Дополнительный слой безопасности от HSBC

23 Ноя
2011

Около полугода назад банк HSBC, клиентом которого я являюсь, ввел новую систему авторизации для интернет-банкинга на своем сайте. Теперь пользователю, желающему производить банковские операции через интернет, придется носить с собой дополнительный девайс (токен авторизации), названый HSBC Secure Key.

Выглядит устройство как маленький калькулятор, требует пин от четырех до восьми символов, устанавливаемый пользователем, и генерирует шестизначный код, который и является пропуском к аккаунту на сайте банка, а точнее частью пропуска (используется TFA или двухфакторная авторизация).

О работе устройства, удобстве его использования и целесообразности такой идеи как таковой и пойдет речь в данной статье.

Выглядит вышеупомянутое устройство следующим образом.



Девайс имеет габариты около 7х4х0,3 см, корпус выполнен из пластика и наглухо запаян, экран монохромный на 8 цифр и несколько надстрочных надписей. На передней панели 12 кнопок (10 цифр и две функциональные). Есть ушко для веревочки, чтобы повесить девайс, скажем, на ключи.

Начало работы



При первом использовании Secure Key поприветствует вас надписью HSBC и попросит ввести пин-код, который будет запрашиваться каждый раз при следующих включениях устройства. На сайте же необходимо ввести уникальный серийный номер устройства, т.е. связать его со своим аккаунтом. После этих незамысловатых манипуляций устройство будет готово к использованию.

Принцип работы



Принцип работы устройства заключается в том, что в нем находятся часы, синхронизированные с серверами HSBC при изготовлении, и, в зависимости от времени включения Secure Key, генерируется шестизначный код по программе, заложенной банком (т.е. код – функция от текущего времени). Шесть цифр, которые знает только secure key в конкретный момент времени, в комбинации с паролем, который знает только пользователь в любой момент времени, и дают право доступа к интернет-банкингу.

Методом «тыка» удалось выяснить, что новый код secure key генерирует раз в 15 секунд. Сайт, судя по всему, знает все коды, генерируемые secure key за время сессии авторизации, но если вы введете ключ, который был валидным в прошлой сессии (неважно как давно она была), то его принимать сайт откажется. Вся вышеуказанная информация добыта методом эксперимента, надежной информации о подробностях работы конкретного девайса мною найдено не было.

Работает Secure Key от батарейки, заменить которую не представляется возможным – при любой попытке вскрыть устройство работа его будет прекращена навсегда (тут уж не экспериментировал, поверил офсайту на слово). В случае низкого заряда батареи устройство проинформирует вас заранее, и вы сможете бесплатно обменять его на новое. По словам HSBC батарейки хватает на несколько лет, что не удивительно, так как устройство вряд ли будет использоваться так уж часто, хотя и при непрерывной работе должно хватить на очень долго.

Никаких беспроводных модулей для связи с банком у Secure Key нет, так что если у вас проводной интернет заведен в глухой подвал – не волнуйтесь, вы сможете использовать интернет-банкинг и там.

Преимущества и недостатки



HSBC декларирует такие преимущества Secure Key, как дополнительная безопасность банковских операций и удобство использования, и если первый пункт – неоспорим, то второй заставляет задуматься. Речь идет не о том, что неудобно смотреть куда-либо кроме экрана компьютера и кнопки нажимать не только на клавиатуре во время авторизации, но о портабельности устройства. Офсайт утверждает, что его легко носить в кошельке, так как secure key меньше кредитной карты, что по-своему верно, если не учитывать его толщину. Все же 3мм многовато для того, что запихнуть его в отдел для карточек. Думаю, что не только я заметил данное, хоть и небольшое, но неудобство, так что вполне возможно стоит ожидать выхода второго поколения девайса в ближайшем будущем.

Также стоит упомянуть, что технология не является опциональной и подлежит к использованию всем желающим получить доступ к онлайн сервисам HSBC.

Итог



Система токенов авторизации не является новой и используется много где, но для меня это был первый опыт знакомства с чем-то подобным. Также я не слышал об использовании подобных вещиц на территории постсоветского пространства, хотя наверняка есть сервисы в России, Украине и т.п. юзающие подобную технологию (простите мою некомпетентность в данном вопросе).

Плюсы
Несомненный дополнительный слой безопасности, так как лишнее использование динамических паролей в системе авторизации никогда не помешает, да еще ко всему есть пин на самом устройстве, так что, чтобы что-то у вас украсть со счета сначала придется украсть ваш Secure Key да еще и узнать пин к нему.
Минусы
Размеры устройства можно было бы уменьшить для большего удобства транспортировки.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх