Аутентификация платежа что это

Что такое аутентификация? Почему она завершена неуспешно?

Сейчас оплата банковской картой каких-либо услуг или товаров в интернете – привычное дело. Однако не всегда она проходит успешно. Иногда держателю пластика приходит сообщение о незавершенной аутентификации. Что это такое и почему она проходит неуспешно, будет рассмотрено в статье.

Что такое аутентификация?

Оплата услуг и товаров в интернете должна быть защищена от мошенничества, как и личные данные. Банковская карта проходит несколько процессов перед тем, как будет совершен расчет. Аутентификация – это проверка платежного средства на принадлежность определенному пользователю, а также информации о номере карты, CVС-коде, сроке окончания обслуживания.

Чтобы защитить процесс оплаты, для аутентификации используется система 3D-Secure. Она позволяет избежать утомительного ввода вышеназванных данных, однако отсылает одноразовый пароль на телефон по СМС, который нужно вставить в форму.

Почему аутентификация завершается неуспешно?

Оплата услуги или товара в интернете посредством карты останавливается на этапе аутентификации, если произошел какой-либо сбой при отправке пароля в СМС. Возможна техническая ошибка на стороне оператора мобильной связи, либо на сервере. Тогда необходимо повторить процедуру отправки пароля и введение его в соответствующее поле.

Источник

Идентификация, аутентификация и авторизация — в чем разница?

Объясняем на енотах, в чем разница между идентификацией и авторизацией, а также зачем нужна аутентификация, тем более двухфакторная.

Это происходит с каждым из нас, причем ежедневно: мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», когда на самом деле речь идет об аутентификации.

Ничего такого уж страшного в этом нет — пока идет бытовое общение и обе стороны диалога по контексту понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляешь, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».

Идентификация, аутентификация и авторизация: серьезные определения

Итак, что же значат термины «идентификация», «аутентификация» и «авторизация» — и чем соответствующие процессы отличаются друг от друга? Для начала проконсультируемся с «Википедией»:

Объясняем идентификацию, аутентификацию и авторизацию на енотах

Выше было очень много умных слов, теперь давайте упростим до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:

Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.

А вот если бы вы открыли этот документ для чтения только определенным пользователям, то еноту в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа — авторизоваться.

А уж если речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного енота на чтение вашей переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.

Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:

Источник

Аутентификация 3DS – что это такое и как работает?

3DS является системой безопасности, которая защищает карту от доступа к ней мошенников. Её использование подразумевает введение одноразового пароля, и с этим действием иногда возникают сложности, приводящие к ошибке операции. В статье осветим тему 3DS аутентификации и причин её сбоев. Также ответим в общем на вопрос, что это за сервис – 3D Secure.

Что такое 3D Secure?

Что же такое аутентификация 3DS? Во-первых, это защищённый протокол, позволяющий безопасно оплачивать товары и услуги на просторах сети.

Во-вторых, это защитная технология, противодействующая мошенничеству.

Название 3DS расшифровывается как Three-Domain Secure. Наименование объясняется просто – проведение транзакций подразумевает использование трёх доменов:

Процесс оплаты

Кодовая комбинация может приходить на телефон в SMS (встречается чаще всего). В то же время она бывает и постоянной. Самый экзотичный вариант – использование карты разовых кодовых значений.

Важно! Если пользователь ввел неверный код безопасности банковской карты, операция может быть прервана системой.

Примечание 1. Сведения, указываемые пользователем внутри сервиса эмитента карточки, к интернет-магазину не уходит. Всё, что может торговая площадка, – сохранить некоторые реквизиты пластика.

Когда идентификация завершается, появляется доступ к оплате, которую и проводит покупатель.

Распространённость технологии

Не все банки и далеко не все торговые интернет-площадки работают с 3D Secure. Однако сервис постоянно расширяет ареал своего применения.

Существует такая информация: кредитно-финансовые учреждения 195 государств сегодня подключены к технологии.

Чтобы узнать, работает ли Ваша банковская компания с сервисом, зайдите на её сайт или позвоните на горячую линию и узнайте у оператора.

Плюсы и минусы

Чтобы лучше понять суть и характер работы технологии, следует уделить внимание её достоинствам и недостаткам.

Также нельзя не отметить, что часто процесс покупки срывается из-за усложнённой идентификации личности. Это приводит к явлению т.н. “брошенных корзин”: люди заходят на сайт, выбирают товар, отправляют его в корзину, переходят к оплате, сталкиваются с необходимостью указывать множество разных данных и завершают процесс, не доведя его до логичного конца.

