Способы защиты электронных денег

Деньги имеют почти столь же древнюю историю, как и человеческая цивилизация. В прошлом веке мы столкнулись с феноменом электронных денег, которые в веке нынешнем стали еще более распространенными и, по некоторым прогнозам, к концу столетия могут полностью вытеснить привычные бумажные и металлические деньги. С самого момента своего появления все виды денег являлись лакомым кусочком для мошенников. Не стали исключением и электронные деньги. Правда, их нельзя подделать привычным способом, но все же для борьбы с мошенничеством в сфере электронных валют нужны не менее серьезные меры безопасности, чем при защите традиционных денежных знаков. О способах защиты электронных денег мы и поговорим в данной статье.

Пароли


Само по себе понятие "пароль", знакомое, пожалуй, всем, подразумевает ввод определенной последовательности символов, известной только конкретному пользователю. В разных платежных системах пароль может называться по-разному: контрольный код, PIN-код и др., но суть его от этого не меняется. Все электронные валюты используют этот простой, но в то же время достаточно эффективный способ защиты доступа к счету клиента. Кроме того, многие электронные платежные системы для повышения безопасности используют не один, а несколько паролей, которые вводятся пользователем на разных этапах работы со своим счетом. Например, в белорусской платежной системе EasyPay для защиты от несанкционированного доступа помимо пароля доступа к операционной странице применяются многоразовые или одноразовые контрольные коды. Последние хранятся на специальной карте и закрыты слоем непрозрачной краски, которая стирается пользователем непосредственно перед вводом кода. Каждый такой код может использоваться только один раз, после чего становится недействительным (это, кстати, дополнительная мера защиты электронных денег, характерная только для EasyPay). Контрольный код вводится при совершении любой транзакции и служит для дополнительной защиты на случай, если, например, владелец счета зашел на свою операционную страницу, а потом отошел от компьютера, не закрыв ее. Таким образом, другому человеку нужно знать еще и контрольный код, чтобы совершить операцию с деньгами на чужом электронном счете. Подобная система безопасности используется и в известной российской платежной системе ЯндексДеньги, только там такой пароль называется "платежный пароль", а также в системе RuPay, где он называется "пароль платежа". В системе WebMoney помимо пароля доступа к кошельку применяется пароль доступа к файлу ключей (речь о котором пойдет ниже). Пластиковые карточки, являющиеся самым старым видом электронных денег, также при каждом использовании запрашивают пароль, именуемый PIN- кодом. Поскольку PIN-код состоит только из цифр (в нем нельзя использовать буквы или специальные символы), а также имеет небольшую длину (как правило, 4 цифры), то стойкость такого пароля является невысокой. В связи с этим применяется еще одна дополнительная мера защиты денег, хранящихся на пластиковой карте — карта блокируется после нескольких (обычно трех) неудачных попыток ввода PIN-кода.

Таким образом, пароль, являясь достаточно простым способом обеспечения безопасности электронных денег, присутствует в разных ипостасях во всех электронных платежных системах. Правда, это не самый надежный способ обеспечения сохранности денег на электронном счете, и, как правило, пароль дополняется другими мерами защиты, среди которых:

Файлы ключей

Применяются, в частности, в платежной системе WebMoney. При регистрации нового кошелька пользователь получает файл, в котором хранятся "ключи" от этого кошелька. Без этого файла злоумышленник, даже зная пароль, не сможет открыть кошелек. И, наоборот, даже иметь файл ключей недостаточно для того, чтобы воспользоваться кошельком — нужно знать еще и пароль. В свою очередь, файл ключей защищен своим паролем. Таким образом, для того, чтобы открыть кошелек WebMoney, нужно три вещи: пароль от кошелька, файл ключей, пароль от файла ключей. Для надежности файл ключей должен храниться на сменном носителе (например, флэшке), иначе злоумышленник, получив доступ к вашему компьютеру, автоматически получает доступ и к файлу ключей. Ну и в любом случае нужно сделать резервную копию такого файла, ведь в случае его утери вы и сами не сможете открыть свой кошелек.

