Заставив своих клиентов вводить коды со скретч-карт при входе в систему интернет-банкинга, Промсвязьбанк вызвал волну недовольства пользователей. Судя по сообщениям в «Народном рейтинге», многие восприняли такой шаг как возврат к устаревшим технологиям.
В начале апреля Промсвязьбанк обязал клиентов использовать скретч-карты (таблицы разовых ключей, ТРК) при входе в систему интернет-банка PSB-Retail. Это нововведение банка пришлось не по вкусу многим его клиентам. «Чтобы получить таблицу ключей, это же надо явиться в офис банка физически, то есть потратить время! — пишет в «Народном рейтинге» посетитель портала под ником Varyag_53. — Далее — на ТРК лежит 114 ключей. Системой PSB-Retail я пользуюсь, мягко говоря, активно: как минимум два входа в день. Такими темпами мне ТРК придется менять раз в два месяца! Да и вообще — вы там представляете, как все это выглядит в действии? Десятки тысяч людей сидят перед мониторами и старательно соскребают подручными средствами полоску со скретч-карты! Анахронизм какой-то!»
Новшество Промсвязьбанка задело за живое две основные группы клиентов. Во-первых, тех, кто регулярно подключается к системе интернет-банкинга, но лишь за тем, чтобы проверить состояние счетов, и крайне редко совершают онлайн-трансакции. Дело в том, что для входа одноразовый код прежде не требовался, достаточно было ввести обычный «постоянный» логин и пароль. Соответственно, коды со скретч-карт расходовались экономно — лишь для подтверждения трансакций, и карточек хватало надолго. Другой группой недовольных оказались продвинутые пользователи, привыкшие подтверждать трансакции не одноразовым кодом со скретч-карты, а более продвинутым способом — сертификатом (электронной цифровой подписью). Они, говоря словами форумчанина ihmal, призывают банк «глядеть вперед, а не оборачиваться назад».
ПСБ объясняет свои действия необходимостью предотвращать возможное мошенничество в онлайн-банкинге. И обещает в ближайшем будущем предоставить клиентам свободу выбора — использовать код для подтверждения входа в интернет-банк или нет. «С 3 апреля мы установили обязательную проверку ключа из ТРК на входе в интернет-банк, — пояснил директор департамента розничных продуктов и технологий Промсвязьбанка Иван Пятков. — Но некоторым это нововведение показалось не очень удобным, и мы в самое ближайшее время предоставим клиентам возможность самостоятельно отключать или подключать опцию, предварительно ознакомившись с рекомендациями по безопасности при работе в интернет-банке». И 13 апреля банк официально объявил о том, что ввел упомянутую выше возможность отказаться от ввода ключа с ТРК.
Скретч-карты или таблицы с одноразовыми паролями, которые можно получить в офисе банка либо распечатать в банкомате, являются одним из самых старых, а потому распространенных элементов защиты платежей в интернет-банкинге. Со временем банки дополнили таблицы с одноразовыми кодами возможностью подтверждать операции с помощью электронной цифровой подписи.
Пик популярности скретч-карт пришелся на начало 2000-х годов, при этом драйверами их распространения стали не банки, а сотовые компании, чьи абоненты использовали карты со стирающимся покрытием для пополнения счетов. Мобильные операторы первыми же и отказались от скретч-карт как от основного канала привлечения клиентских средств, сочтя соскребание фольги с пластика удовольствием сомнительным — неудобным для пользователей и дорогим для самих сотовых компаний.
Банковские скретч-карты в отличие от операторских «многоразовые» — на одной карте можно разместить более сотни одноразовых кодов. В этом плане технология менее затратна для банка и более удобна клиентам — ходить за карточкой с кодами в офис банка или за таблицей к банкомату нужно не каждый день.
Часть клиентов Промсвязьбанка считают, что будущее за SMS-паролями, и призывают кредитную организацию поскорее внедрить эту технологию. Некоторые банки уже сделали серьезную ставку на SMS. Такой способ подтверждения платежей выбрал для себя, в частности, Абсолют Банк. Здесь уверены, что в скором времени все продвинутые или даже просто здравомыслящие кредитные учреждения придут к аналогичной схеме. А вот в Пробизнесбанке, напротив, считают SMS-пароли «очень слабой защитой».