Подключение карты к 3DS

Сегодня очень большая часть российских банков выпускает карты, которые уже имеют подключенную службу 3DS. Однако иногда пластик не имеет подобной услуги. Нередко бывает и так, что сам платёжный инструмент не новый, а потому возникает вопрос: можно ли подключить 3D Secure?

Ответ – да. Вариантов тут два:

Примечание 2. Названия разделов/опций в терминалах и АТМ могут разниться – причём даже у одних тех же банков. Однако при этом смысл их сохраняется. Ищите близкое по назначению действие.

Протокол, обеспечивающий безопасность онлайн-транзакций, активируется безвозмездно. Когда Вы впервые перейдёте к оплате какой-то покупки по карте, придёт SMS-сообщение по поводу эксплуатации 3D Secure.

Как отключить?

Если ввиду каких-либо причин клиент решил деактивировать 3DS, он может столкнуться с трудностями. Многие банки отказывают в этом, т.к. считается, что в результате будет сильно понижен уровень безопасности эксплуатации платёжного инструмента.

Можно проявить упорство и настоять на отключении 3D Secure. Для этого посетите банковский офис и обратитесь к сотруднику. Он даст бланк для написания соответствующего заявления. Дальше всё зависит от политики конкретного кредитно-финансового учреждения. Часто своему клиенту идут навстречу и отключают ненужный ему сервис.

Не пришёл одноразовый код – что делать?

Проведение мероприятий по идентификации клиента, при которых используются одноразовые пароли, время от времени сопровождаются некоторыми сложностями.

Наиболее распространённая внештатная ситуация – код не пришёл на телефон картодержателя. Что тогда нужно делать?

Первая мера – ввести и отправить одноразовую комбинацию ещё раз на странице со специально предназначенным для этого полем.

Вторая мера – проверить следующие обстоятельства:

При тщетности всех попыток определить причину отсутствия сообщения с одноразовым кодом обратитесь в Вашу кредитно-финансовую организацию. Для этого лучше всего позвонить на горячую линию.

Ошибка авторизации

Бывают ситуации, что при проведении платёжной операции в сети картодержатель получает сообщение вида “Ошибка авторизации” (не пройдена идентификация). Отчего это может происходить? Есть две проблемы, являющиеся причинами такой ситуации с окном информирования о сбое:

Как видно, ничего страшного под этой ошибкой не подразумевается, а неприятные последствия довольно просто преодолеть.

Примечание 3. Рекомендуется при появлении уведомления о сбое всю платёжную операцию начать с самого начала. Это нужно, чтобы одноразовый код можно было ввести сразу, как только система его отправит клиенту. При корректном указании комбинации и одобрении платежа со стороны банковской компании онлайн-операция успешно завершится.

Действия при переезде в другую страну

Сервис можно не отключать, если Вы переезжаете в другое государство. Даже если за границей происходит смена телефона, это не беда: многие банки дают возможность указывать иностранные телефонные контакты для получения паролей одноразового действия.

Проще всего заранее составить в офисе банка заявление на замену номера, с тем чтобы всё информирование приходило на актуальный телефон.

Риски

Главная угроза для 3D Secure – это вирусы. Вне зависимости от того, на какой операционной системе работает смартфон, рекомендуется скачать и установить антивирусное программное обеспечение.

Никогда не сохраняйте карточные данные на мобильном устройстве, в браузере и т.д. 3DS применяется не для всех операций, так что при таком раскладе злоумышленники способны заполучить реквизиты Вашего пластика, а одноразовые коды им и вовсе не потребуются для кражи средств!

Пример 1. Возможен такой сценарий: мошенники крадут карту и с её помощью проводят оплату. Когда дело доходит до этапа подтверждения транзакции с помощью кода из SMS, они звонят владельцу платёжного инструмента и представляются сотрудниками банка. Разумеется, сразу запрашивается пришедший пользователю пароль – многие наивно его сообщают, чего делать нельзя категорически. Итог один: деньги уводятся подчистую. Причём всё сильно хуже, если пластик – кредитный, ведь тогда банковские утерянные деньги придётся возвращать в любом случае.

Подытоживая, можно сказать следующее: на 3DS надейтесь, но сами не плошайте.

Заключение

3D Secure – это технология, созданная для защиты финансовых средств пользователя, хранящихся на его банковской карте. Бывает, что при эксплуатации сервиса возникает ошибка авторизации (аутентификации). Разумеется, это вызывает у владельца пластика некоторое непонимание. Однако тут нет ничего страшного, т.к. причин обычно две: ошибка в набранном коде или его истекший срок действия.

