Проблемы идентификации клиента
А.Ануфриев
Проблемы идентификации клиента при удаленном
обслуживании
Персональный номер (идентификатор) (Personal Identification Number, PIN) -
это последовательность цифр, используемая для идентификации клиента. По способу
назначения можно выделить следующие типы PIN: - назначаемые выведенные
PIN; - назначаемые случайные PIN; - PIN, выбираемые пользователем.
Клиент различает только два типа PIN: PIN, который назначен ему банком,
выдавшим карточку, и PIN, который пользователь может выбирать себе
самостоятельно. В связи с тем, что PIN предназначен для идентификации клиента,
его значение должно быть известно только клиенту. Однако на практике PIN трудно
удержать в памяти, поэтому клиент банка обычно его записывает, часто прямо на
карточку, что облегчает задачу злоумышленника.
Для большего удобства клиента используются PIN, выбираемые им самим. Такой
способ определения PIN, во-первых, позволяет клиенту использовать один и тот же
PIN для различных целей, и, во-вторых, позволяет задавать PIN как совокупность
букв и цифр.
PIN обычно состоит из 4-6 цифр. Следовательно, для его перебора в
наихудшем случае необходимо осуществить 10.000 комбинаций (4-х символьный
PIN). Такой перебор возможен за короткое время. Поэтому в системах, использующих
такой PIN , должны быть предусмотрены меры защиты от подбора PIN.
Всего существуют два основных способа проверки PIN: алгоритмический и
неалгоритмический.
Алгоритмический способ проверки заключается в том, что у пользователя
запрашивается PIN, который преобразуется по определенному алгоритму с
использованием секретного ключа и затем сравнивается со значением PIN,
хранившемся на карточке. Достоинством этого метода проверки является: -
отсутствие копии PIN на главном компьютере, что исключает его раскрытие
персоналом банка; - отсутствие передачи PIN между автоматическим кассовым
аппаратом (АКА) и главным компьютером банка, что исключает его перехват
злоумышленником или навязывание результатов сравнения; - облегчение работы по
созданию программного обеспечения системы, исключающего необходимость
действовать в реальном масштабе времени.
Неалгоритмический способ проверки PIN, как это следует из его названия, не
требует применения специальных алгоритмов. Проверка PIN осуществляется путем
прямого сравнения полученного PIN со значениями, хранимыми в базе данных.
Часто сама база данных со значениями PIN шифруется прозрачным образом, чтобы
не затруднять процесс сравнения, но повысить ее защищенность.
Как происходит генерация PIN? Вначале номер счета клиента дополняется нулями
или другой константой до 16 шестнадцатеричных цифр (8 байт). Затем эти 8 байт
шифруются с использованием секретного ключа. Из получившегося,
звшифрованного 8-ю байтами текста, начиная с младших байт, выделяют по 4 бита.
Если значение числа, образуемого этими битами менее 10, то полученная
цифра включается в PIN, иначе значение отбрасывается. Таким образом,
обрабатываются все 8 байт (64 бита). Если в результате обработки не удалось
получить требуемое количество десятичных цифр, то из неиспользуемых комбинаций
вычитается 10.
В том случае, когда необходимо получить выбираемый пользователем PIN, то
каждая его цифра складывается по модулю 10 с соответствующей цифрой выведенного
PIN (без учета переноса). Получаемое десятичное число называется «смещением» и
запоминается на карточке. Так как выводимый PIN имеет случайное значение, то
невозможно получить выбранный пользователем PIN по его «смещению».
В настоящее время идет дискуссия по поводу применения PIN для идентификации
клиентов. Его сторонники утверждают, что вскрытие PIN, например, в
Великобритании составляет несколько случаев в месяц против несколько сотен
миллионов проводимых транзакций в год.
Противники же доказывают, что идентификация клиента с использованием PIN
работает только в следующих случаях: - отсутствует перехват карточки и/или
PIN при передаче от банка клиенту; - банковские карточки не воруют, не теряют
и их невозможно подделать; - PIN невозможно узнать при доступе к системе
другим пользователем; - PIN иным образом не может быть скомпрометирован; -
в электронной системе банка отсутствуют сбои и ошибки; - в самом банке нет
мошенников.
В качестве альтернативы PIN предлагается применять устройства идентификации,
основанные на биометрическом принципе. Их широкое применение пока сдерживается
высокой стоимостью. Однако к ним проявляется все больше интереса.
Об авторе: Ануфриев Александр Евгеньевич В 1997 г. окончил РГАФК
(Российская Государственная Академия Физической Культуры),кафедру теории и
методики преподавания восточных единоборств. В 2003-2004 гг. получил
дополнительное образование в ИББЛ по специальности экономическая безопасность
фирмы. Обучает простой и очень эффективной японской системе медитации
Сей-За(побочными эффектами такой практики являются:здоровье,ясность
мышления,уверенность,ощущение внутренней психологической безопасности,увеличение
внутренней свободы,радости,силы и т.п.).Увлекается и занимается
антиквариатом,спортом, развитием своих возможностей. " <sashel69@yandex.ru>
|