Пример из практики: банк Britton & Koontz использует аппаратные генераторы одноразовых паролей для защиты осуществляемых через Internet коммерческих транзакций
Пол Корженевски
Городок Натчез (шт. Миссури) со своими 20 тыс. жителей совсем не похож на города, названия которых вызывают немедленные ассоциации с передовыми технологиями. Но расположенный здесь банк Britton & Koontz First National Bank одним из первых в стране внедрил меры обеспечения безопасности, позволяющие клиентам использовать Internet для получения банковских услуг.
Правление Britton & Koontz, владеющего активами на сумму 158 млн. долл., заинтересовалось возможностями глобальной Сети еще в 1994 г. “Мы поняли, что Internet позволяет организовать для клиентов более удобный доступ к информации об их счетах”, - пояснил исполнительный вице-президент банка Britton & Koontz Бэзил Ланно. В то время в городе не было ни одного поставщика услуг доступа в Internet, так что банку пришлось заняться этим самому. Со временем банк расширил ассортимент предлагаемых Internet-услуг, так что теперь его клиенты могут, например, соединиться с Web-сервером банка (работающим в среде ОС Windows NT) и проверить состояние своих счетов или узнать, какие из выданных ими чеков уже оплачены.
Бэзил Ланно, исполнительный вице-президент банка Britton &
Koontz First National Bank: “Мы продвигаемся вперед с осторожностью,
поскольку осуществление электронных транзакций связано с риском”
По словам Ланно, главной заботой при разработке ПО стало обеспечение безопасности. Банку необходима надежная защита от хакеров, пытающихся получить доступ к информации о счетах.
Ланно понимал, что в данном случае требуется более совершенная схема обеспечения безопасности, нежели просто парольная защита, являющаяся в сущности рудиментарным средством. При ее применении возможен не только перехват с помощью специальной аппаратуры передаваемых по сети идентификаторов и паролей пользователей, но и их подбор, для чего у хакеров имеется целый арсенал соответствующих программ.
В поисках средств, обеспечивающих необходимый уровень безопасности, специалисты Britton & Koontz изучили несколько типов систем с генераторами одноразовых паролей, выводящих аутентификацию на качественно более высокий уровень по сравнению с парольной защитой. Представители руководства банка рассматривали возможность применения программных генераторов цифровых сертификатов, но остановились на аппаратных приспособлениях, представляющих собой маленькие одноцелевые компьютеры, непрерывно создающие все новые уникальные цифровые идентификаторы; эти устройства дают гораздо большее чувство уверенности. Системы на их основе требуют применения второго компонента, размещаемого на центральном компьютере и активизируемого при каждой попытке пользователя получить доступ к защищаемому приложению. Этот компонент синхронизирован с пользовательским устройством и, прежде чем предоставить доступ к приложению, проверяет предложенные ему идентификаторы и одноразовый пароль. Преимущество системы с аппаратным генератором паролей заключается в том, что ко времени, когда подслушивающая сторона сможет воспользоваться перехваченным паролем, он уже перестает действовать.
Прошлой осенью банк Britton & Koontz опробовал партию таких устройств производства фирмы Vasco Data Security (Окбрук-Террейс, шт. Иллинойс), предложив воспользоваться ими шести своим корпоративным клиентам. Согласно сложившемуся у Ланно впечатлению, аппаратные средства аутентификации надежнее программных, но зато сложнее в администрировании. Однако, по словам Джона Хаггарда, президента фирмы Vasco Data Security, работающие здесь специалисты уже разработали специальное ПО, с помощью которого компаниям будет удобнее отслеживать судьбу отдельных устройств.
Первоначальная реакция на осуществление пилотной программы оказалась обнадеживающей. “Мы недооценили то значение, какое клиенты придают своевременному получению информации о состоянии своих счетов, - заявил Ланно. - Некоторые компании проверяют баланс каждое утро”.
В 1998 г. банк планирует расширить экспериментальную программу и выполнить разработку дополнительных Internet-приложений, таких, которые позволили бы корпоративным клиентам подавать заявки на получение займов в электронном виде. Кроме того, банк планирует связать свои Internet-службы с системой предоставления банковских услуг населению. Например, большой интерес представляет возможность оплаты клиентами своих счетов по Internet, поскольку себестоимость осуществления электронных транзакций ниже, чем бумажных.
В то же время руководство Britton & Koontz вполне осознает и потенциальный риск подобных операций. Сегодня через Internet клиент банка может лишь проверить состояние своих счетов и перевести средства с одного из них на другой; снять деньги со счета по сети нельзя. “Мы продвигаемся вперед с осторожностью, поскольку осуществление электронных транзакций связано с большим риском”, - пояснил Ланно.
В то же время Хаггард из Vasco Data Security ожидает, что в будущем число банков, готовых идти на такой риск, увеличится. “Небольшим банкам приходится по-настоящему сражаться за место под солнцем, - обосновывает он свое мнение. - Создавая новые Internet-приложения, они смогут предложить клиентам услуги, которые те не найдут в других местах, а это верный путь к сохранению, а быть может, и расширению клиентуры”.
Пол Корженевски - независимый автор из Садбери (шт. Массачусетс); специализируется на вопросах сетевых технологий. Его адрес электронной почты: paulkorzen@aol.com.
Не паролями едиными+
Программные генераторы цифровых сертификатов пользуются большим спросом, так как многие компании больше не чувствуют себя в безопасности под защитой одних только паролей.
Компания MasterCard International, например, предоставляет банкам целую партию генераторов, которые они могут далее распространять среди своих клиентов.
Другая группа пользователей цифровых сертификатов этой фирмы - торговые компании, принимающие оплату по системе MasterCard. В такой системе цифровые сертификаты используются при торговом обмене в качестве “электронных отпечатков пальцев”, свидетельствующих, что обе стороны являются именно теми, за кого себя выдают. Перед любым обменом конфиденциальной информацией, например сообщением номера кредитной карточки, выполняется проверка “отпечатков пальцев”.
С помощью генератора цифровых сертификатов уникальные идентификатор и пароль пользователя заменяются последовательностью символов, даже перехватив которые, злоумышленник не получит никакой полезной для себя информации. Покупатели и продавцы используют для расшифровки каждого такого послания специальные ключи.
Существует два типа систем шифрования с применением ключей. В системах с единым ключом обе стороны используют копии одного и того же электронного ключа, в системах с двумя ключами - два различных уникальных ключа. Один из них, открытый, распространяется продавцом среди покупателей через общедоступный каталог. Второй, закрытый, служит для расшифровки сообщений, закодированных с помощью открытого ключа. Таким образом, они работают в паре: данные, зашифрованные с помощью одного ключа, не могут быть расшифрованы без другого.
Однако у этого чисто программного решения есть свои недостатки. “Если злоумышленнику удастся получить копию цифрового ключа, он сможет в дальнейшем осуществлять беспрепятственный доступ к секретной информации”, - объясняет Джон Хаггард, президент фирмы Vasco Data Security (Окбрук-Террейс, шт. Иллинойс), специализирующейся на выпуске аппаратных генераторов одноразовых паролей.