Хотя, согласно пояснениям банка, данные изменения коснутся пока только интернет-покупок при помощи системы 3D Secure, все идет к тому, что карточки с паролями совсем скоро станут историей. Необходимость введения жестких ограничений, в результате которых паролевые карты станут практически бесполезными, продиктована соответствующей директивой ЕС. Страны-участницы должны привести свое законодательство в соответствие с положениями директивы не позднее 13 января 2018 года.

Евросоюз требует большей безопасности

”Происходящие в банках изменения в системе аутентификации вызваны прежде всего соответствующей общеевропейской директивой (Вторая директива о платежных услугах (PSD2)), целью которой является увеличение безопасности и предупреждение участившихся в последние годы в Европе случаев мошенничества, связанных с идентитетом, в том числе с денежными переводами”, — сказал аналитик Департамента государственной инфосистемы Анто Вельдре.

”Для Эстонии данная директива означает существенные изменения на рынке, поскольку она не позволяет людям и дальше пользоваться картами кодов. Вернее, позволяет, но с ограничениями, которые делают использование этих карт на практике бессмысленным. Согласно статье 97 данной директивы (аутентификация), доступ в интернет-банки впредь должен будет осуществляться только посредством т.н. сильной аутентификации, которая состоит из двух факторов: например, того, что клиент знает, и того, что клиент имеет. С этой точки зрения у карточки с кодами есть две существенные проблемы: то, что находящееся на ней знания являются одновременно и предметом, и то, что этот предмет не безопасен (не использует криптографию и сертификаты)”, — объяснил эксперт.

Вельдре подчеркнул, что Эстония по сравнению с другими странами имеет весомое преимущество в виде ИД-карт: ”В Европе — иная проблематика, поскольку в других странах такого удобного и одновременно исключительно безопасного средства идентификации как ИД-карта просто нет. Даже если где-то и существует пластик с чипом, то на чипе отсутствуют сертификаты, позволяющие совершать электронные сделки. И даже если в какой-то отдельной стране и есть сертификаты, то процесс их выдачи не столь строгий, как в Эстонии”.

Ограничения рано или поздно приведут к упразднению

”Использование кодовых карт неуклонно сходит на нет, — пояснил руководитель отела электронных банковских услуг прибалтийского региона SEB Рагнар Тоомла — На сегодняшний день имеются такие намного более удобные и безопасные решения, как Smart-ID, Mobiil-ID и ИД-карта, поэтому мы советуем всем нашим клиентам пользоваться именно ими. В будущем возможности использования кодовых карт станут еще более ограниченными, и, вероятно, в определенный момент они просто станут ненужными. Когда именно карточки с паролями выйдут из обихода, пока говорить рано”.

Тоомла тоже отмечает, что в связи с общеевропейскими регуляциями на совершаемые при помощи кодовых карт действия будут наложены такие ограничения, что дальнейшее их использование станет просто нерациональным. ”Начиная с января 2018 года, согласно правовым актам ЕС, уменьшится дневной лимит платежей, совершаемых при помощи идентификации на основании кодовой карты. Окончательный текст пока не принят, в последней версии приводятся такие суммы как 30 евро на один платеж и 100 евро в день. Это ограничение касается не всех платежей, а только тех, что имеют высокий риск. Поэтому, например, повседневные платежи поставщикам коммунальных услуг затронуты не будут”, — сказал он и подчеркнул, что в любом случае данное решение не является достаточно безопасным.

”Кодовые карты недостаточно безопасны, поскольку эти данные очень легко поддаются копированию. Беспокойство вызывает при этом не только безопасность банковского счета, но и потенциальная возможность кражи индентитета, поскольку через интернет-банк возможно войти также в электронные системы обслуживания других поставщиков услуг. В связи с этим крайне важно сделать доступ к интернет-банку максимально безопасным”, — отметил Тоомла.

Технологии продвинулись — пора идти дальше

Специалист по коммуникации Swedbank Кристель Петерсон также отметила, что вводить ограничения банки заставляют принятые на европейском уровне решения. ”Swedbank не принимал решения о ликвидации или сохранении карточек с паролями. Тем не менее, общеевропейские поправки к закону обязывают все банки в скором времени внедрить более жесткие требования при идентификации клиентами своей личности и подтверждении платежей, в том числе ограничить совершаемые при помощи кодовой карты сделки, — прокомментировала она. — Это означает, что если сейчас в день при помощи карты с паролями можно совершать сделки в пределах 200 евро (в мобильном банке и интернет-банке), то при вступлении ограничений в силу при помощи карточки можно будет совершать платежи в размере до 100 евро, и то при условии, что клиент в определенное время вошел в банк при помощи сильного средства аутентификации (Smart-ID, ИД-карта, Mobiil-ID, ПИН-калькулятор)”.

”В связи с этим одной лишь картой паролей в будущем пользоваться будет нельзя, разве только для просмотра определенной информации, а при превышении суммы платежей будет необходимо идентифицировать себя при помощи сильного метода аутентификации. Причиной ограничения стал тот факт, что за 20 лет использования карточек паролей технологии существенно продвинулись. Поскольку люди потребляют все больше дигитальных услуг, то и регуляция обращает внимание на то, чтобы их использование было удобным и безопасным”, — отметила Петерсон.

