Комментарии на: Вести с Кавказа или защитим свои капиталы вместе (Интернет-банк и ЭЦП)

От: Андрей Ерин

Андрей Ерин — Fri, 02 Oct 2009 11:56:29 +0000

Если, “оплошавший в силу своей непрофессиональности в области защиты информации, клиент” не выполнил рекомендаций банка и деньги увели по вине клиента (вину устанавливает суд), то ответственность клиента 100%.
По опыту работы: если клиентами выполняются все наши рекомендации по безопасности, то у мошенников ничего и не получается.

Насчет виртуальной клавиатуры: в своем Интерент-банке для физ лиц мы её сделали
И-банк для юрлиц – разработка не наша, разработчик говорит, что большинству клиентов не удобно работать с виртуальноу клавиатурой.

Хочу еще раз отметить, что токен снимает все вопросы с воровством ЭЦП. Эта рекомендация стоит 1500 руб, но она реально защищает деньги

От: Константин

Константин — Fri, 25 Sep 2009 11:36:31 +0000

у современных компьютеров сейчас, как минимум, два стандартных пути ввода информации – клавиатура и мышь.
вопрос: кто мешает разработчикам систем «клиент-банк» ограничить ввод идентифицирующей клиента информации – с помощью мыши, а НЕ с клавиатуры?
думаю, это будет немного дешевле, чем те же токены

но я о другом.
хочу спросить – а как вы оцениваете правовую сторону вопроса безопасности систем «клиент-банк»? КТО, по-вашему – несёт ответственность за взлом этих систем и кражу денег со счетов клиента – банк, взявшийся профессионально хранить эти деньги, или, оплошавший в силу своей непрофессиональности в области защиты информации, клиент? и в какой пропорции?

От: Виталий

Виталий — Wed, 06 Aug 2008 07:06:12 +0000

Спасибо незнал

От: Андрей Ерин

Андрей Ерин — Tue, 05 Aug 2008 05:29:06 +0000

Для Cooler:
Такая услуга есть и бесплатно, в статье упоминается про IP фильтрацию. Проблема в том, что ряд клиентов имеют динамические IP адреса, а кто-то хочет работать в отпусках, командировках и т.д. Да и подделать IP адрес для мошенника не такая уж большая проблема.

От: Андрей Ерин

Андрей Ерин — Tue, 05 Aug 2008 05:24:37 +0000

Для IDCrisis:
Устройство для защиты ПО называется HASP (Hardware Against Software Piracy, что в переводе означает “аппаратные средства защиты авторских прав”). Внешне оно не отличается от токена, но внутри реализован несколько другой механизм защиты, об этом косвенно можно судить по разнице в перечне криптографических алгоритмов, используемых в токенах, предлагаемых нашим банком и в HASP.
Как пишет один из разработчиков подобных устройств: «Мощный 128-битный криптографический алгоритм AES, который реализован в HASP HL, практически гарантирует программные продукты, защищенные им от взлома. Во всяком случае, серьезно усложняет задачу потенциальным злоумышленникам».
Подпись ЭЦП внутри токена делает эту задачу практически не выполнимой для преступника.
В теории любая защита когда-нибудь будет взломана, вопрос только во времени и стоимости реализации такой задачи. В настоящее время преступникам нет смысла заниматься изысканиями – у них есть легкий способ хищения секретного ключа с дискеты, флэшки или жесткого диска ПК, что они и делают успешно и массово.

От: Cooler

Cooler — Tue, 05 Aug 2008 03:59:26 +0000

Почему бы не предложить клиентам банка, пользующимся удаленным управлением счетом заполнить список адресов, с которых они заходят в систему интернет-банк (домашний ip адрес, рабочий ip адрес,…). Ну и разрешать проведение платежей только с адресов из этого списка.

От: IDCrisis

IDCrisis — Mon, 04 Aug 2008 15:52:30 +0000

А разве токены не возможно подделать? Например, с некоторым дорогим лицензионным ПО тоже идут токены для защиты лицензионных копий. На их взлом уходит много времени, однако зто воможно. После взлома создаются виртуальные образы токенов, которые программа воспринимает в качестве настоящих. Или же токены Банка настолько сложны для расшифровки, что это просто не реально?