Дарья Верестникова
20

Подпись электронных документов. Что такое «хорошо» и что такое «плохо»?

Итак, мы поговорили о проблеме социальной инженерии, о проблеме подтверждения транзакций и, если так можно выразиться, «подписи» документов с помощью кодов в SMS и Push-уведомлениях. Убедились также, что использование самих этих SMS и Push-уведомлений для подтверждения операций клиентами отнюдь не является полностью безопасным.

В закладки

Мы вплотную подошли к тому, что подтверждать транзакции и подписывать электронные документы лучше всего мобильной подписью. А что же дальше? Как реализовать эту мобильную подпись? Чего мы вообще хотим достигнуть и что предложить клиентам?

Все банки и производители систем ДБО стремятся сделать свои системы и мобильные приложения максимально удобными и безопасными. В идеале – пользователь получает возможность подтвердить документ «одним движением руки», «одним взглядом в камеру смартфона» или «одним касанием биометрического сенсора». Скорее всего, неискушенному пользователю этого и будет достаточно — он получит «ощущение удобства и защищенности», а что там в действительности происходит с его деньгами он не будет задумываться.

Некоторые банки, к сожалению, используют в своих мобильных каналах такие решения, которые вообще нельзя назвать «подписью» — после касания руки пользователя экрана смартфона, взгляда в камеру или прикладывания пальца к считывателю не происходит криптографических преобразований документа! После этих действий либо вообще ничего не происходит, либо к операции подставляется id сессии, который един для любых переводов в ее рамках. Все это даже отдаленно не похоже на хоть сколь-нибудь безопасное подтверждение! Создается лишь иллюзия безопасности, иллюзия подписи, которая приводит к атакам на клиентов и невозможности корректно разобрать конфликтную ситуацию. Но ведь нам с вами недостаточно одних «ощущений защищенности»! Наша же с вами задача - обеспечить безопасность, надежность, доступность, наконец, юридическую значимость подписи не меньше, чем искать удобство! Причем все это можно сделать нисколько не потеряв usability, а даже наоборот. Ведь на базе полноценной мобильной подписи можно построить дополнительные удобные digital сервисы.

Настоящая мобильная подпись обеспечивает контроль целостности и авторства транзакции или документа. Настоящая подпись формируется только на смартфоне пользователя и не может быть воспроизведена на устройстве злоумышленника. Настоящая подпись есть результат криптографических преобразований реквизитов платежа или электронного документа. Настоящая подпись подразумевает четкую процедуру разбора конфликтных ситуаций.

В следующий раз мы подробнее поговорим какие бывают виды электронной подписи, как это определяет законодательство.

{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol"], "comments": 0, "likes": 1, "favorites": 0, "is_advertisement": false, "subsite_label": "unknown", "id": 121035, "is_wide": true, "is_ugc": true, "date": "Fri, 17 Apr 2020 13:22:10 +0300", "is_special": false }
Маркетинг
Особенности рекламной кампании AliExpress в России на удалёнке: герои-предприниматели, съёмки на iPhone, дети-ассистенты
Все предприниматели, ставшие героями кампании, сняты на iPhone своими членами семьи. Двух героев снимали дочери…
Объявление на vc.ru
0
Комментариев нет
Популярные
По порядку

Комментарии