Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Зміст

Розділ 1. Суть роботи та захист системи Інтернет-банкінгу

1.1 Процес історичного розвитку Інтернет-банкінгу

1.2 Інтернет-банкінг в Україні

1.2.1 Можливості Інтернет-банкінгу в наш час

1.2.2 Робота системи Інтернет-банкінгу

1.3 Аналіз загроз

1.3.1 Крадіжка даних для входу в систему

1.3.2 Аналіз шкідливої програми Ibank

1.4 Хакерські атаки

1.5 Нормативно-правове регулювання

1.6 Постановка задачі

Розділ 2. Методика поліпшення рівня захисту інформаційних ресурсів Інтернет-банкінгу

2.1 Оцінка існуючих методів захисту ресурсів Інтернет-банкінгу

2.1.1 Методи аутентефікації

2.1.2 SSL-протокол

2.1.3 Електронно-цифровий підпис

2.2 Система захисту Інтернет-банкінгу від Приватбанку

2.3 Система захисту Інтернет-банкінгу від Укрексімбанку

2.4 Система захисту Інтернет-банкінгу від Укрсоцбанку

2.5 Результати аналізу сучасних систем Інтернет-банкінгу

2.6 Одноразові паролі

2.7 Віртуальна клавіатура

інтернет банкінг хакерська атака пароль



Розділ 1. Суть роботи та захист системи Інтернет-банкінгу

1.1 Процес історичного розвитку Інтернет-банкінгу

У 80-х роках двадцятого століття з'явився праобраз сьогоднішніх послуг Інтернет-банкінгу - так званий віддалений банківський сервіс (the distance banking services). Через відсутність у той час Інтернету, доступ до управління своїм банківським рахунком здійснювався через звичайний телефон - через call-центр, або через більш складну автоматичну систему управління з використанням тонального сигналу телефону. Вперше подібні сервіси з'явилися в Нью-Йорку в 1981 році, коли чотири великих банки міста - Citibank, Chase Manhattan, Chemical та Manufacturers Hanover - запропонували своїм клієнтам послугу віддаленого управління рахунками через вже існуючу систему «Videotex». Для управління послугами використовувалися спеціальні термінали, оснащені клавіатурою і телевізійним екраном.

У Великобританії у 1983 році з'явилася власна система віддаленого (on-line) управління банківськими рахунками. У ній для відправлення запиту використовувався модем, підключений до телефонної лінії. А для застосування даних - окремий ТВ-канал і підключений до нього телевізор.

Перший у світі електронний банк, що обслуговує клієнтів через Інтернет - Security First Network Bank - з'явився 18 жовтня 1995 року в США. За перші півтора року існування банку середньомісячний приріст його капіталу становив 20%, активи зросли до 40млн. доларів, а кількість клієнтських рахунків - до 10 тисяч. Із серпня 2001 року SFNB став частиною Centura Bank, що входить до RBC Financial Group, створеної Royal Bank of Canada. В Європі першим віртуальним банком був німецький Advance Bank, дочірня структура Дрезденської банківської групи. Він розпочав свою діяльність у 1996р. і поступово став порталом комплексного фінансового обслуговування.

Інтернет-сервіс на Заході є одним з найбільш динамічних сегментів електронної комерції. Ще декілька років тому близько 80 з 100 найбільших банків надають послуги Інтернет-банкінгу. У США майже всі лідери американського банківського бізнесу надають послугу Інтернет-банкінгу - Citicorp, Chase, Bank of America, Wachovia/First Union, Wells Fargo та інші, які поступово стають своєрідними "супермаркетами" фінансових інтернет-послуг. За даними Online banking report, у світі налічується близько 2000 банків та інших кредитних організацій, які пропонували своїм клієнтам послуги Інтернет-банкінгу.



Таким чином, з рис. 1.1 видно, що на території країн Європи досить розвинений Інтернет-банкінг, і лідерами по популярності цього виду послуг є Швеція, Фінляндія, Голландія та Німеччина.

Однак, у банків існують певні проблеми у цій сфері, головна з яких - гарантування їх безпечної роботи.. Досвід закордонних банків засвідчує гостроту цієї проблеми, так як останнім часом Інтернет став дуже привабливим для електронного шахрайства. Тому деякі банки, зокрема великі, які мають корпоративних клієнтів, не поспішають входити у нову для них сферу діяльності. Вони зайняли очікувальну позицію, чітко відображену висловлюванням Девіда Клива - члена правління АКБ "Райффайзенбанк-Україна": "Інтернет-банкінг - більше для роздрібних банків, аніж для банків, зорієнтованих на корпоративних клієнтів. Тому ми поки що не поспішаємо із формуванням системи домашнього банкінгу (home-banking). Але як тільки клієнти виявлять достатній попит на таку послугу, ми її одразу ж запропонуємо".

Вагомою перевагою такої нетрадиційної банківської послуги як надання банківських послуг за допомогою Інтернету є відносні розміри накладних витрат, в інтернет-банках вони в 2-3 рази нижче, ніж у звичайних банках, а обробка Web-транзакцій обходиться в 5-10 разів дешевше, ніж при використовуванні традиційних каналів. Так, витрати на проведення фінансових операцій складають:

- в офісі 1,07 дол. США;

- поштою - 0,73,

- по телефону - 0,35;

- через банкомат - 0,27;

- через глобальну мережу - 0,10 дол. США.

Оплата банківських послуг через Інтернет відбувається за допомогою цифрових грошей. Цифрові гроші - система електронних цифрових знаків, випускаючи які емітент підтверджує своє зобов'язання в будь який момент часу прийняти їх у пред'явника та обміняти на паперові еквіваленти, за вирахуванням певної комісії.

1.2 Інтернет-банкінг в Україні

Шість років тому, коли в Україні тільки з'явилася така послуга, як Інтернет-банкінг для фізичних осіб, у нас мало хто знав, що це таке. Приватбанку, що першим запропонував дану систему - доводилося пояснювати клієнтам, що це практично те ж саме, що й обслуговування в касах фін-установи, тільки через інтернет: громадянин без походу в банк на його веб-сайті може платити зі своїх карткових рахунків за комунальні послуги, телефон та інтернет , а також перераховувати гроші друзям і близьким. Втім, широкі маси не вдалося відразу зацікавити новаторськими сервісами, і ними користувалися або VIP-клієнти, або технічно просунуті українці, які активно працюють у світовій павутині. Але і для них це була радше екзотика, ніж реальний інструмент для щоденного користування. Причому користувалися вони їм недовго. У перший раз користувачів банкінгу відлякали в 2005-2006р., коли з їхніх рахунків почали зникати гроші. З'ясувалося, що хакери легко зламують банківські системи захисту, і фінансистам потрібно вкладати мільйони, щоб зберегти кошти клієнтів.

Банкіри не відразу дозріли на ці інвестиції, і по-справжньому Інтернет-банкінг в Україні запрацював зовсім недавно. У 2006-2007р. його запустили дві фін-установи (Укрексімбанк і Укрсоцбанк), а в 2008-2009р. - ще шість (VAB Банк, OTП Банк, ПУМБ, Універсал Банк, Альфа-Банк, СЕБ Банк). У середньому вкладення в розробку і технічне оснащення (сервера і пр.) банкінгу в кожному банку склали порядку 0,8-1 млн. дол. І щоб окупити ці витрати, фінансисти стали активніше, ніж коли б то не було, розкручувати віддалені сервіси. Щоб заманити пересічного українця на свої сайти, банкіри серйозно розширили функціональні можливості систем: в інтернеті можна не тільки оплатити комунальні послуги та вкинути грошей на мобільний телефон, але й сплатити за дитячий садок або спортивні секції дитини, а також робити перекази третім особам, поповнювати депозити і купувати страхові поліси.

Додатковим стимулом для роботи в мережі стало активне зниження тарифів на платежі в інтернеті. Фінансисти або взагалі відмовлялися від комісій, або зводили їх до мінімуму: у середньому по ринку вартість перерахувань між рахунками одного клієнта усередині одного банку вкладається в 1-5 грн., між різними клієнтами однієї фін-установи - 0,5-0,8% суми, на рахунки в інший банк - 0,75-1% суми. Причому в більшості випадків плата за підключення до Інтернет-банкінгу та щорічна абонентська плата з громадян не стягуються.

По даним Internet World Stats в Україні в наш час нараховується 15,3 млн. інтернет-користувачів. До 2012 року спеціалісти стверджують, що їх кількість зросте до 31,4 млн. З цих 15,3 млн. користувачів близько 800 тис. чоловік користуються Інтернет-банкінгом.

Лідерами ринку на початок грудня 2010 року є Приват Банк, його системою Приват24 користується 540 тис. клієнтів.

На другому місці ПУМБ - 91 тис. користувачів, далі йде Укрексімбанк - 81 тис., Universal Bank - 50,8 тис., і ОТП Банк - 43 тис. клієнтів. Активно працюють в даному напрямку також Альфа-банк, Укрсоцбанк, СЕБ Банк і банк «Фінанси та Кредит».

1.2.1 Можливості Інтернет-банкінгу в наш час

В даний час клієнтові для користування послугами Інтернет-банкінгу необхідний звичайний інтернет браузер. Сама система Інтернет-банкінгу розміщується на сайті банку. Всі дані користувача (платіжні документи і виписки по рахунках) зберігаються на сайті банку. Це і відрізняє Інтернет-банкінг від іншого виду системи «Клієнт-Банк», вимагаючи встановлення на комп'ютері клієнта спеціального програмного забезпечення, яке фактично обмежує можливості управління клієнтським рахунком, «прив'язуючи» клієнта до одного комп'ютера.

Найчастіше, прийнято ототожнювати поняття послуги Інтернет-банкінг із наданням клієнту можливості прямого доступу до банківського рахунку через Інтернет за допомогою звичайного комп'ютера і з використанням стандартного браузера. Іншими словами, Інтернет-банкінг - це можливість здійснювати всі стандартні операції, які можуть бути здійснені клієнтом в офісі банку (за винятком операцій з готівкою), через Інтернет. Дотримуючись даного визначення, можна сказати, що послуга Інтернет-банкінг включає в себе наступні можливості (кожна з яких реалізується через Інтернет):

- здійснювати всі комунальні платежі (електроенергія, газ, телефон, квартплата, теплопостачання);

- оплачувати рахунки за зв'язок (IP телефонія, стільниковий і пейджинговий зв'язок, Інтернет) та інші послуги (супутникове телебачення, навчання, тощо);

- проводити грошові перекази, у тому числі в іноземній валюті, на будь-який рахунок в будь-якому банку;

- переводити кошти в оплату рахунків за товари, в тому числі куплені через інтернет-магазини;

- купувати і продавати іноземну валюту;

- поповнювати / знімати грошові кошти з рахунку пластикової карти;

- відкривати різні види рахунків (строковий, ощадний, пенсійний) і перекладати на них грошові кошти;

- отримувати виписки про стан рахунку за певний період у різних форматах;

- отримувати інформацію про надійшли платежі в режимі реального часу;

- отримувати інформацію про здійснені платежі і при необхідності відмовлятися від неоплаченого платежу;

- інші додаткові послуги: передплату на журнали та газети, брокерське обслуговування.

Використання систем Інтернет-банкінгу дає ряд переваг: по-перше, істотно економиться час за рахунок виключення необхідності відвідувати банк особисто, по-друге, клієнт має можливість 24 години на добу контролювати власні рахунки і, відповідно із зміною ситуації на фінансових ринках, миттєво відреагувати на ці зміни (наприклад, закривши вклади в банку, купивши чи продавши валюту, і т.п.).

Перевагами роботи системи Інтернет-банкінгу є те, що вона:

- виконує операції в режимі on-line;

- працює цілодобово без перерв і вихідних, доступна з будь якого комп'ютера, підключеного до мережі Інтернет у будь-якій точці світу;

- не потребує спеціального програмного забезпечення, лише наявність будь-якого Web-браузера;

- має максимально спрощену процедуру попередньої реєстрації (підключення) та часто безкоштовну довідку (в основному якщо дзвінки виконуються зі стаціонарних телефонів у межах України);

- має механізм взаємної автентифікації банку і клієнта;

- забезпечує захист операцій клієнта за рахунок застосування паролів, які зберігаються в системі в зашифрованому варіанті;

- виконує постійний контроль цілісності і достовірності переданої інформації;

- використовує механiзм електронного цифрового пiдпису (ЕЦП) клiєнта пiд усiма фiнансовими документами; забезпечує зворотний зв'язок для висловлення побажань з приводу роботи системи Інтернет-банкінгу.

