В Сингапуре отказываются от СМС кодов в онлайн-банкинге.

В Сингапуре решили отказаться от использования одноразовых паролей (OTP), доставляемых по SMS, для входа в личные кабинеты онлайн-банков. Об этом 9 июля объявили Монетарное управление Сингапура (MAS) и Ассоциация банков Сингапура (ABS).

Ближайшие три месяца станут переходным периодом от одноразовых СМС-паролей к одноразовым паролям, генерируемым с помощью мобильных приложений - цифровых токенов (не путать с цифровыми активами!). Это решение принято в целях усиления защиты от фишинга, когда мошенники обманывают клиентов, заставляя их указать одноразовый код доступа. По крайней мере такую причину озвучивают банки и власти страны. От фишинга и социальной инженерии вряд ли такое решение защитит, но уберёт из цепочки третьего лишнего - сотового оператора.

Цифровые токены - это приложения-аутентификаторы на смартфонах, реже на ПК, которые каждые 30 секунд генерируют новый одноразовый пароль по определённому алгоритму на основе секретного ключа, состоящего из определённой последовательности символов на подобие ключа API. Такие приложения есть у компаний Google (США), Microsoft (США), Cisco (США), Алладин (РФ), Яндекс (РФ).

Обычно при использовании подобных приложений потенциальным жертвам не направляются уведомления о попытках доступа к их учётным записям, что может положительно сказаться как на безопасности, так и на душевном равновесии.

При всём вышеперечисленном остаётся вопрос о том как новое явление скажется на тех, кто не имеет возможности или не хочет пользоваться смартфоном. Спорным остаётся вопрос о том, что сам смартфон можно точно так же, как и компьютер, инфицировать вредоносной программой и спокойно перехватывать генерируемые коды. Куда уместнее было бы использовать старый и проверенный метод с физическими, т.е. аппаратными OTP-токенами, которыми в основном пользуются бизнес-клиенты банков. Такой способ физически отделит генератор одноразовых кодов от интернета и связки клиентского устройства с сервером банка. Способ подзабытый, но дельный. В настоящее время производители OTP-токенов непременно существуют, как и их продукция. Из зарубежных можно выделить: ActivIdentity, InCard, RSA, SafeNet, Vasco, VeriSign и Protectimus, Gemalto, HID. Из отечественных: Актив (марка Рутокен), Алладин. Можно так же рассмотреть нестандартное решение, как, например БАНК АВАНГАРД, у которого есть карта МИР с дисплеем.

Несмотря на возможные проблемы с которыми банки и власти обязательно столкнутся, да и тем, что Америку такое решение не откроет, тем не менее оно означает большой сдвиг в кибербезопасности и головах руководителей банков, финансовых чиновников, а так же пусть и небольшую, но всё же эволюцию защиты цифровых банковских операций.