Проект

ВТБ активировал процедуру подтверждения транзакций мобильного приложения пальцем

Заказчики: ВТБ24

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: CompuTel (Компьютел)
Продукт: Gemalto Ezio Mobile

Дата проекта: 2016/09 — 2016/12
Технология: ИБ - Аутентификация
подрядчики - 322
проекты - 1002
системы - 486
вендоры - 289
Технология: Средства разработки приложений
подрядчики - 199
проекты - 436
системы - 691
вендоры - 354

Содержание

2017: ВТБ запустил подтверждение транзакций мобильного приложения пальцем

18 января 2017 банк ВТБ сообщил о предоставлении клиентам возможности подтвердить транзакции из мобильного приложения посредством отпечатка пальца. Согласно заявлению пресс-службы банка, такой способ подтверждения пока не действует ни в одном банке мира.

Этот способ подтверждения банк считает более надежным, чем технологию отправки SMS с одноразовым кодом, которое можно перехватить[1].

Реклама ВТБ, (2015)

Возможность идентификации по отпечатку пальца, как пилотный проект, начнет действовать в январе 2017 года. Полномасштабное внедрение планируется в феврале 2017 года – обновленное приложение появится в App Store и Google Play. Возможность - развитие технологии, используемой в Мобильном банке для физических лиц Банка ВТБ. Тестовая аудитория пилота будет состоять из сотрудников банка - несколько десятков человек.

ВТБ заявил о первенстве в мире, в части организации подтверждения транзакции посредством отпечатка пальца. Похожая система, с использованием уникального ключа, который хранится только в памяти смартфона, но без отпечатка пальца, разработана компанией Gemalto и используется в европейском банке BNP Paribas. Решение называется Ezio Mobile Protector.

Сервис подтверждения транзакции по отпечатку пальца будет внедряться в так называемом «большом» ВТБ.

Подтверждение транзакций отпечатком пальца не следует путать с биометрической идентификацией пользователя по видео и голосу, которая уже действует в банке ВТБ24. Функциональность ВТБ, встроенная непосредственно в приложение "Мобильный банк", предлагает клиентам подтверждать именно транзакции, в то время как ВТБ24 позволяет пока только биометрически удостоверять личность при входе в мобильное приложение, а способ подтверждения транзакций остается традиционным.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.6 т

В процессе аутентификации клиент запускает приложение на смартфоне, оно отправляет запрос в систему мобильного аутентификационного приложения-криптобиблиотеки (MAA). Пользователь вводит passcode, MAA расшифровывает ключ аутентификационного приложения, рассчитывает набор криптограмм, а затем формирует CAP-токен.

После этого MAA диверсифицирует сессионные ключи, которые будут использоваться для организации защищенного соединения между приложением и сервером системы аутентификации. Затем приложение на смартфоне отправляет в систему аутентификации сформированный CAP токен. Далее система СА выполняет вычисления, касающиеся криптограмм, и сравнивает полученное и рассчитанное значение CAP токена. После этого аутентификация считается завершенной, устанавливается защищенное соединение.

При подтверждении транзакции система аутентификации направляет в МАА зашифрованную команду. МАА на защищенной одноразовой форме отображает детали операции и предлагает подтвердить ее с помощью pass-кода, известного только самому клиенту. Далее с использованием полученного значения passcode МАА расшифровывает ключ аутентификации приложения, рассчитывает криптограмму и формирует CAP токен с использованием критических данных транзакции (TDS). Приложение отправляет в систему зашифрованное значение токена, система аутентификации проводит вычисления и сравнивает полученное и рассчитанное значение. Если значения совпадают, транзакция признается валидной.

2016

В начале лета 2016 года Gemalto начала поставлять для банка ВТБ24 решение Ezio Mobile Protector – защищённое мобильное приложение, позволяющее формировать одноразовые коды (One Time Passwords, OTPs) для подтверждения операций в каналах удаленного банковского обслуживания через приложение для смартфонов. Данную имплементацию ВТБ24, ведущий игрок на российском рынке банковских услуг, провел в сотрудничестве с российским системным интегратором «КомпьюТел».

Банк ВТБ24, насчитывающий более тысячи офисов в 72 регионах России, запустил данный сервис под названием Токен ВТБ24-Онлайн в промышленную эксплуатацию в марте 2016 года и он доступен для клиентов – физических лиц в системе ВТБ24-Онлайн, а в скором времени им смогут воспользоваться и клиенты – юридические лица и ИП в системе «Банк – клиент онлайн».

Клиентам ВТБ24 достаточно установить приложение на свой смартфон или планшет под управлением Android, iOS или Windows Phone и зарегистрировать его через интернет-банк ВТБ24-Онлайн. После этого они смогут использовать приложение для генерации одноразовых кодов в любой точке мира, независимо от времени суток и без необходимости использования каких-либо дополнительных устройств. С точки зрения ВТБ24, внедрение Ezio Mobile Protector поможет избавиться от расходов, связанных с трафиком SMS и PUSH-сообщений, и предоставить своим клиентам возможность проводить операции через интернет или мобильный банк на более высокие суммы. Кроме того, решение поддерживает работу в офлайн режиме и не требует наличия сотовой связи или Интернет-соединения, таким образом, доступ к сервису аутентификации сохраняется даже в том случае, когда пользователь находится за границей.

Благодаря решению Gemalto банк ВТБ24 сможет воспользоваться всеми функциями безопасности, реализованными в Ezio Mobile Protector, которые обеспечивают комплексную защиту от большинства самых высокотехнологичных киберугроз. Благодаря возможности локального генерирования одноразовых паролей и нескольким уровням безопасности, это решение не подвержено таким широко распространённым видам атак как SIM Swap или перехват SMS. Центр аутентификации ВТБ24, интегрированный с сервером регистрации Gemalto’s Ezio Enrolment and Provisioning Server (EPS), гарантирует защищённую удалённую регистрацию новых мобильных токенов и позволяет осуществлять верификацию одноразовых кодов. Благодаря масштабируемости решения банк в будущем сможет реализовать в рамках Ezio Mobile Protector дополнительные функции, в том числе поддержку QR кодов и биометрической аутентификации.

Примечания