Недоліками роботи системи Інтернет-банкінгу є те, що:

- для виконання операцій у системі Інтернет-банкінгу потрібен спеціальний (часто одноразовий) пароль чи система паролів або спеціальний ПІН2-код і необхідна кількість електронних цифрових підписів;

- конфiденцiйнiсть і захищенiсть iнформацiї залежить не лише від банку, а й великою (значною) мірою від клієнта: збереження інформації можна гарантувати тільки при виконанні правил безпеки (обмеження доступу до електронного підпису, нерозголошення паролів доступу);

- використання логічного імені та пароля клієнта є досить простим способом його автентифікації, який не забезпечує сьогодні високого рівня захисту;

- криптографічні методи захисту інформації від несанкціонованого доступу (в т. ч. шифрування інформації) не завжди застосовуються при опрацюванні і зберіганні банківської інформації;

- існує постійна загроза перехоплення та спотворення інформації;

- існують спеціальні хакерські програми, за допомогою яких зловмисники мають можливість здійснювати так звані «фішинг-атаки» на рахунки клієнтів;

- за проведення платежів через систему Інтернет-банкінгу стягуються комісійні відрахування (звичайно, за угодою про тарифи на обслуговування, за якими обслуговується клієнт).

Системи Інтернет-банкінгу незамінні і для відстеження операцій з пластиковими картами - будь-яке списання коштів з карткового рахунку оперативно відображається у виписках по рахунках, підготовлених системами, що так само сприяє підвищенню контролю з боку клієнта за своїми операціями.

Можливість працювати з рахунками пластикових карт дозволяє користуватися послугами інтернет-магазинів як в Україні, так і за кордоном на абсолютно безпечному рівні - досить перевести за допомогою системи Інтернет-банкінгу необхідну суму коштів на картку, а потім за допомогою цієї карти сплатити будь-яку послугу або товар в інтернет-магазині на веб-сайті останнього. При цьому в системі будуть доступні виписки по картковому рахунку, з яких можна визначити яка сума коштів списано з картки, за що і т.п.

1.2.2 Робота системи Інтернет-банкінгу

До суті та змісту поняття Інтернет-банкінг на сьогоднішній день склалися найрізноманітніші авторські підходи. Дослідивши їх можна дійти висновку, що однією з найбільш вдалих, є формулювання, відповідно до якої Інтернет-банкінг розглядається, як надання послуг банком, з моніторингу, управління рахунками та здійснення банківських транзакцій через Інтернет. При цьому користувач, як правило, не потребує спеціального програмного забезпечення для доступу до своїх рахунків. Він може здійснювати всі дії по управлінню рахунками з будь-якого комп'ютера, підключеного до мережі інтернет, і розпізнається банком за допомогою системи авторизації. У більшості випадках додатково потрібен електронний цифровий ключ або ж спеціальне програмне забезпечення, однак при цьому він повинен легко переноситись на будь-який інший комп'ютер.

Відвідавши сайти різних банків мною був зроблений висновок, що підключитися до Інтернет-банкінгу досить просто, обов'язковою умовою для цього буде відкриття платіжної картки або поточного рахунку. Безумовно, будуть потрібні паспорт та довідка про присвоєння ідентифікаційного номера. Після всіх паперових операцій банк проведе реєстрацію клієнта в системі і видасть первинні сертифікати, які потрібні для входу в систему і подальшої генерації постійних реквізитів (наприклад, логіна і пароля, а також ПІН-коду). Якщо ж вже відкритий рахунок у даному банку, то у деяких банках можна підключитись в режимі он-лайн, заповнюючи необхідні дані.

Для доступу до системи годиться будь-який комп'ютер, ноутбук, КПК або комунікатор з підключенням до глобальної мережі. Клієнт сам керує послугою SMS-та Email-інформування, отримуючи можливість вказувати, з яких рахунками він хоче отримувати інформацію на поштову скриньку або на мобільний телефон.

Аналіз діючих систем дозволив сформувати загальну схему інтегрованого середовища електронної комерції. Найпростіший сеанс роботи клієнта з банком у режимі Інтернет-банкінгу має таку форму:

1. Клієнт з'єднується із сервером системи інтернет-банк.

2. Шляхом стандартного обміну сертифікатами сервер встановлює захищене SSL-з'єднання. На цьому етапі ніяка інформація, крім технічної для встановлення з'єднання, ще не передана. Після закінчення цього етапу третя особа не може бачити змісту наступних обмінів даними між банком і клієнтом (хіба що для цього вона використає спеціальні потужні засоби дешифрування, що малоймовірно).

3. Клієнт вибирає операцію, наприклад, «Отримати витяги з рахунків» або «Заповнити платіжне доручення». Запит для отримання документа шифрується за допомогою відкритого ключа банку, підписується за допомогою таємного ключа клієнта і відсилається до сервера.

4. Сервер отримує запит і перевіряє підпис клієнта за допомогою його відкритого ключа. Ідентифікувавши клієнта, він розшифровує запит за допомогою свого таємного ключа.

5. Сервер формує відповідь, шифрує її відкритим ключем клієнта і підписує своїм таємним ключем.

6. Клієнт отримує відповідь сервера. Загальна інформація (заголовки, пояснення, які не є унікальними і не представляють цінності) відображаються на екрані негайно. Для відображення конфіденційної інформації клієнт перевіряє підпис банку за допомогою його відкритого ключа. Переконавшись у тому, що це дійсно банк, він дешифрує відповідь за допомогою свого таємного ключа і відображає в тих місцях веб-сторінки, де для конфіденційної інформації були залишені місця.

7. Запити, підписані клієнтом, зберігаються в архівній базі даних як основа для проведення банком операцій або формування даних для передавання.



1.3 Аналіз загроз

Від забезпечення безпеки інформаційної обчислювальної системи банку сьогодні багато в чому залежить безперешкодне, стійке і надійне функціонування бізнес-процесів у банку в цілому.

Банки приділяють дуже велику увагу захисту інформації клієнтів, однак постійно існують як внутрішні зловживання, так і зовнішні загрози, пов'язані з її втратою. З початку існування Інтернет-банкінгу широко розповсюджені хакерські атаки на систему, так як отримати доступ до рахунку клієнта, і розпоряджатись чужими грошима на власний розсуд є дуже великою спокусою для деяких людей.

За даними опитування (RSA 2010 Global Online Consumer Security Survey), більше 80% користувачів систем Інтернет-банкінгу висловили переживання з приводу відсутності належного рівня безпеки. Тільки у Великобританії в 2009 році втрати становили близько 440 млн. фунтів стерлінгів. А по даним ФБР, втрати від он-лайн-шахрайства в США 2009 року становили 560 млн. доларів, а загальне число фінансових он-лайн-шахрайств перебільшило 336 тисяч (роком раніше їх було 275 тисяч).

