Обратная авторизация при дистанционной работе с банком.
В ходе разработки модели информационной безопасности операционного контакт-центра, который является обязательной инновацией для создания Банка-рая для лиц с ограниченными возможностями, была обнаружена интересная проблема. Как Клиенту понять, что он действительно дозвонился в банк?
Понятно стремление банка максимально обезопасить себя, и удостовериться, что ему звонит Клиент. Банки щедро посыпают голову Клиентов дурацкими вопросами типа "назовите последние 4 цифры в номере карты" или "какой у вас номер паспорта?" Но что может спросить Клиент, чтобы удостовериться, что он действительно позвонил в банк? Первое, что приходит на ум - это в начале звонка запросить историю операций. Злоумышленник не сможет ответить на этот вопрос, и начнёт ссылаться на "технические трудности". В таком случае Клиент должен быть полностью уверен, что канал не прослушивается, и злоумышленник не мог собрать эту информацию ранее, или у злоумышленника нет инсайдера в банке. Получается, что информация, используемая как для прямой, так и для обратной авторизации не должна быть знание-зависимой.
Решением является использование OTP-токена в связке с голосовой биометрией. OTP-токен - это небольшое устройство, размером с кредитку, чуть толще, которое содержит батарейку и знает текущее время на протяжении всей своей жизни (3-5 лет). В нём зашито секретное большое число, которое умножается по открытому алгоритму на время, и на выходе, на дисплее, после нажатия на кнопку, выдаёт 5-значное число.Т.е. число каждый раз привязано ко времени и оно меняется пару раз в минуту. Этот алгоритм и число содержатся как на самом OTP-токене, так и в сервере авторизации банка.
Сценарий обслуживания такой:
1.Клиент звонит в банк;
2.Операционист нажимает на кнопку в web-интерфейсе и ему выводится 5-значное число, которое он сообщает Клиенту;
3.Клиент нажимает кнопку на OTP-токене и сверяет его с услышанным. Если они совпадает - обратная авторизация произошла;.
4.Операционист и Клиент ещё немного общаются. За это время собирается аудиофайл достаточной длины, чтобы банк мог биометрически авторизовать Клиента по голосу;
5.Когда у операциониста загорается лампочка "Клиент распознан", он может сообщить баланс и создать операцию;
6.Операционист просит Клиента сгенерировать новый кодик на OTP-токене;
7.Клиент сообщает кодик и им подписывается (как АСП) операций.
В чём прелесть такого обслуживания?
Сколько не прослушивай канал - ты не завладеешь способом дистанционно управлять деньгами. Бесполезно красть аудиозаписи разговоров, кто бы их не хранил - смартфон Клиента, оператор СОРМ2 или банк. Плюс Клиента никто не достаёт дурацкими вопросами о цифрах в паспорте, дате рождения и прочих номерах карт. У Клиента не формируется стимул-реакция, что он кому-то должен сообщать эти сведения по телефону.
Этот же сценарий, кроме голосовой биометрии, может быть применён для обратной авторизации страницы банк-клиента. Т.е. способ универсален. Пользуйтесь :-)
Понятно стремление банка максимально обезопасить себя, и удостовериться, что ему звонит Клиент. Банки щедро посыпают голову Клиентов дурацкими вопросами типа "назовите последние 4 цифры в номере карты" или "какой у вас номер паспорта?" Но что может спросить Клиент, чтобы удостовериться, что он действительно позвонил в банк? Первое, что приходит на ум - это в начале звонка запросить историю операций. Злоумышленник не сможет ответить на этот вопрос, и начнёт ссылаться на "технические трудности". В таком случае Клиент должен быть полностью уверен, что канал не прослушивается, и злоумышленник не мог собрать эту информацию ранее, или у злоумышленника нет инсайдера в банке. Получается, что информация, используемая как для прямой, так и для обратной авторизации не должна быть знание-зависимой.
Решением является использование OTP-токена в связке с голосовой биометрией. OTP-токен - это небольшое устройство, размером с кредитку, чуть толще, которое содержит батарейку и знает текущее время на протяжении всей своей жизни (3-5 лет). В нём зашито секретное большое число, которое умножается по открытому алгоритму на время, и на выходе, на дисплее, после нажатия на кнопку, выдаёт 5-значное число.Т.е. число каждый раз привязано ко времени и оно меняется пару раз в минуту. Этот алгоритм и число содержатся как на самом OTP-токене, так и в сервере авторизации банка.
Сценарий обслуживания такой:
1.Клиент звонит в банк;
2.Операционист нажимает на кнопку в web-интерфейсе и ему выводится 5-значное число, которое он сообщает Клиенту;
3.Клиент нажимает кнопку на OTP-токене и сверяет его с услышанным. Если они совпадает - обратная авторизация произошла;.
4.Операционист и Клиент ещё немного общаются. За это время собирается аудиофайл достаточной длины, чтобы банк мог биометрически авторизовать Клиента по голосу;
5.Когда у операциониста загорается лампочка "Клиент распознан", он может сообщить баланс и создать операцию;
6.Операционист просит Клиента сгенерировать новый кодик на OTP-токене;
7.Клиент сообщает кодик и им подписывается (как АСП) операций.
В чём прелесть такого обслуживания?
Сколько не прослушивай канал - ты не завладеешь способом дистанционно управлять деньгами. Бесполезно красть аудиозаписи разговоров, кто бы их не хранил - смартфон Клиента, оператор СОРМ2 или банк. Плюс Клиента никто не достаёт дурацкими вопросами о цифрах в паспорте, дате рождения и прочих номерах карт. У Клиента не формируется стимул-реакция, что он кому-то должен сообщать эти сведения по телефону.
Этот же сценарий, кроме голосовой биометрии, может быть применён для обратной авторизации страницы банк-клиента. Т.е. способ универсален. Пользуйтесь :-)