В Промсвязьбанке с этим не совсем согласны. Эта кредитная организация, несмотря на то что в апреле прибегла к помощи такого «анахронизма», как предъявление одноразового пароля со скретч-карты при входе в интернет-банк, давно смотрит в сторону более модных одноразовых SMS-ключей. Не исключено, что Промсвязьбанк в скором времени введет такую услугу. Тем более что издержки при использовании технологий SMS-подтверждения, ЭЦП или скретч-карты в банке считают приблизительно одинаковыми. То есть экономии от использования одной технологии взамен другой для кредитной организации нет.
Технологии, которая могла бы считаться наиболее выгодной для любого банка, не существует — все зависит от множества факторов: размера и структуры клиентской базы, стратегии развития, технологических особенностей. Так считают в ВТБ 24.
Несмотря на «анахронизм» скретч-карт, полностью отказываться от них банки не будут. По мнению экспертов ВТБ 24, все технологии защиты имеют свои недостатки: банкоматная лента является тем же набором паролей, что и скретч-карта, но еще менее удобна и непрактична. Подписание операций электронной подписью позволяет добиться высокого уровня безопасности, но установка и настройка необходимого программного обеспечения является длительным и сложным процессом для обычного пользователя интернет-банка. USB-токены решают первую и вторую проблемы, но являются довольно дорогостоящими, соответственно, на их приобретение готов пойти далеко не всякий банк. По мнению начальника отдела дистанционного банковского обслуживания ВТБ 24 Елены Дегтевой, текущая популярность скретч-карт обусловлена в первую очередь близким к оптимальному соотношением: безопасность / удобство использования / стоимость.
И в Альфа-Банке не сомневаются, что скретч-карты свое еще не отжили и «более чем удовлетворяют потребности в обеспечении безопасности», но, к сожалению, так же как и другие средства защиты, не позволяют уберечь пользователя от фишинга.
НОМОС-Банк, относительно недавно приступивший к раскрутке своего интернет-банкинга, сделал ставку на инновации — чипованные карты и технологию DPA/CAP, которая подразумевает использование карты со встроенным чипом совместно со специальным устройством (криптокалькулятором). По мнению экспертов НОМОС-Банка, такой подход позволяет обезопаситься даже от продвинутых целенаправленных атак.
Кард-ридер в качестве генератора паролей в этом году собирается предложить своим клиентам и ВТБ 24.
По мобильнику себе поскреби
Растущий интерес клиентов к использованию мобильных приложений для банковских переводов требует от кредитных учреждений новых подходов к защите трансакций. Скретч-карты в среде поклонников смартфонов выглядят совершенно неуместными. Людям, испытывающим привязанность к новомодным гаджетам, кредитные учреждения предлагают специальные мобильные приложения, генерирующие одноразовые пароли. Примером может считаться недавно выпущенное Альфа-Банком приложение «Альфа-Ключ», работающее на всех популярных мобильных устройствах. При этом в «Альфе» уверены, что успех развития мобильного банкинга — в удобстве проведения трансакций. Соответственно, в мобильных платежах нельзя переусердствовать с дополнительными мерами предосторожности, требующими от клиента временных затрат, поэтому банкам необходимо эффективно использовать гибкую систему лимитов по операциям и задействовать все доступные «скрытые» (невидимые клиенту) механизмы защиты.
Зачастую клиентов раздражает безальтернативность — ситуация, когда кредитная организация не просто «настоятельно рекомендует» использовать тот или иной способ защиты входа в интернет-банк, но и не дает возможности защититься иным путем, более удобным для самого клиента. Банки в каком-то смысле идут клиентам навстречу, но в плане предложения иного варианта защиты они, как правило, не очень креативны. Альтернативу банки чаще всего предлагают простую — защищайся, как рекомендовано, или пеняй на себя. То есть клиенту дается возможность «снять галочку» и отказаться от ввода пароля с той же скретч-карточки, но рядом будет прописано, что банк делать этого «настоятельно не рекомендует». Это, согласитесь, альтернатива весьма сомнительная. Неравнозначная, честно скажем, замена неудобного способа авторизации на никакой.
Начать дискуссию