Upload
aleksandrs-baranovs
View
686
Download
1
Embed Size (px)
Citation preview
Новый подход к аутентификации клиентов для каналов ДБО - как сделать сервис безопасным и одновременно удобным для клиентов
Александр Ефремов
Март 2016
Приложение «Мобильный банк»
• Динамика оборотов, %
100% 122% 145% 167%199%
240%276%
334%373%
562%
414%
526%
0%
100%
200%
300%
400%
500%
600%
Март 2015
Апрель 2015
Май 2015
Июнь 2015
Июль 2015
Август 2015
Сентябрь 2015
Октябрь 2015
Ноябрь 2015
Декабрь 2015
Январь 2016
Февраль 2016
• Динамика оборотов, %
Требования к системе аутентификации
Бизнес-требования Функциональные требования
Удобство : • Отсутствие дополнительных аутентификационных устройств.
• Отсутствие необходимости вводить одноразовые пароли
Массовость.. • Решение должно охватывать массовый сегмент клиентов Банка, работать на всех типах мобильных устройств
• Удаленная регистрация и персонализация аутентификационного приложения
• Мобильное приложение устанавливается через официальные магазины: GooglePlay, AppStore, Windows Store.
Стоимость • Возможность использования в качестве аутентификационного сервиса для единой платформы дистанционного банковского обслуживания
• Независимость от поставщиков аутентификационных решений
• Поддержка средств аутентификации различных вендоров: мобильные устройства, дисплейные банковские карты, CAP ридеры для банковских карт
Безопасность . • 2-х факторная строгая аутентификация.
• Верификация транзакций пользователем (принцип безотзывности)
• Целостность и конфиденциальность информации
Замена канала передачи аутентификационных данных по SMS и протокола SSL
Защита от копирования чувствительных данных
Аутентификационный сервер
SDKMAACTGS
Сервис защищён-
ного канала SCS
ProxyПриложение мобильного
банка
Мобильное устройство
Решение по аутентификации
2-х факторная аутентификация
Модель аутентификации с использованием приложения
на банковской карте
Модель аутентификации с использованием приложения
на мобильном устройстве
Что я имею карте
Что я знаю PIN Passcode
1. EMV приложение банковской карты переносится на мобильное устройство
3. Ключи приложения хранятся в программном криптоконтейнерел.4. End-to-end шифрование. Между мобильным аутентификационным приложением и системой аутентификации используется защищенный кана
2. Концепция PLA (PIN less Authentication). Вместо проверки PIN, значения которого хранится на устройстве или хосте банка, вводится Passcode, значение которого знает только пользователь.
• SSL• SC
Решение по аутентификации
2-х факторная аутентификация
Что я знаю
Мобильное устройство
SDKCTGS
Приложение мобильного
банка
Аутентификационный сервер
Proxy
Сервис защищён-
ного канала SCS
• SSL• SC
Модель аутентификации с использованием приложения
на мобильном устройстве и на карте
Passcode
Что я имею
CAA
• SC
Система аутентификации в канале ДБО
Канал коммуникации приложения • SSL/TLS• SSL Pinning
Защищенный канал коммуникации системы аутентификации
• VPN
MAA
ДБО
Система аутентификации в мобильном банке
Двухфакторная верификация транзакции в без OTP - SMS
• АБС направляет запрос на верификации операции
• Клиент инициирует выполнение операции в приложении мобильного банка
5
• Клиент подтверждает операцию
• Maa формирует CAP токен
2
1
3
4
• Система аутентификации возвращает результат верификации операции6
• АБС выполняет операцию 7
• Система аутентификации (SCS) направляет команду (APDU) на верификацию транзакции по защищенному каналу
• CTVS проверяет CAP токен
Система аутентификации в канале ДБО
• CTVS проверяет CAP токен
• АБС направляет запрос на верификации операции
• Клиент инициирует выполнение операции
5
• Клиент подтверждает операцию
• Maa формирует CAP токен (mode 3 TDS)
2
1
• Система аутентификации (SCS) направляет команду (APDU) на верификацию транзакции по защищенному каналу
3
4
• Система аутентификации возвращает результат верификации операции6
Двухфакторная верификация транзакции в канале ДБО без OTP - SMS
• АБС выполняет операцию
7
Аутентификация. Как это работает
• 1. Клиент стартует приложение на смартфоне, приложение инициирует запрос в MAA на аутентификацию
• 2. Вводит Passcode
• 3. MAA расшифровывает ключ аутентификационного приложения
• 4. МАА рассчитывает набор криптограмм АС1- ACn
• 5. MAA (CTGS) формирует CAP токен с использованием криптограммы АС1
• 6. MAA диверсифицирует сессионные ключи с использованием АС2- AC5
• 7. Приложение на смартфоне отправляет в систему аутентификации CAP токен
• 8. СА выполняет вычисления п.п.4 -6
• 9. СА сравнивает полученный и рассчитанный значения CAP токена
• 10. Аутентификация выполнена, защищенное соединение установлено
Верификация. Как это работает
БАНК Защищенный канал SС
• 1. Клиент инициирует операцию в канале ДБО
• 2. АБС выполняет запрос в систему аутентификации на проведение верификации операции
• 3. Система аутентификации направляет зашифрованную команду в МАА
• 4. МАА на защищенной экранной форме отображает детали операции и предлагает подтвердить или отказаться, введя Passcode
• 5. MAA расшифровывает ключ аутентификационного приложения
• 6. МАА рассчитывает криптограмму АС
• 7. MAA (CTGS) формирует CAP токен с использованием криптограммы АС и TDS, (mode 3 TDS)
• 8. Приложение на смартфоне отправляет в систему аутентификации зашифрованное значение CAP токена
• 9. СА выполняет вычисления п.п.6-7
• 10. СА сравнивает полученное и рассчитанное значения CAP токена
• 11. Верификация выполнена
• 12. После подтверждения операция исполняется банкомЗащищенная экранная форма
СПАСИБО ЗА ВНИМАНИЕ!
Вопросы?
Александр Ефремовм.т. 916 674 6291
Март 2016
Новый подход к аутентификации клиентов для каналов ДБО - как сделать сервис безопасным и одновременно удобным для клиентов
Регистрация приложения мобильного банка
Аутентификация
Верификация
Требования к SDK
Функциональные требования Техническое решение
•Защищенный канал • Аутентификационные данные передаются между SDK и сервером аутентификации по защищенному каналу
• Между приложением мобильного банка и платформой устанавливается TLS соединение с использованием SSL pinning
•Защита от реверс-инжиниринга Обфускация исполняемого кода
•Защита чувствительных данных на мобильном устройстве
•Используется шифрование на значениях Passcode и Device Fingerprint•Используется защищенные клавиатура и экранные формы
•Защита пароля клиента Значение Passcode не хранится на мобильном устройстве и сервере аутентификации
•Jailbreak и Root Detection Отслеживание джейлбрейка (jailbreak) и Root – прав перед вводом Passcode и извлечением ключей мобильного аутентификационного приложения из защищенного хранилища
Защита от атак
Функциональные требования Техническое решение
Brute Force Контроль значений Passcode осуществляется на сервере аутентификации.
Man-in-the-middle Для установки защищенного соединения между maa (SDK) и сервером аутентификации сессионные ключи генерируются параллельно на знании общего секрета без обмена критической информацией. .
Phising & PharmingMan-in-the-browser
URL мобильной платформы зашит в исполняемом коде и все аутентификационные данные генерируются на уникальном ключе MAA.
Копирование чувствительных данных на другое устройство
Чувствительные данные хранятся в защищенном хранилище.