Безопасность системы

В системе интернет-банкинга "Мой Банк" имеется несколько уровней защиты.

Во-первых, все онлайн-операции в системе проходят с использованием криптографических протоколов TLS и SSL, обеспечивающих конфиденциальность и целостность данных при коммуникации клиента и банка.

Во-вторых, вход на сайт системы осуществляется с использ ованием логина и пароля, к оторые известны только пользователю. Пароль может меняться клиентом по его усмотрению.

В-третьих,все операции, совершаемые в системе, должны быть авторизованы. В качестве средств авторизации могут быть использованы либо сеансовые ключи, либо электронная цифровая подпись.

Сеансовые ключи. Сеансовые ключи могут быть переданы клиенту в банке на бумажном либо ином носителе, а так же сгенерированы клиентом самостоятельно с использованием технологии MobiPass.
При использовании комплекта сеансовых ключей, переданного клиенту в банке, при подписи документа на экране системы отображается номер неиспользованного сеансового ключа из переданного комплекта. Пользователь находит и вводит соответствующий этому номеру сеансовый ключ. При корректном вводе ключ становится использованным и блокируется.

Если клиент три раза попытается ввести неправильный сеансовый ключ, то данный ключ будет заблокирован, а для подписи документа будет активизирован другой ключ из комплекта. Такая схема снижает возможность онлайнового подбора сеансового ключа.

MobiPass - это технология генерации сеансового ключа - аналога собственноручной подписи клиента - посредством Java-приложения на мобильном телефоне клиента. Предназначена для самостоятельного формирования клиентом одноразовых ключей в том месте, в то время и в том количестве, в которых это необходимо для пользования банковскими услугами, предоставляемыми системой «Мой Банк». 

MobiPass позволяет на мобильном телефоне в ответ на ввод указанного банком 6-значного кодового числа документа получить одноразовый ключ - аналог собственноручной подписи клиента. В отличие от таблицы одноразовых ключей, «MobiPass» позволяет получить неограниченное число таких ключей и избавляет клиента от необходимости посещать офис банка по мере использования одноразовых ключей.

При необходимости подписать документ в подсистеме «Мой банк» пользователю сообщается (выводится на экран) 6-значное кодовое число документа, которое необходимо ввести в мобильный телефон. В ответ «MobiPass» вычисляет 6-разрядное значение одноразового ключа, необходимого для подтверждения проведения операции. В целях защиты от несанкционированного использования «MobiPass» требует ввода персонального 4-значного PIN-кода при генерации каждого одноразового ключа.

Технология «MobiPass» основана на открытом стандарте Open Authentification, широко применяемом в мировой практике и гарантирующем достаточный уровень безопасности. Подробнее о технологии Open Authentification можно узнать на сайте http://www.openauthentication.org.
Если введенное число не верно, то у клиента есть ещё две попытки на ввод одноразового ключа, после чего его учётная запись блокируется.


Если клиент введёт неправильный PIN-код, то секретный ключ будет восстановлен неправильно, и следовательно неправильно рассчитан одноразовый ключ, но ошибка возникнет только после  ввода полученного одноразового ключа в систему «Мой Банк». Такая схема исключает офлайновый подбор PIN-кода, а при онлайновом подборе у злоумышленника будет всего три попытки, после чего учётная запись клиента будет заблокирована.

----------------------------------------------------------------------------------------------------------

Внимание. В случае утери телефона с установленным приложением «MobiPass», клиент должен немедленно позвонить в Банк и заблокировать доступ к системе.

«MobiPass» более безопасен в использовании, чем сеансовые ключи, так как позволяет контролировать неизменность подписанного документа, но менее безопасен, чем ЭЦП, поскольку ЭЦП базируется на ассиметричных алгоритмах подписи и банк не знает секретной части ключа, который есть у клиента.  Однако по сравнению с ЭЦП работа с «MobiPass» проще, т.к. для подтверждения документа используются 6-значные ключи, и для их вычисления можно использовать мобильный телефон, в то время как для использования ЭЦП обязательно требуется  установка на компьютер пользователя дополнительного программного обеспечения.

----------------------------------------------------------------------------------------------------------

Электронная цифровая подпись. Наибольшую степень защиту данных в системе гарантируют сертифицированные в Республике Беларусь средства генерации электронной цифровой подписи (ЭЦП). В этом случае секретный ключ клиента хранится на специальном USB-устройстве (аналог смарт-карты). Его прочный корпус устойчив к внешним воздействиям. При использовании ЭЦП применяются криптостойкие алгоритмы шифрования, практически исключающие возможность дешифрования передаваемых документов и их намеренного изменения злоумышленниками.

Для авторизации операции в системе клиенту необходимо подключить это устройство к USB-порту, а затем набрать на клавиатуре пароль доступа к контейнеру с ключевой информацией, хранящемуся на USB-устройстве. Подписание документа будет произведено с использованием дополнительного программного обеспечения, которое должно быть установлено на компьютер, с которого осуществляется работа с системой.