Nordea уже вывел кодовые карты из обихода

Если SEB и Swedbank пока еще не упразднили карточки паролей, то банк Nordea уже сделал это. ”Начиная с 1 апреля 2017 года клиенты Nordea не могут пользоваться кодовыми картами на бумажном носителе для аутентификации при входе в интернет-банк и мобильный банк”, — сообщила специалист по коммуникации Nordea Яна Кучинская.

”Несмотря на то, что при помощи ИД-карты, Mobiil-ID и постоянного пароля пользоваться интернет-банком и мобильным банком по-прежнему можно, мы попросили своих клиентов заказать себе кодовое приложение Nordea или цифровой ключ, поскольку они станут единственным средством установления личности в мобильном банке и далее будут важным запасным решением при использовании каналов Nordea”, — сказала она.

Как и все остальные, Кучинская отмечает несоответствие карт необходимым требованиям безопасности: ”Не позднее 13 января 2018 года Эстония должна будет принять вторую директиву ЕС о платежных услугах, в связи с которой банки и другие поставщики платежных услуг должны обеспечить клиентам при совершении денежных переводов по интернету безопасную идентификацию личности. Находившиеся до этого в использовании карты с паролями не соответствуют требованиям сильной безопасности. Они считаются небезопасными, поскольку коды можно легко скопировать”.

Альтернативы тоже несовершенны?

Несмотря на то, что паролевые карточки по-прежнему являются для многих самым удобным средством аутентификации, совершенно ясно, что переход на альтернативные методы неизбежен. Однако, похоже, у большинства из них также наблюдаются определенные недостатки. Так, например, Mobiil-ID имеет ежемесячную плату, Smart-ID предполагает наличие смартфона, ПИН-калькулятор тоже стоит денег, а с аутентификацией при помощи ИД-карты у пользователей постоянно возникают различного рода проблемы.

”Следует признать, что постоянные очень резкие мировые изменения в архитектуре безопасности интернет-браузеров в последние 2-3-4 года, действительно, привели к ситуации, когда в вопросе идентификация при помощи ИД-карты важную роль играет своевременность обновлений и установления программ, как со стороны поставщика услуги, так и со стороны клиента. Ситуацию можно было бы исправить своевременным обновлением программ, как клиентом, так и поставщиком”, — признал наличие проблемы Вельдре.

В качестве самой передовой альтерантивы SEB советует пользоваться решением Smart-ID. ”Из современных методов аутентификации советуем использовать представленное в начале года решение Smart-ID, которое является бесплатным, очень простым и безопасным способом аутентификации. Единственным ограничением в его использовании является наличие смартфона, — сказал Тоомла. — Зато Mobiil-ID работает и на более старых телефонах. Дополнительной альтернативой является также ПИН-калькулятор”.

”Мы понимаем наших клиентов, которые за десятилетия привыкли пользоваться кодовыми картами, но призываем их попробовать новые, более удобные и безопасные методы аутентификации. Сейчас карточку с паролями можно сравнить с чековой книжкой, которая в свое время стала прорывом и большим новшеством, а к сегодняшнему дню полностью устарела”, — добавил представитель SEB.

”Безусловно, каждый клиент волен выбирать сам, какое средство аутентификации он желает использовать. Альтернативами паролевой карточки являются приложение Smart-ID (бесплатно), ИД-карта, Mobiil-ID (месячная плата до 1 евро в зависимости от оператора) и ПИН-калькулятор (15 евро)”, — перечислила имеющиеся возможности Кристель Петерсон.

Банк Nordea наряду со стандартными альтернативами (кроме Smart-ID) предлагает и специальные решения, советуя использовать именно их. ”Nordea предлагает своим клиентам несколько удобных и более безопасных по сравнению с паролевыми картами альтернатив: бесплатное кодовое приложение Nordea, которое работает на всех платформах даже при выключенной мобильной связи; новый цифровой ключ, который схож с ПИН-калькулятором и является бесплатным для всех частных клиентов старше 60 лет; вход при помощи ИД-карты, Mobiil-ID и постоянного пароля”, — сказала Яна Кучинская.

Сотни тысяч клиентов

Несмотря на разговоры о крайней небезопасности кодовых карт, в полицию за последнее время сообщений о связанных с ними злоупотреблениях не поступало.

”Не припомню, чтобы за последние два года в полицию поступали сообщения о случаях мошенничества, связанных с паролевыми карточками, — сказала пресс-секретарь Департамента полиции и погранохраны Кертту Кралл. — Точную цифру назвать сложно, поскольку отдельной статистикой по связанным с картами паролей правонарушениям полиция не располагает”.

По подсчетам Swedbank, на данный момент кодовыми картами пользуются около 300 000 клиентов банка. Представитель SEB точную цифру назвать затруднилась, но отметила, что речь идет о порядка 45% клиентов.

Поделиться
Комментарии