Подскажите какая на сегодняшний день проверка подлинности клиента является наиболее безопасной.
Страница 1 из 1
Система Интернет-банк
Какую аунтификацию лучше использовать?
Оценка:
1 Голосов
#2 Гость_Dima_*
Отправлено 04 June 2008 - 12:16
Авторизация с помощью клиентских SSL сертификатов + использование одноразовых ключей
#3
- Специалист
- Группа: Банкир
- Сообщений: 64
- Регистрация: 03 March 08
Отправлено 05 June 2008 - 09:18
То есть под использованием одноразовых ключей, понимаем Etoken.
#4
- Специалист
- Группа: Банкир
- Сообщений: 64
- Регистрация: 03 March 08
Отправлено 05 June 2008 - 09:23
А как насчет более распространенной многофакторной аутентификации(пароль+логин+уникальный ключ).
#5 Гость_Dima_*
Отправлено 05 June 2008 - 09:41
KIFA (05.06.08) писал:
То есть под использованием одноразовых ключей, понимаем Etoken.
Нет eToken это защищенное хранилище, хотя есть реализация токена с генерацие одноразовых паролей назывется eToken NG OTP,
но для этого нато еще будет покупать систему TMS.
#6 Гость_Dima_*
Отправлено 05 June 2008 - 09:44
KIFA (05.06.08) писал:
А как насчет более распространенной многофакторной аутентификации(пароль+логин+уникальный ключ).
Ну ты сам спросил
KIFA (04.06.08) писал:
Подскажите какая на сегодняшний день проверка подлинности клиента является наиболее безопасной.
Я и ответил по моему мнению самой безопасной будет являться авторизация по сертификату + сессионный ключ.
желательно сертификат сохранить на устройство типа eToken.
#7
- Специалист
- Группа: Банкир
- Сообщений: 64
- Регистрация: 03 March 08
Отправлено 05 June 2008 - 10:12
А можно с самого начала описать авторизацию по сертификату с использованием SSL + сессионный ключ.
То есть клиент заходит в интернет банк.....вводит логин+пароль которые он при регистрации указал. Система спрашивает сертификат .....
То есть клиент заходит в интернет банк.....вводит логин+пароль которые он при регистрации указал. Система спрашивает сертификат .....
#8
- Специалист
- Группа: Банкир
- Сообщений: 64
- Регистрация: 03 March 08
Отправлено 05 June 2008 - 10:17
И с точки зрения клиента, она отвечает удобством? То есть клиенту всеравно придется идти в банк, чтобы получить ключ. А сертификат можно чтоб он скачал.
#9
- Стажер
- Группа: Банкир
- Сообщений: 13
- Регистрация: 07 December 01
Отправлено 10 June 2008 - 13:42
вопрос узко поставлен ("наиболее безопасный"), IMHO правильное решение лежит на пересении безопасности и удобства пользования:
ни клиенту ни банку не нужен безопасный, но не удобный в пользовании И-банк, точно так же не нужен им удобный, но совершенно не защищенный И-Банк.
на практике сейчас часто используется двойная аутентификация, когда сессионный пароль и пароль на подтверждение каждой операции присылается клиенту на заранее определенный e-mail или мобильный телефон.
платежные системы VISA и MasterCard разработали технологии DPA/CAP, которые позволяют строить аутентификацию на основе специального устройства (криптокалькулятора) и платежной карточки с EMV-чипом (подробно изложено в статье http://www.plusworld...page130_803.php ).
ни клиенту ни банку не нужен безопасный, но не удобный в пользовании И-банк, точно так же не нужен им удобный, но совершенно не защищенный И-Банк.
на практике сейчас часто используется двойная аутентификация, когда сессионный пароль и пароль на подтверждение каждой операции присылается клиенту на заранее определенный e-mail или мобильный телефон.
платежные системы VISA и MasterCard разработали технологии DPA/CAP, которые позволяют строить аутентификацию на основе специального устройства (криптокалькулятора) и платежной карточки с EMV-чипом (подробно изложено в статье http://www.plusworld...page130_803.php ).
Поделиться темой:
Страница 1 из 1