качестве примера пользовательское соглашение на сайте Ситибанка https://www.citibank.ru/russia/info/eng/terms.htm. Суть в следующем. Технических регламентов по защите информации (ФЗ "О техническом регулировании") на данный момент нет. В их отсутствие, согласно ФЗ "Об иформации, информационных технологиях и защите информации" меры защиты информации могут определяться соглашением сторон. Ситибанк и прописал соглашение, по которому клиент принимает на себя все риски, связанные с тем, что невозможно подтвердить аутентичность элетронного платежного поручения. Т.е., Ситибанк оставляет за собой право списывать деньги со счета клиента на основании подложному электронному платежному поручению (п. 6.15), и списывать со счета клиента средства, ошибочно начисленные на него по подложному электронному платежному поручению (п. 6.16). С точки зрения закона все корректно - клиент добровольно на такое соглашается, но я бы не советовал так делать.

                        Что касается камрадов из ФСТЭК, то до тех пор, пока СТР-К остаются документов для внутреннего использования (а не нормативно-правовым актом, зарегистрированным и опубликованным) их вместе с их мнением обычно отправляют в пеший эротический тур, и они с этим соглашаются (а куды деваться?).

                        Комментарий


                        • #13
                          Сообщение от zalevsky Посмотреть сообщение
                          Возможно не по теме...
                          Но например Москомприватбанк практикует в своем интернет-банке "Приват24" регистрацию по одноразовым паролям.
                          Это их совершенно не спасает, фрод как был так и остается. Система легко обходится современными фрод-ботами.

                          Комментарий

                          Пользователи, просматривающие эту тему

                          Свернуть

                          Присутствует 1. Участников: 0, гостей: 1.

                          Обработка...
                          X