17.03.2009 Экспертиза, Безопасность, Финансы, страхование, недвижимостьДля оказания любой финансовой услуги он-лайн, предоставляющая ее организация должна однозначно идентифицировать клиента. Добиться этого можно разными способами. Если финансовое учреждение останавливается на использовании электронно-цифровой подписи, то такая практика регулируется соответствующим №1 Федеральным законом. Кроме ЭЦП существует также аналог собственноручной подписи (АСП), который не обязан удовлетворять этому закону. Рассмотрим типовые проблемы безопасной он-лайн авторизации клиентов и способы их решения. Одноразовые пароли О типовых проблемах безопасности при предоставлении финансовых услуг он-лайн нам рассказал Александр Хорошилов, первый заместитель генерального директора "Юникор финанс". Профиль этой компании -- разработка системы управления счетами, создание решения для моментального приема платежей, позволяющего дистанционно управлять банковским счетом или картой, осуществлять платежи за товары и услуги через мобильный телефон или Интернет. «Для авторизации возможна генерация одноразовых паролей и на телефоне – говорит Александр Хорошилов, -- Но в этом случае вместе с кражей телефона в чужие руки попадает и генератор. В своей системе ECASH мы руководствуемся правилами безопасности, используемыми в международных платежных системах и требующими наличия двух независимых каналов доставки логина и пароля. Генерацию одноразовых паролей на телефоне использовать можно, но для соблюдения упомянутого мной безопасности придется вводить ПИН. Такое решение ...
читать далее.