Новый подход к аутентификации клиентов для каналов ДБО - как сделать сервис безопасным и одновременно удобным для клиентов

Александр Ефремов

Март 2016

Приложение «Мобильный банк»

• Динамика оборотов, %

100% 122% 145% 167%199%

240%276%

334%373%

562%

414%

526%

0%

100%

200%

300%

400%

500%

600%

Март 2015

Апрель 2015

Май 2015

Июнь 2015

Июль 2015

Август 2015

Сентябрь 2015

Октябрь 2015

Ноябрь 2015

Декабрь 2015

Январь 2016

Февраль 2016

• Динамика оборотов, %

Требования к системе аутентификации

Бизнес-требования Функциональные требования

Удобство : • Отсутствие дополнительных аутентификационных устройств.

• Отсутствие необходимости вводить одноразовые пароли

Массовость.. • Решение должно охватывать массовый сегмент клиентов Банка, работать на всех типах мобильных устройств

• Удаленная регистрация и персонализация аутентификационного приложения

• Мобильное приложение устанавливается через официальные магазины: GooglePlay, AppStore, Windows Store.

Стоимость • Возможность использования в качестве аутентификационного сервиса для единой платформы дистанционного банковского обслуживания

• Независимость от поставщиков аутентификационных решений

• Поддержка средств аутентификации различных вендоров: мобильные устройства, дисплейные банковские карты, CAP ридеры для банковских карт

Безопасность . • 2-х факторная строгая аутентификация.

• Верификация транзакций пользователем (принцип безотзывности)

• Целостность и конфиденциальность информации

Замена канала передачи аутентификационных данных по SMS и протокола SSL

Защита от копирования чувствительных данных

Аутентификационный сервер

SDKMAACTGS

Сервис защищён-

ного канала SCS

ProxyПриложение мобильного

банка

Мобильное устройство

Решение по аутентификации

2-х факторная аутентификация

Модель аутентификации с использованием приложения

на банковской карте

Модель аутентификации с использованием приложения

на мобильном устройстве

Что я имею карте

Что я знаю PIN Passcode

1. EMV приложение банковской карты переносится на мобильное устройство

3. Ключи приложения хранятся в программном криптоконтейнерел.4. End-to-end шифрование. Между мобильным аутентификационным приложением и системой аутентификации используется защищенный кана

2. Концепция PLA (PIN less Authentication). Вместо проверки PIN, значения которого хранится на устройстве или хосте банка, вводится Passcode, значение которого знает только пользователь.

• SSL• SC

Решение по аутентификации

2-х факторная аутентификация

Что я знаю

Мобильное устройство

SDKCTGS

Приложение мобильного

банка

Аутентификационный сервер

Proxy

Сервис защищён-

ного канала SCS

• SSL• SC

Модель аутентификации с использованием приложения

на мобильном устройстве и на карте

Passcode

Что я имею

CAA

• SC

Система аутентификации в канале ДБО

Канал коммуникации приложения • SSL/TLS• SSL Pinning

Защищенный канал коммуникации системы аутентификации

• VPN

MAA

ДБО

Система аутентификации в мобильном банке

Двухфакторная верификация транзакции в без OTP - SMS

• АБС направляет запрос на верификации операции

• Клиент инициирует выполнение операции в приложении мобильного банка

5

• Клиент подтверждает операцию

• Maa формирует CAP токен

2

1

3

4

• Система аутентификации возвращает результат верификации операции6

• АБС выполняет операцию 7

• Система аутентификации (SCS) направляет команду (APDU) на верификацию транзакции по защищенному каналу

• CTVS проверяет CAP токен

Система аутентификации в канале ДБО

• CTVS проверяет CAP токен

• АБС направляет запрос на верификации операции

• Клиент инициирует выполнение операции

5

• Клиент подтверждает операцию

• Maa формирует CAP токен (mode 3 TDS)

2

1

• Система аутентификации (SCS) направляет команду (APDU) на верификацию транзакции по защищенному каналу

3

4

• Система аутентификации возвращает результат верификации операции6

Двухфакторная верификация транзакции в канале ДБО без OTP - SMS

• АБС выполняет операцию

7

Аутентификация. Как это работает

• 1. Клиент стартует приложение на смартфоне, приложение инициирует запрос в MAA на аутентификацию

• 2. Вводит Passcode

• 3. MAA расшифровывает ключ аутентификационного приложения

• 4. МАА рассчитывает набор криптограмм АС1- ACn

• 5. MAA (CTGS) формирует CAP токен с использованием криптограммы АС1

• 6. MAA диверсифицирует сессионные ключи с использованием АС2- AC5

• 7. Приложение на смартфоне отправляет в систему аутентификации CAP токен

• 8. СА выполняет вычисления п.п.4 -6

• 9. СА сравнивает полученный и рассчитанный значения CAP токена

• 10. Аутентификация выполнена, защищенное соединение установлено

Верификация. Как это работает

БАНК Защищенный канал SС

• 1. Клиент инициирует операцию в канале ДБО

• 2. АБС выполняет запрос в систему аутентификации на проведение верификации операции

• 3. Система аутентификации направляет зашифрованную команду в МАА

• 4. МАА на защищенной экранной форме отображает детали операции и предлагает подтвердить или отказаться, введя Passcode

• 5. MAA расшифровывает ключ аутентификационного приложения

• 6. МАА рассчитывает криптограмму АС

• 7. MAA (CTGS) формирует CAP токен с использованием криптограммы АС и TDS, (mode 3 TDS)

• 8. Приложение на смартфоне отправляет в систему аутентификации зашифрованное значение CAP токена

• 9. СА выполняет вычисления п.п.6-7

• 10. СА сравнивает полученное и рассчитанное значения CAP токена

• 11. Верификация выполнена

• 12. После подтверждения операция исполняется банкомЗащищенная экранная форма

СПАСИБО ЗА ВНИМАНИЕ!

Вопросы?

Александр Ефремовм.т. 916 674 6291

Март 2016

Новый подход к аутентификации клиентов для каналов ДБО - как сделать сервис безопасным и одновременно удобным для клиентов

Регистрация приложения мобильного банка

Аутентификация

Верификация

Требования к SDK

Функциональные требования Техническое решение

•Защищенный канал • Аутентификационные данные передаются между SDK и сервером аутентификации по защищенному каналу

• Между приложением мобильного банка и платформой устанавливается TLS соединение с использованием SSL pinning

•Защита от реверс-инжиниринга Обфускация исполняемого кода

•Защита чувствительных данных на мобильном устройстве

•Используется шифрование на значениях Passcode и Device Fingerprint•Используется защищенные клавиатура и экранные формы

•Защита пароля клиента Значение Passcode не хранится на мобильном устройстве и сервере аутентификации

•Jailbreak и Root Detection Отслеживание джейлбрейка (jailbreak) и Root – прав перед вводом Passcode и извлечением ключей мобильного аутентификационного приложения из защищенного хранилища

Защита от атак

Функциональные требования Техническое решение

Brute Force Контроль значений Passcode осуществляется на сервере аутентификации.

Man-in-the-middle Для установки защищенного соединения между maa (SDK) и сервером аутентификации сессионные ключи генерируются параллельно на знании общего секрета без обмена критической информацией. .

Phising & PharmingMan-in-the-browser

URL мобильной платформы зашит в исполняемом коде и все аутентификационные данные генерируются на уникальном ключе MAA.

Копирование чувствительных данных на другое устройство

Чувствительные данные хранятся в защищенном хранилище.