Спецпроекты

Безопасность Стратегия безопасности ИТ в банках

ВТБ «первым в мире» запускает подтверждение переводов по отпечатку пальца

Банк ВТБ предоставит своим клиентам возможность подтверждать транзакции из мобильного приложения с помощью отпечатка пальца. Такой способ подтверждения пока что не действует ни в одном банке мира. С помощью отпечатка будет формироваться уникальный ключ, который невозможно перехватить, в отличие от смс-подтверждения, так как он хранится только в памяти устройства.

Подтверждение отпечатком пальца

Банк ВТБ запускает подтверждение денежных переводов через мобильное приложение банка с использованием сканера отпечатка пальца смартфона. Такой способ подтверждения банк считает более надежным, чем стандартная технология отправки смс-сообщения с одноразовым кодом, которое можно перехватить.

Как пилотный проект возможность идентификации по отпечатку пальца стартует в январе 2017 г., полномасштабное внедрение планируется в феврале – обновленное приложение появится в App Store и Google Play. Данная возможность является развитием текущей технологии, используемой в Мобильном банке для физических лиц Банка ВТБ. Тестовая аудитория пилота будет состоять из сотрудников банка. Тестовая группа будет насчитывать несколько десятков человек.

Идея проекта зародилась еще в Банке Москвы, который стал частью ВТБ в мае 2016 г., однако окончательное внедрение функциональности с поддержкой биометрической аутентификации будет проходить в так называемом «большом» ВТБ. Новая возможность будет доступна для всех пользователей мобильного приложения ВТБ.

ВТБ заявляет, что является первым в мире банком, организовавшим подтверждение транзакции с помощью отпечатка пальца. Похожая система, с использованием уникального ключа, который хранится только в памяти смартфона, но без отпечатка пальца, была разработана компанией Gemalto и используется в европейском банке BNP Paribas. Решение называется Ezio Mobile Protector.

Сервис подтверждения транзакции по отпечатку пальца будет внедряться в так называемом «большом» ВТБ

Подтверждение транзакций отпечатком пальца не следует путать с биометрической идентификацией пользователя по видео и голосу, которая уже действует в банке ВТБ24. Новая функциональность ВТБ, встроенная непосредственно в приложение Мобильный банк, предлагает клиентам подтверждать именно транзакции, в то время как ВТБ24 позволяет пока только биометрически удостоверять личность при входе в мобильное приложение, а способ подтверждения транзакций остается традиционным, пояснили CNews представители банка.

Технология PLA

Подтверждение транзакции с помощью отпечатка пальца – это развитие технологии PLA (PIN less Authentication), разработанной компанией MasterCard, которую ВТБ использует в мобильном приложении с декабря 2015 г. Изначально технология MasterCard была рассчитана на использование аутентификационных возможностей банковских карт с платежным приложением, отвечающим EMV стандарту. Карта рассчитывала криптограмму транзакции, значение которой считывалось и форматировалось в так называемый CAP токен с использовании CAP-ридера – специального прибора. Значение CAP токена передавалось в рамках транзакции по аналогии со значением, полученным по смс, и тем самым выполнялось проведение двухфакторной аутентификации (по наличию карты и знанию PIN-кода).

В ВТБ технология PLA была приспособлена под использование в приложении банка для мобильных устройств. Согласно технологии, EMV-приложение банковской карты переносится на мобильное устройство. При этом ключи приложения хранятся в программном криптоконтейнере. Технология подразумевает безпиновую аутентификацию, то есть вместо проверки PIN-кода, значения которого хранится на устройстве или хосте банка, вводится специальный код (passcode), значение которого знает только сам пользователь. Также применяется так называемое end-to-end шифрование, то есть между мобильным аутентификационным приложением и системой аутентификации используется защищенный канал взаимодействия (замена смс-канала).

Как происходит аутентификация и подтверждение транзакции

В ВТБ разъяснили Cnews, как проходит аутентификация и подтверждение транзакции с помощью технологии PLA. В процессе аутентификации клиент запускает приложение на смартфоне, оно отправляет запрос в систему мобильного аутентификационного приложения-криптобиблиотеки (MAA). Пользователь вводит passcode, MAA расшифровывает ключ аутентификационного приложения, рассчитывает набор криптограмм, а затем формирует CAP-токен.

После этого MAA диверсифицирует сессионные ключи, которые будут использоваться для организации защищенного соединения между приложением и сервером системы аутентификации. Затем приложение на смартфоне отправляет в систему аутентификации сформированный CAP токен. Далее система СА выполняет вычисления, касающиеся криптограмм, и сравнивает полученное и рассчитанное значение CAP токена. После этого аутентификация считается завершенной, устанавливается защищенное соединение.

При подтверждении транзакции система аутентификации направляет в МАА зашифрованную команду. МАА на защищенной одноразовой форме отображает детали операции и предлагает подтвердить ее с помощью pass-кода, известного только самому клиенту. Далее с использованием полученного значения passcode МАА расшифровывает ключ аутентификации приложения, рассчитывает криптограмму и формирует CAP токен с использованием критических данных транзакции (TDS). Приложение отправляет в систему зашифрованное значение токена, система аутентификации проводит вычисления и сравнивает полученное и рассчитанное значение. Если значения совпадают, транзакция признается валидной.

Банк Москвы и ВТБ

Банк Москвы, в котором изначально зародилась идея аутентификации по отпечатку пальца, существовал с 1995 по 2016 гг. Банк имел 267 подразделений, обслуживал около 114 тыс. корпоративных и 9 млн частных клиентов. Являлся опорным банком московских властей в период пребывания Юрия Лужкова на посту мэра города. После отставки Лужкова в 2010 г. против владельцев и руководства банка были возбуждены многочисленные уголовные дела, связанные с хищениями и злоупотреблениями.

В 2011 г. Банк ВТБ выкупил 51% акций Банка Москвы. Ушедший в том же году с поста гендиректора Банка Москвы Андрей Бородин оставил после себя проблемные активы на p366 млрд, большая часть этих долгов до сих пор не погашена ВТБ. 

В 2016 г. ВТБ увеличил свою долю в Банке Москвы до 100%. 10 мая 2016 г. Банк Москвы перестал существовать как самостоятельный банк, войдя в состав ВТБ. В ходе процедуры Банк Москвы был разделен на Банк Специальный и БМ Банк. Активы Банка Специальный стоимостью около p900 млрд перешли на баланс ВТБ. Около p400 млрд осталось в БМ Банке, который является правовым преемником Банка Москвы и проходит санацию.

Валерия Шмырова

Короткая ссылка