Незважаючи на те, що на даний час найбільш привабливими для хакерів є банки США і Великобританії, не варто забувати, що Україна входить до першого десятка країн, які найчастіше піддаються атакам на комп'ютерних користувачів. У міру того як Інтернет-банкінг набирає популярність серед українців - вектор атак в нашій країні зміститься на он-лайн платежі.

Згідно зі звітом компанії Cenzic за перше півріччя 2010 року більше 90% комерційних веб-додатків схильні до ризику витоків і розкриття інформації, 80% мають уразливості авторизації та автентифікації, а уразливості в управлінні сесіями і міжсайтового скриптинга схильні 68% веб-додатків.

До банківських ризиків, пов'язаних із застосуванням систем Інтернет-банкінгу, відносяться: операційний, правової, стратегічний ризики, ризик втрати ділової репутації (репутаційний ризик) і ризик ліквідності.

Системи захисту призначені для забезпечення безпеки інформації, яка обробляється в інформаційно-обчислювальній системі. До всіх даних, з якими працює інформаційна банківська система, в обов'язковому порядку ставиться вимога збереження, аутентичності та цілісності. Забезпечення цих вимог є першочерговим в задачах забезпечення інформаційної безпеки. При сучасній гострій конкурентній боротьбі багато фінансових даних мають бути доступними тільки певному колу уповноважених осіб. З іншого боку, банківська система повинна залишатися прозорою для державних наглядових і податкових органів.

Доступ до сервісу Інтернет-банкінгу, який надає банківське програмне забезпечення, здійснюється через відкриті мережі, використання яких містить в собі численні інформаційні загрози.

Найбільш поширеними з них можна назвати:

- несанкціонований доступ до ресурсів і даних системи: підбір пароля, злам систем захисту і адміністрування, дії від чужого імені;

- перехоплення і підміна трафіку, підробка платіжних доручень, атака типу «людина посередині»;

- підміна мережевих адрес;

- відмова в обслуговуванні;

- атака на рівні додатків;

- сканування мереж або мережева розвідка;

- використання відносин довіри в мережі.

Основними причинами, що призводять до появи подібних уразливостей є:

- відсутність гарантії конфіденційності і цілісності переданих даних;

- недостатній рівень перевірки учасників з'єднання;

- недостатня реалізація або некоректна розробка політики безпеки;

- відсутність або недостатній рівень захисту від несанкціонованого доступу (антивіруси, контроль доступу, системи виявлення атак);

- існуючі уразливості ОС, ПЗ, веб-систем і мережевих протоколів, що використовуються;

- не професійне і слабке адміністрування систем;

- проблеми при побудові між мережевих фільтрів;

- збої в роботі компонентів системи або їх низька продуктивність;

- уразливості при управлінні ключами.

Найбільш часто інформаційний простір банківської системи використовується для передачі повідомлень, пов'язаних з рухом фінансів.

Основні види атак на фінансові повідомлення та фінансові транзакції:

- розкриття вмісту;

- представлення документа від імені іншого учасника;

- несанкціонована модифікація;

- повтор переданої інформації.

Для запобігання цих зловживань використовуються наступні засоби захисту:

- шифрування вмісту документа;

- контроль авторства документа;

- контроль цілісності документа;

- нумерація документів;

- ведення сесій на рівні захисту інформації;

- динамічна автентифікація;

- забезпечення збереження секретних ключів;

- надійна процедура перевірки клієнта при реєстрації в прикладній системі;

- використання електронного сертифіката клієнта;

- створення захищеного з'єднання клієнта з сервером.

Пройшли часи, коли хакери працювали по одинці. В наш час найчастіше діє організована група, або декілька різних функціональних груп. Нині шахрайство - це високотехнологічна операція з специфічними функціями, де на кожному етапі потрібна професіональна підготовка.

Етапи проведення атаки на системи ДБО:

- створення спеціального «інструментарія» - програм-троянців для сбору даних;

- створення спеціального «інструментарія» - програм-троянців для організації DDoS-атак;

- розповсюдження троянців і створення БОТ-мереж;

- створення центра управління (координації) «операцією»;

- проведення «операції»;

- проведення DDoS-атак на системи ДБО - «зачистка» слідів після проведення «операції».

Все ж, якою б структурованою не була система безпеки, на першому місці стоїть людський фактор. Дуже часто клієнти самі не дотримуються елементарних правил безпеки.

Важливо завжди пам'ятати основні правила захисту Вашого банківського рахунку при користуванні системою Інтернет-банкінг:

- не розголошувати персональні дані, що використовувалися для роботи в системі стороннім особам;

- не зберігати дані, за допомогою якого здійснюється робота з системою, на обладнанні (ПК, ноутбук, смартфон тощо), а також, в будь-якому іншому вигляді та місці, що може бути доступним стороннім особам;

- ніколи не відкривати сайт системи Інтернет-банкінгу за посиланнями: банерними чи отриманими електронною поштою тощо;

- обов'язковою використовувати на ПК, ноутбуках, з яких здійснюється робота із системою, антивірусного програмного забезпечення, а також, регулярного оновлення вірусних баз до нього не рідше ніж 1 раз на день; бажано змінювати пароль для доступу до системи не рідше 1 разу на три місяці;

- не використовувати функцію «запам'ятовування пароля» веб-браузером чи іншим програмним забезпеченням, встановленим на ПК, ноутбуці тощо; не використовувати досить легкі паролі;

- не використовувати для доступу до системи ПК, встановлені у публічних місцях (інтернет-клуби, інтернет-кафе тощо);

- і звісно ж, по закінченню роботи із системою, обов'язково здійснювати безпосередній вихід із системи, натиснувши відповідну кнопку «Вийти».

1.3.1 Крадіжка даних для входу в систему

Класична схема атаки полягає в крадіжці з комп'ютера користувача повного комплекту автентифікаційних даних і подальше використання цих даних атакуючим для дистанційного підключення до системи банку з метою здійснення нелегального переводу коштів. Це найпростіша схема атаки, проте вона можлива тільки при низькому рівні захисту цільової системи.

В якості платформи для реалізації цієї схеми часто використовується троян Ibank, аналіз якої буде проведений далі.

Розглянемо, наприклад, атаку зсередини комп'ютера клієнта.

