Безопасность системы

В системе интернет-банкинга "Мой Банк" имеется несколько уровней защиты.

Во-первых, все онлайн-операции в системе проходят с использованием защищенных протоколов TLS и SSL, обеспечивающих конфиденциальность и целостность данных при связи клиента и банка.

Во-вторых, вход на сайт системы осуществляется с использованием логина и пароля, к оторые известны только пользователю. Пароль может меняться клиентом по его усмотрению.

В-третьих, все операции, совершаемые в системе, должны быть авторизованы либо сеансовыми ключами, либо электронной цифровой подписью.

Электронная цифровая подпись для системы "Мой банк" Про. Наибольшую степень защиту данных в системе гарантируют сертифицированные в РБ средства генерации электронной цифровой подписи (ЭЦП). В этом случае секретный ключ клиента хранится на специальном USB-устройстве (аналог смарт-карты). При использовании ЭЦП применяются криптостойкие алгоритмы шифрования, практически исключающие возможность дешифрования передаваемых документов и их намеренного изменения злоумышленниками. При использовании ЭЦП создание неавторизованных платежей вредоносными программами (вирусы, трояны и др.) практически не возможно.

Работа с ЭЦП возможна только под ОС Windows. Подробнее о требованиях вы можете прочитать здесь.

Для работы с ЭЦП клиенту необходимо установить дополнительное программное обеспечение с сайта МТБанка.

Сеансовые ключи.

Сеансовые ключи могут быть переданы в банке на бумажном носителе или сгенерированы клиентом самостоятельно с использованием технологии MobiPass.

Комплект сеансовых ключей на бумажном носителе представляет собой уникальный нумерованный список десятизначных числовых кодов. Для подтверждения проведения операции клиенту будет необходимо ввести сеансовый ключ из списка с номером, который будет указан «Моим Банком». 

Если клиент три раза попытается ввести неправильный сеансовый ключ, то данный ключ будет заблокирован, а для подписи документа будет активизирован другой ключ из комплекта. Такая схема снижает возможность онлайнового подбора сеансового ключа. 

MobiPass (открыть инструкцию по установке и настройке MobiPass) - это технология генерации сеансового ключа - аналога собственноручной подписи клиента - посредством Java-приложения на мобильном телефоне клиента. Предназначена для самостоятельного формирования клиентом одноразовых ключей в том месте, в то время и в том количестве, в которых это необходимо для пользования банковскими услугами, предоставляемыми системой «Мой Банк». 

MobiPass позволяет на мобильном телефоне в ответ на ввод указанного банком 6-значного кодового числа документа получить одноразовый ключ - аналог собственноручной подписи клиента. В отличие от таблицы одноразовых ключей, «MobiPass» позволяет получить неограниченное число таких ключей и избавляет клиента от необходимости посещать офис банка по мере использования одноразовых ключей.

При необходимости подписать документ в подсистеме «Мой банк» пользователю сообщается (выводится на экран) 6-значное кодовое число документа, которое необходимо ввести в мобильный телефон. В ответ «MobiPass» вычисляет 6-разрядное значение одноразового ключа, необходимого для подтверждения проведения операции. В целях защиты от несанкционированного использования «MobiPass» требует ввода персонального 4-значного PIN-кода при генерации каждого одноразового ключа.

Пример работы приложения MobiPass на телефоне

Технология «MobiPass» основана на открытом стандарте Open Authentification, широко применяемом в мировой практике и гарантирующем достаточный уровень безопасности. Подробнее о технологии Open Authentification можно узнать на сайте http://www.openauthentication.org.
Если введенное число не верно, то у клиента есть ещё две попытки на ввод одноразового ключа, после чего его учётная запись блокируется.

Внимание. В случае утери телефона с установленным приложением «MobiPass», клиент должен немедленно позвонить в Банк и заблокировать доступ к системе.

«MobiPass» более безопасен в использовании, чем сеансовые ключи, так как позволяет контролировать неизменность подписанного документа, но менее безопасен, чем ЭЦП, поскольку ЭЦП базируется на ассиметричных алгоритмах подписи и банк не знает секретной части ключа, который есть у клиента.  Однако по сравнению с ЭЦП работа с «MobiPass» проще, т.к. для подтверждения документа используются 6-значные ключи, и для их вычисления можно использовать мобильный телефон, в то время как для использования ЭЦП обязательно требуется  установка на компьютер пользователя дополнительного программного обеспечения.