Экранная клавиатура

Достаточно оригинальную меру безопасности — экранную клавиатуру — использует платежная система EasyPay. Вместо того, чтобы вводить контрольный код с клавиатуры компьютера, можно воспользоваться виртуальной клавиатурой, изображенной на экране, и нажать соответствующие цифры мышью. С одной стороны это снижает безопасность в том плане, что кто-то другой может подсмотреть контрольный код, который вы вводите; с другой — экранная клавиатура защищает от кейлоггеров (программ — клавиатурных шпионов). Стоит заметить, что с клавиатурными шпионами нужно бороться с помощью специальных программ, описание которых выходит за рамки данной статьи. Однако экранная клавиатура может быть полезна, например, если вы работаете на чужом компьютере и не уверены, что нажимаемые вами клавиши не записываются в лог-файл. А помимо клавиатурных шпионов есть и вполне законные программы, устанавливаемые самим пользователем, которые записывают все действия пользователя (в том числе и движения мышью), а потом могут их воспроизводить. Таким образом, пользоваться экранной клавиатурой или вводить цифры вручную, пользователь должен решать в зависимости от обстоятельств.

Контрольная фраза

Используется, в частности, все в той же системе EasyPay. Смысл ее заключается в том, что каждый пользователь системы либо выбирает одну из предложенных, либо пишет свою фразу, которая будет отображаться в заголовке его операционной страницы. Обычно это какое-нибудь известное выражение. По идее, каждый пользователь должен иметь уникальную контрольную фразу. Использование контрольной фразы позволяет бороться с фишингом — разновидностью интернет-мошенничества, которая заключается в массовой рассылке писем пользователям с просьбой зайти на определенную страницу и ввести там свой пароль. Пользователь, открывая свою операционную страницу, видит свою же контрольную фразу. Если же эта фраза отличается от оригинальной либо отсутствует — значит, в силу каких-то обстоятельств пользователь попал на ненастоящую страницу платежной системы.

Блокировка счета

Такой способ защиты электронных денег применяется в случае, если ни одна из предусмотренных мер безопасности уже не может обеспечить сохранность денежных средств на счете (пользователю стало известно, что кто-то узнал или украл его пароль, была утеряна пластиковая карта и др.). В таком случае посредством звонка, СМС-сообщения либо другим способом пользователь принудительно блокирует свой электронный счет, делая невозможными любые операции с его использованием. Поскольку это радикальная мера, она имеет почти абсолютную надежность (если заблокировать счет вовремя) и как следствие используется практически всеми ныне существующими платежными системами.
В заключение приведем сводную таблицу наиболее распространенных в настоящее время на территории СНГ электронных денег с указанием
применяемых ими способов обеспечения безопасности.

Способы защитыWeb
Money
Яндекс
Деньги
Easy
Pay
Money
Mail
Ru
Pay
Пластиковые 
карты
Пароль доступа к счету++++++
Пароль подтверждения платежа ++ + 
Файл ключей+     
Экранная клавиатура  +   
Контрольная фраза  +   
Блокирование счета++++++


Стоит заметить, что большее количество способов защиты вовсе не означает лучшую безопасность, ведь каждый из рассмотренных нами способов имеет разный уровень надежности. Кроме того, наиболее уязвимым местом практически любой системы безопасности является пресловутый "человеческий фактор". Поэтому не лишним будет напомнить о некоторых правилах, соблюдение которых поможет уберечь ваши электронные деньги:

— пароли лучше всего помнить наизусть, ну, а если и записывать, то хранить эти записи в очень надежном месте;
— файлы, отвечающие за безопасность электронного счета, нельзя хранить на доступных носителях, но всегда желательно делать их резервную копию;
— при вводе пароля, будь то клавиатура компьютера или банкомат, нужно убедиться, что за вашими действиями никто не наблюдает;
— при использовании своего электронного счета с чужого компьютера соблюдайте особую осторожность, при вводе пароля не позволяйте браузеру его сохранять;
— платежные системы никогда не просят пользователя сообщить свой пароль каким бы то ни было способом, поэтому в случае получения письма или телефонного звонка с просьбой сообщить пароль, будьте уверены: вы имеете дело с мошенниками.

Дмитрий Макарский, d.makarski@gmail.com


Компьютерная газета. Статья была опубликована в номере 34 за 2007 год в рубрике безопасность

©1997-2024 Компьютерная газета