Ця схема являє собою узагальнене рішення для обходу всіх додаткових засобів захисту транзакцій, а також для атаки на невідомі і малопоширені системи банкінгу. Атака зводиться до встановлення термінального з'єднання з комп'ютером жертви та проведення помилкових транзакцій атакуючим вручну, без відображення його дій на екрані користувача.

В якості платформи для реалізації цієї схеми часто використовується троян Zeus (Zbot), для якого за додаткову плату доступний модуль віддаленого доступу по протоколу VNC (Virtual Network Computing). При цьому, якщо адреса цільового комп'ютера недоступний з інтернету, троянська програма може забезпечити зворотний канал зв'язку для доступу атакуючого.

Наступна схема атаки має на увазі автоматизацію попередньої схеми. Автоматизація здійснюється переважно для систем на основі технології «тонкий клієнт», тому що в цьому випадку завдання зводиться до модифікації даних HTML-сторінок і HTTP-запитів і, таким чином, може бути компактно описана у файлі конфігурації і передана троянській програмі.

При реалізації даної схеми троянська програма формує нову транзакцію або модифікує легітимну з метою переказу коштів з рахунку клієнта на рахунок того, що атакує. Трафік користувача модифікується «на льоту» непомітно для нього.

1.3.2 Аналіз шкідливої програми Ibank

Троян Ibank представляє собою шпигунську програму масового поширення, призначену для реалізації атак на системи електронної комерції. Цільові системи включають в себе популярні універсальні платформи для побудови систем ДБО, системи власної розробки окремих банків, електронну платіжну систему WebMoney і ряд ЗКЗІ.

Основний шкідливий функціонал:

- збір інформації, яка необхідна для доступу до різних систем ДБО (для цього використовується перехоплення різних системних функцій і функцій систем ДБО);

- можливість перехоплення інформації, що вводиться користувачем з клавіатури з подальшим збереженням зібраних даних;

- можливість організовувати зв'язок з керуючим сервером і виконувати отримані від нього команди (наприклад, троянець має можливість завантажувати і запускати на виконання інші шкідливі файли).

Але головна особливість даного трояна полягає в тому, що він широко використовується в якості інструмента для цільових фінансових атак, часто у зв'язці з трояном Zeus. При цьому Ibank використовується для початкового отримання інформації про платіжні системи, а Zeus - як універсальний інструмент для управління зараженим комп'ютером, в тому числі для забезпечення дистанційного доступу до нього.

Троян Ibank з'явився в 2006 році. Спочатку він використовувався для нецільових атак на користувачів інтернет-банків, але пізніше знайшов застосування в якості інструменту при проведенні організованих атак. За березень 2010 року було зафіксовано кілька спалахів поширення нових версій Trojan.PWS.Ibank, які за тривалістю займали 1-2 дні. У ці періоди кількість детектив шкідливої програми перевищувало 160 тисяч (за даними сервера статистики «Доктор Веб» за окремі дні).

Ibank визначається різними антивірусами під наступними іменами:

- Trojan.PWS.Ibank,

- Backdoor.Win32.Shiz,

- Trojan-Spy.Win32.Shiz,

- Backdoor.Rohimafo та іншими.

Небезпека Trojan.PWS.Ibank полягає в тому, що він передає зловмисникам інформацію, що вводиться користувачем у своєму Інтернет-браузері або он-лайн-банку. І, перш за все, відсилає їм логін і пароль до банківського аккаунту жертви, яка таким чином може втратити свої заощадження. Поряд з цим Trojan.PWS.Ibank перешкоджає доступу до сайтів антивірусних компаній, а також має функціонал, що протидіє роботі деяких популярних антивірусів.

1.4 Хакерські атаки

Широко поширене перехоплення даних ідентифікації користувача і ключів для цифрового підпису з метою підробки платежів. Робиться це за допомогою зараження ПК спеціальними вірусами.

На початку 2004, фішери створили спеціалізований кейлоггер. Будучи впроваджено в межах стандартного повідомлення HTML (і в поштовому форматі і на кількох скомпрометованих популярних сайтах) він був кодом, який спробував запускати Java аплет, названий "javautil.zip". Незважаючи на своє розширення zip, фактично це був файл, який міг бути автоматично виконаний в браузерах клієнтів.

Схема «man in the middle» (див. рис. 1.1) дані про платіж перехоплюються на етапі, коли вони відправлені від клієнта, але ще не дійшли до банку. Шахрай змінює дані і тільки після цього відправляє їх у банк. Таке можливо, якщо трафік не шифрується.

Для проведення успішних атак "людина в середині", нападаючий повинен бути приєднаний безпосередньо до клієнта замість реального сервера. Це може бути виконано за допомогою таких методів:

- DNS Cache Poisoning;

- URL Obfuscation;

- Browser Proxy Configuration.

Серйозною загрозою для користувачів послуг Інтернет-багкінгу є такий вид комп'ютерних зловживань, як фішинг (англ. fishing).

Фішинг - це тип комп'ютерного шахрайства, який базується на створенні підробних web-ресурсів. Останні вводять користувача в оману з метою отримання його конфіденційних даних (паролів, PIN-кодів і т. п.). Ці дані використовуються в різний спосіб для отримання прибутку. Наприклад, розповсюдженою є крадіжка особистих даних, коли зловмисник викрадає особисту інформацію з метою виконання таких дій:

- отримання кредиту на ім'я іншої особи;

- отримання грошей із банківського рахунку та сплачування витрат за допомогою кредитної картки;

- переведення грошей із рахунку інвестицій або кредитної лінії на поточний рахунок і використання копії дебетової картки для отримання грошей із поточного рахунку в банкоматах світу.

Якщо говорити більш детально, то шахрайська схема виглядає наступним чином. У процесі фішингу створюється сайт-фальшивка, за зовнішнім виглядом не відрізняється від оригіналу, далі реєструється доменне ім'я, дуже схоже на доменне ім'я офіційного сайту (тейп). Залишається тільки будь-яким шляхом заманити відвідувача на підставний сайт. Раніше, та інколи і зараз, для цього вдавалися до масової електронної розсилки. Користувач отримував листа, в якому повідомлялося, наприклад, що його персональні дані в такій-то компанії загублені, і що йому протягом трьох днів необхідно заповнити анкету ще раз. В іншому випадку аккаунт користувача буде заблоковано. Природно нижче в листі наводиться посилання, де можна ввести ваші персональні дані ще раз, і посилання це веде природно на підставний сайт.

