Для розширеної багатофакторної аутентифікації і підтвердження документів корпоративних і приватних клієнтів в систему «iBank 2» вбудована підтримка OTP-токенів і MAC-токенів виробництва компаній VASCO Data Security і ActivIdentity.
Компанія «БІФІТ» уклала з компаніями ActivIdentity і VASCO Data Security ексклюзивні ліцензійні угоди про вбудовуванні і поширенні в складі системи «iBank 2» відповідних серверних програмних компонент зазначених вендорів. Дані компоненти вбудовані до складу Сервера Додатки «iBank 2», не вимагають окремого придбання та ліцензування, і можуть використовуватися для роботи з OTP-токенами і MAC-токенами в системі «iBank 2». Ніяких обмежень на кількість підтримуваних OTP-токенів і MAC-токенів не накладається.
Завдяки цьому банки, які купують у компанії «БІФІТ» OTP-токени і MAC-токени для використання в системі «iBank 2», позбавлені необхідності купувати ПО вендорів ActivIdentity 4TRESS Authentication Server або VASCO IDENTIKEY Server з ліцензійною політикою per-user і вартістю в десятки / сотні тисяч доларів США.
OTP-токени призначені для генерації одноразових паролів. Одноразовий пароль має довжину 6..8 цифр. Значення одноразового пароля обчислюється як функція секретного ключа пристрою і лічильника часу (time-based) і / або лічильника станів (event-based).
При генерації одноразового пароля використовуються симетричні криптографічні алгоритми. Мала довжина одноразового пароля не дозволяє використовувати асиметричні криптографічні алгоритми (з відкритим ключем) - знання відкритого ключа дозволяє зловмисникові підбирати одноразовий пароль методом простого перебору.
В системі «iBank 2» реалізована підтримка OTP-токенів VASCO Digipass Go3 і ActivIdentity Mini OTP Token.
OTP-токени VASCO Digipass Go3 і ActivIdentity Mini OTP Token призначені для генерації одноразових паролів. Токени максимально прості у використанні. Вони мають єдину кнопку, при натисканні на яку на РК-дисплеї висвічується одноразовий пароль.
ActivIdentity Mini OTP Token
ActivIdentity Mini OTP Token генерує одноразовий пароль як функцію від часу, значення лічильника стану і секретного ключа токена (time-based + event-based). Використовується криптоалгоритм 3DES. Довжина одноразового пароля становить 8 цифр.
OTP-токени VASCO Digipass Go3 і ActivIdentity Mini OTP Token офіційно закуповуються та ввозяться на територію РФ.
Термін життя OTP-токенів становить 5-7 років.
Дві основні функції MAC-токена:
- Генерація одноразового пароля
- Обчислення електронного підпису (MAC - message authentication code)
Процедура формування і перевірки електронного підпису відбувається наступним чином:
Мала довжина генерується MAC-токеном електронного підпису (6..10 цифр) не дозволяє використовувати асиметричні криптографічні алгоритми (з відкритим ключем) для її формування - знання відкритого ключа дозволяє зловмисникові підбирати електронний підпис методом простого перебору.
Тому для формування та перевірки електронного підпису, що генерується MAC-токеном, використовуються симетричні криптографічні алгоритми, а ключ для формування і перевірки одноразового пароля і електронного підпису клієнта є секретним.
До додаткових переваг MAC токена відноситься захист Вашому пристрої PINкодом. Пристрій заблоковано неуспішних послідовних спроб введення PIN-коду і може бути розблоковано лише за участю банку.
В системі «iBank 2» підтримуються MAC-токени компанії ActivIdentity.
ActivIdentity Pocket Token - більш компактний MACтокен з розширеним терміном служби.
Ключові характеристики пристрою:
- Компактний і легкий (68х48.5x8.5 мм, 28 г)
- Термін життя 6 років (акумулятор незмінний)
- Матричний екран на 10 символів
- Захист PIN-кодом
Функціональність ActivIdentity Pocket Token:
- Генерація одноразового пароля (event-based або time-based + event-based)
- Обчислення електронного підпису (MAC)
- Режим «Запит / відповідь X9.9»
Обидві моделі MAC-токенів підтримують режим зміни PIN-коду клієнтом, забезпечують блокування токена при послідовних неправильних спробах введення PIN-коду, підтримують дистанційне зняття блокування (вимагає дзвінка в банк).
На замовлення банків компанія «БІФІТ» здійснює поставки MAC-токенів для використання корпоративними і приватними клієнтами - користувачами системи «iBank 2». Важливо пам'ятати, що при використанні таких токенов в системі «iBank 2» банки позбавлені від необхідності купувати ліцензії на сервер аутентифікації ActivIdentity 4TRESS Authentication Server.
- Загроза розкрадань в системах ДБО
- Захист секретних ключів підпису
- Додаткове підтвердження документів
- OTP-токени і MAC-токени
- Технологія EMV CAP
- Додаткові механізми безпеки