Тема листа і причина нібито блокування може звичайно змінюватись, все залежить від фантазії шахраїв, але домагаються вони одного, щоб ви зайшли на сайт-фальшивку і ввели свої персональні дані.

У липні 2006р. з'явилася нова напасть - вішинг (vishing). Це різновид фішинга, що полягає у використанні war diallers (автоматичного набору) і можливостей інтернет-телефонії (VoIP) для крадіжки особистих конфіденційних даних, таких як паролі доступу, номери банківських і ідентифікаційних карт і т. д. Схема обману, по суті, та ж: клієнти будь-якої платіжної системи отримують по електронній пошті повідомлення нібито від її адміністрації або служби безпеки з проханням вказати свої рахунки, паролі і т. п. Але якщо при фішингу посилання в повідомленні веде на підроблений сайт, де і відбувається крадіжка інформації, то в випадку вішингу в ньому пропонується набрати певний міський номер. Особі що дзвонить, зачитується повідомлення, в якому потенційну жертву просять видати свої конфіденційні дані. Власників такого номера знайти непросто, оскільки з розвитком інтернет-телефонії дзвінок по міському телефону може бути автоматично перенаправлений в будь-яку точку земної кулі на віртуальний номер. Той, хто телефонує ж ні про що не здогадується.

Як не небезпечні фішинг і вішинг, в мережі існує ще більш підступна загроза - фармінг (pharming), або перенаправлення жертви по помилковому адресою. Фармінг має багато спільного зі стандартним вірусним зараженням. Жертва відкриває непрошене поштове послання або відвідує якийсь веб-сервер з виконуваним файлом, який таємно запускається у фоновому режимі. При цьому спотворюється файл hosts. Операція займає лише секунду, але шкідливе ПЗ може містити URL багатьох банківських структур. Механізм перенаправлення активізується в той момент, коли користувач набирає знайому довірену адресу, яка відповідає його банку, і потрапляє на один з помилкових сайтів.

Спеціальних механізмів захисту від фармінгу зараз не існує, так що необхідно уважно контролювати вхідну пошту, регулярно оновлювати антивірусні бази, закривати вікна попереднього перегляду в поштовому клієнтові і т.д.

Також існує ще багато різновидів хакерських атак, таких, як наприклад, троянські програми сімейства ZBot (ZeuS), які з'явилися ще в 2007 році. Завдяки простоті конфігурації і зручності використання для крадіжки веб-даних, ZeuS став однією з найбільш розповсюджуваних і продаваних програм-шпигунів на чорному ринку інтернету.

Станом на сьогоднішній день, мало не кожен клієнт може стати потенційною «жертвою» електронного шахрайства. Це пояснюється тим, що по-перше для зацікавленого атакуючого не становить труднощів обхід антивіруса. Таким чином, антивірус в деякій мірі захищає рядових користувачів онлайн-банкінгу, але, у міру збільшення класу платоспроможності клієнта банку, втрачає свої корисні властивості в зв'язку пропорційним зростанням ймовірності цільової атаки.

По-друге, всі універсальні платформи ДБО і ЗКЗІ вітчизняного виробництва принципово уразливі до атак. Будучи побудованими на базі застарілої парадигми інформаційної безпеки, ключовою ланкою якої служив захист від мережевих атак, таких як MitM (man-in-the-middle) і мережевий злом, ці системи не призначені для захисту від локальних атак з використанням шкідливих програм, таких як MitB (man-in-the-browser, man-in-the-box).

1.5 Нормативно-правове регулювання

До числа проблем, що стримують розвиток Інтернет-банкінга в Україні, відноситься відсутність чітко сформульованого і систематизованого законодавства як із питань захисту і безпеки, так і в області електронної комерції взагалі.

Криптографія на асиметричних ключах представляє найбільше надійний спосіб захисту інформації, що забезпечує вирішення всіх завдань он-лайн банкінгу. Клієнт створює пари ключів (секретний і відкритий), із яких відкритий ключ передається в банк, секретний знаходиться в розпорядженні клієнта і відомий тільки йому. Передані дистанційні розпорядження шифруються і підписуються електронно-цифровим підписом на секретному ключі клієнта. Банк перевіряє підпис за допомогою відкритого ключа клієнта.

Ліцензійна палата України Департамент спеціальних телекомунікаційних систем і захисту інформації СБ України видала наказ N104/81 від 17.11.98р. Зареєстровано в Міністерстві юстиції України 30 листопада 1998р. vd981117 vn104/81 N760/3200 про затвердження Інструкції про умови і правила здійснення підприємницької діяльності (ліцензійні умови), пов'язаної з розробкою, виготовленням, ввезенням, вивозом, реалізацією і використовуванням засобів криптографічного захисту інформації, а також з наданням послуг з криптографічного захисту інформації, і контроль за їх дотриманням.

Є також окремі складові, зокрема потрібно звернути увагу на нормативні акти щодо запровадження електронного цифрового підпису (ЕЦП) і електронного документообігу.

У статті 5 Закону України «Про електронні документи та електронний документообіг» від 22.05.2003р. №851-IV наведено формальне визначення, а саме: електронний документ - це документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа. Також цей закон встановлює, що обов'язковим реквізитом електронного документу є електронний цифровий підпис, а накладанням ЕЦП завершується створення електронного документу.

Щодо практичної реалізації технології ЕЦП, то, згідно Закону України «Про електронно-цифровий підпис», який набув чинності з 1 січня 2004 року, на сьогодні в Україні створений і функціонує центральний засвідчувальний орган, декілька центрів сертифікації ключів успішно пройшли процедуру акредитації у відповідності із законодавством, розроблено ряд нормативних документів для забезпечення процедур ЕЦП. Проте, не вдаючись у деталі, можна констатувати, що цей закон не відповідає ні європейському законодавству в цілому, ні технічній суті електронного підпису та принципам його застосування (в термінах міжнародних і європейських стандартів). Наприклад, електронний підпис у термінах ЄС повинен забезпечувати автентифікацію та цілісність, а в термінах нашого Закону -- лише автентифікацію. «Посилений електронний підпис» у визначенні ЄС -- це електронний підпис ЄС та додаткові вимоги щодо надійності, які технічно означають, що засіб створення підпису має задовольняти вимоги стандартів FIPS 140-1, 140-2 level 2, 3 (Federal Information Processing Standards, U. S.). Такого терміна в Законі України немає, натомість є термін «електронний цифровий підпис», який відповідає електронному підпису ЄС у межах криптографії з відкритими ключами. В терміни ЄС і відповідні європейські та міжнародні стандарти введено термін «кваліфікований електронний підпис», якого в нашому Законі також немає.

До вітчизняної інтернет-комерції певне відношення має Постанова Правління Національного банку України «Про затвердження Положення про порядок емісії платіжних карток і здійснення операцій з їх застосуванням» №137 від 19 квітня 2005 року, адже оплата банківських інтернет-послуг здійснюється саме за допомогою пластикових карток, а також Лист Департаменту платіжних систем Національного банку України «Про надання інформації про використання Інтернет-технологій клієнтами банків при здійсненні розрахунків» від 13 червня 2007 року №25- 112/1151-6023, в якому згадується про програмний продукт Інтернет-банкінг. Також постанова НБУ від 15.12.2004 N639 «Про затвердження положення про порядок здійснення банками операцій за гарантіями в національній та іноземних валютах».

1.6 Постановка задачі

На сьогоднішній день більшість інцидентів фінансового шахрайства представляють собою атаки на системи он-лайн-банкінгу з використанням шкідливих програм як інструментів. Існують налагоджені технології обходу всіх видів захисту, що використовуються в системах електронних транзакцій.

Проте існують також доступні інструменти для здійснення фінансових атак усіх видів і масштабів. Тому найбільш гостро стоїть питання про захист банківських систем, так як на сьогоднішній день йде масовий перехід на використання інформаційних технологій в цьому сегменті. Тому в даний час банкам слід приділяти найпильнішу увагу питанням забезпечення захисту від комп'ютерних зловмисників.

На жаль, хакерські атаки будуть здійснюватись завжди, адже це дає можливість отримати доступ до чужого рахунку, і розпоряджатися ним. Сьогодні, коли існують різного роду програми, які зламують системи захисту комп'ютерних мереж, коли комп'ютерні зловмисники організовують свої сторінки в Інтернеті, видають електронні журнали і проводять електронні конференції, де обмінюються досвідом, зменшити небезпеку комп'ютерних атак стає практично неможливим. Але все ж спеціалісти у даній сфері намагаються розробити, можливо не бездоганну, але дуже стійку систему захисту ресурсів і зменшити кількість випадків зламування.

В даній роботі досліджено вже існуючу систему та основні методи захисту інтернет-банкінгу в наш час, та запропоновано засоби, за допомогою яких вона буде більш досконала та незламна. Звісно банки намагаються залучити все більше клієнтів до користування системою інтернет-банкінгу, і прогнозують, що з певним часом більшість пересічних громадян зрозуміють переваги, і почнуть в повному обсязі користуватись нею. Тому в роботі також враховано матеріальні затрати, які не повинні перевищувати норми.



Розділ 2. Методика поліпшення рівня захисту інформаційних ресурсів Інтернет-банкінгу

2.1 Оцінка існуючих методів захисту ресурсів Інтернет-банкінгу

Звісно ж будь-який банк, який впроваджує систему Інтернет-банкінгу найбільшу увагу повинен приділяти безпеці системи, в силу того, що вся інформація в даних системах від клієнта до банку передається по відкритій мережі Інтернет. А оскільки хороша система захисту ресурсів Інтернет-банкінгу - це запорука успіху, то клієнти будуть довіряти банку, і користуватися послугами сповна.

Зупинимося більш детально на методах захисту інформаційних ресурсів в он-лайн-банкінгу на сьогоднішній день. За останні роки фінансисти, хоча б частково, вирішили проблеми з безпекою. На сьогоднішній день вони користуються двома системами захисту, запропонованими банкірами. Перша, і найдешевша - це регулярна зміна паролів: кожен раз при виході зі своєї сторінки банківського порталу після здійснення всіх платежів фізична особа змінює пароль входу для наступного користування системою. Причому пароль фінансисти рекомендують придумувати не довільний, і самостійно, а за допомогою спеціального пристрою - агрегатора довільних паролів. За розміром він трохи більше стандартної флешки і видається в оренду під заставу 150-200 грн. Більш дорогий спосіб боротьби з аферистами - використання цифрового підпису. Він зберігається на пристрої під назвою USB-токен. Як правило, банки стягують символічну плату за користування цим приладом (2-5 грн. на рік), але просять внести заставу в розмірі 450-500 грн. Його вставляють в USB-роз'їм комп'ютера, і за зовнішнім виглядом він мало чим відрізняється від флешки.

Апаратний ключ або «токен» - персональний електронний пристрій, що бере участь у процесах захисту інформації користувача (таких як автентифікація та шифрування даних).

USB-токени - апаратні пристрої, які складаються із USB-картридера і SIM-карти. У ній реалізовані всі криптоалгоритми і є захищена область пам'яті для зберігання таємних ключів електронного цифрового підпису. У переважній більшості USB-токенів реалізовані такі криптографічні функції: апаратний генератор випадкових чисел; генерація пари ключів електронного цифрового підпису; його формування і перевірка; генерація ключів шифрування; шифрування і дешифрування інформації. Усі вищезазначені алгоритми відповідають державним стандартам. Сьогодні смарт-карти та апаратні ідентифікатори (токени) для USB-порту забезпечують високий рівень захисту: вони ідентифікують користувача - клієнта банку і зберігають конфіденційну інформацію в зашифрованому форматі. Крім того, вони відповідають співвідношенню «ціна - якість».

За перше півріччя 2010 року 10 українських фінансових установ, які найбільш активно просували свої системи віддаленого банкінгу, змогли заманити до себе більше 800 тис. фіз. осіб. На початок липня 2010 року найбільше клієнтів, як і раніше було в Приватбанку - близько 540 тис. осіб (враховуючи активних користувачів - тих, хто протягом тижня провів хоча б одну операцію), але поступово до нього стали підтягуватися й інші фінустанови: в Укрексімбанку число клієнтів досягло 70 тис. осіб, у ПУМБу - 60 тис.

Для передачі логіна і пароля користувача часто використовуються стандартні засоби забезпечення захисту інформації у відкритих мережах. Найбільш поширеним є протокол SSL (Secure Sockets Layer) - обов'язковий атрибут будь-якого сучасного браузера. Протокол був розроблений компанією Netscape в 1994 році. SSL забезпечує шифрування всієї інформації, що передається від комп'ютера клієнта до сервера банку.

У банках нерідко для передачі всіх даних у системах Інтернет-банкінг використовуються алгоритми шифрування, відмінні від SSL, які дозволяють підвищити безпеку систем шляхом використання довших криптографічних ключів. Так, наприклад, одним з найпоширеніших алгоритмів є алгоритм RSA, довжина ключа якого звичайно 1024 біт. Система RSA (абривіатура від прізвищ Rivest, Shamir и Adleman) використовується для захисту програмного забезпечення і в схемах цифрового підпису.

Принцип роботи цього алгоритму достатньо простий. Кожен учасник криптосистеми генерує два випадкових великих простих числа p і q, вибирає число e, менше pq, і яке немає спільного дільника з (p-1) (q-1), і число d, таке, що (ed-1) ділиться на (p-1) (q-1).

Потім він обчислює:

n = pq,

а p і q знищує.

Пара (n, e) називається "відкритим ключем", а пара (n, d) - "закритим ключем". Відкритий ключ передається всім іншим учасникам криптосистеми (зазвичай це означає, що клієнт повинен прийти в офіс банку для затвердження відкритого ключа), а закритий зберігається в таємниці.

Стійкість RSA є функція складності розкладання добутка pq на прості множники p і q (це завдання доведеться вирішувати тому, хто виявить бажання "вирахувати" закритий ключ з відкритого). При достатній довжині цих простих чисел (кілька тисяч двійкових розрядів) таке розкладання обчислити неможливо.

Для забезпечення конфіденційності, учасник А "шифрує" повідомлення m учаснику Б за допомогою відкритого ключа Б:

c: = me mod n,



а учасник Б "розшифровує" його за допомогою свого закритого ключа:

m: = cd mod n.

При використанні ЕЦП в умовах електронного документообігу, також застосовується технологія "криптографії з відкритим ключем".

Для накладення цифрового підпису учасник А "шифрує" повідомлення m учаснику Б з допомогою свого закритого ключа:

s: = md mod n,

і відправляє "підпис" s разом з повідомленням m. Учасник Б може верифікувати підпис учасника А за допомогою відкритого ключа А, перевіривши рівність:

m = se mod n.

Зазвичай початковий обмін ключами між клієнтом і банком здійснюється на магнітних носіях без передачі ключів через відкриті комп'ютерні мережі. Секретний ключ клієнта зберігається на сервері сертифікації банку і не має відкритого доступу. Для здійснення всіх операцій з ЕЦП на комп'ютер клієнта встановлюється програмне забезпечення, яке надає банк. А всі необхідні дані для клієнта - відкритий, закритий ключ, ідентифікаційні дані тощо - зазвичай зберігаються на окремій дискеті або в спеціальному апаратному пристрої, який підключається до комп'ютера клієнта.

Конфіденційна інформація, яка передається від банкомата до сервера банку, також шифрується за допомогою спеціальних ІР-шифраторів. Прикладом такого пристрою є CryptoIP-428, який реалізує алгоритми криптографічного захисту інформації: розподіл відкритих ключів, шифрування пакетів ІР-трафіку, функції хешування, електронний цифровий підпис.

Замість застарілої пари логін/пароль для авторизації в системі використовуються стретч-карти з одноразовими кодами доступу, що генерують одноразові коди, а також мобільні телефони, на які банк висилає одноразові паролі. Плюс до цього коду користувач може додавати ще й свій особистий ПІН-код, який не знають навіть у банку. Все це захищає як від перехоплення секретної інформації в процесі її передачі по лініях зв'язку, так і від перехоплення на комп'ютері користувача за допомогою кейлоггерів і троянів. Можливо також встановлювати ліміт по кожній операції (наприклад, в 100$), після чого можна бути досить впевненим, що навіть у найгіршому випадку серйозного збитку вдасться уникнути.

Проте набагато нижче рівень безпеки систем Інтернет-банкінгу, що дозволяють клієнту мати доступ до рахунку за допомогою стільникового телефону, що підтримує WAP. Проблема криється в самому протоколі WAP та процедурі перетворення трафіку при зміні протоколів передачі. У мережі на ділянці між мобільним телефоном та WAP-шлюзом (захист радіоканалу) застосовується Wireless Transport Layer Security (WTLS), а в Інтернет (захист стека TCP/IP), як уже було сказано - SSL. При перекодуванні з одного протоколу в інший інформація залишається без захисту. Поки майже у всіх системах WAP-банкінгу клієнт не може здійснювати платіжні операції, а тільки отримує доступ до необхідної інформації, тому рівень безпеки не так важливий. Але швидше за все, найближчим часом ситуація зміниться у бік збільшення функціональних можливостей WAP-банкінгу. І тоді до безпеки протоколу WAP будуть пред'явлені нові вимоги. На даний момент вже існує рішення описаної вище проблеми, воно повинно втілиться у версії WAP - 2.0. Ще одним нюансом безпеки WAP систем є те, що вся передана інформація шифрується з криптографічним ключем не більше 124 біта.



2.1.1 Методи аутентефікації

Автентифікація користувача - це перевірка, чи дійсно користувач, який перевіряється, є тим, за кого він себе видає. Для коректної автентифікації користувача необхідно, щоб користувач пред'явив автентифікаційну інформацію - якусь унікальну інформацію, якою повинен володіти тільки він і ніхто інший. Для забезпечення автентифікації використовуються алгоритми шифрування, цифровий підпис, коди автентичності повідомлення (МАС) і функції хешування.

Існує три основних типи автентифікаційної інформації:

1. Користувач, що перевіряється, знає якусь унікальну інформацію. Приклад: автентифікація з паролем.

2. Користувач має якийсь предмет з унікальними характеристиками або вмістом. Приклади: смарт-карта, USB-токен і т.д.

3. Автентифікаційна інформація є невід'ємною частиною користувача. Приклад: відбиток пальця і інші види біометричної автентифікації (біометричною називається автентифікація користувача по його біометричним ознаками).

У будь-якому з цих випадків процедура автентифікації виконується в два наступних етапи:

1. У користувача одноразово береться якийсь еталонний зразок аутентификаційної інформації, наприклад, запитується пароль (або даний зразок генерується випадковим чином і потім записується на смарт-карту користувача). Даний зразок зберігається у суб'єкта системи, який перевіряє автентифікацію - модуля автентифікації (наприклад, сервера, який виконує автентифікацію користувачів). Звичайно існує деякий час дії даного еталону, по завершенні якого еталонний зразок міняється.

2. Кожного разу при виконанні автентифікації у користувача запитується автентифікаційна інформація, яка порівнюється з еталоном. На основі даного порівняння робиться висновок про автентичність користувача.