Источник

Финансовая сфера

Банкинг начинается с аутентификации

На процессах идентификации и аутентификации основано разделение прав доступа, без которого не обходится ни один банковский сервис. Поэтому знание того, как они происходили раньше и происходят теперь, крайне важно

Давайте разберемся

Итак, идентификация — процесс определения, что за человек перед нами. Аутентификация — процесс подтверждения, что этот человек именно тот, за кого себя выдает. Авторизация — процесс принятия решения о том, что этой аутентифицированной персоне разрешается делать. Таким образом, это три разных, последовательных и взаимно не заменяемых понятия.

Идентификацию часто подразумевают в составе аутентификации. Но главное — четко различать аутентификацию и авторизацию. В ходе аутентификации мы удостоверяемся, что человек, который к нам пришел, обладает доказательствами, подтверждающими личность. С учетом степени доверия и политики безопасности систем проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографии.

Для наглядности связь и некоторые особенности этих процедур приведены в таблице ниже.

Таблица. Связь аутентификации и идентификации

Логин/пароль (I know)

Идентификация по банковской карте

1. Микропроцессорная банковская карта (I have)
2. ПИН-код (I know)

Учетный номер карты (PAN) считывается с банковской карты

Идентификация по банковской карте с биоверификацией

1. Микропроцессорная банковская карта (I have)
2. Биометрический фактор (отпечаток пальца, I am)

Учетный номер карты (PAN) считывается с банковской карты

Идентификация товара по штрих-коду

Учетный номер товара

Идентификация файла по контрольной сумме

Контрольная сумма (I am)

Как видно, выделяются несколько ключевых элементов системы: субъект, который будет проходить процедуру, характеристика субъекта — отличительная черта, и т.д.

I know, I have, I am

Комментируя приведенную таблицу, Ирина Гуськова, начальник отдела сетевых услуг Orange Business Services, выделяет три основных фактора аутентификации.

1. То, что мы знаем (I know), — как правило, это пароль, ключевое слово, PIN-код банковской или SIM-карты. Аутентификацию по этому фактору легко внедрить, но и легко взломать — украденная запись или файл.

2. То, что мы имеем (I have), — это могут быть банковская карта, брелок с генератором паролей, смарт-карта и т.д. Технически более сложный метод, более дорогой в использовании, но и более надежный. В случае утери данного «предмета» мы можем сразу же сообщить в службу безопасности, где незамедлительно позаботятся о том, чтобы наш уникальный предмет мгновенно перестал быть средством аутентификации.

3. То, чем мы являемся (I am), – биометрика. Наши физические особенности: отпечатки пальцев, форма и объем рук, лица, тембр голоса, рисунок сетчатки глаза и т.д. Самый развивающийся на данный момент способ аутентификации, начиная с дактилоскопических сканеров на телефоне и заканчивая спектроанализаторами голоса.

Как правило, первые два фактора сами по себе, так или иначе, могут быть скомпрометированы, а внедрение третьего фактора (I am) — весьма дорогостоящая процедура, которая не всегда уместна: ставить дактилоскоп для покупки пачки сигарет — мера избыточная. Поэтому выбор стратегии аутентификации напрямую зависит от критичности систем и операций, для которых требуется аутентификация.

Для систем, не критичных для бизнеса (справочно-информационные порталы, персонализированные порталы новостных агрегаторов и т.д.), достаточно использовать один фактор, при этом фактора «I know» вполне достаточно, а использование фактора «I have» — дополнительная гарантия безопасности для конечного пользователя.

Для систем, взлом которых может оказать существенное влияние на бизнес компании или его клиента, использования фактора «I know» уже недостаточно, нужен как минимум более стойкий фактор «I have». Но лучше и надежнее — сочетание двух факторов. Двухфакторная аутентификация внедряется сейчас повсеместно — начиная от публичных почтовых сервисов (такую услугу предлагают Google, Yahoo, Yandex и другие) и заканчивая крупными компаниями, организующими доступ удаленных сотрудников в корпоративную сеть.

Наиболее перспективными факторами сейчас считаются биометрическая, многофакторная облачная аутентификация, а также строгая форма аутентификации. Что касается биометрии, «Банковское обозрение» 10 февраля 2017 года проводит конференцию «Удаленная идентификация и биометрия в финансовой отрасли: регулирование, технологии, решения», где будет подробно рассмотрено все, что имеет отношение к биометрии. Сейчас же коротко остановимся на двух оставшихся перспективных направлениях.

Аутентификация в облаке

Если раньше чаще всего требовалось развернуть on-premise-решение, то в настоящий момент набирает популярность AaaS (Authentication as a service) — управляемое решение по обеспечению двухфакторной аутентификации, при котором клиенту не требуется дополнительно разворачивать какую-либо инфраструктуру, а управление решением ложится на плечи провайдера.

Ирина Гуськова приоткрывает суть облачной аутентификации: «Услуга Orange по аутентификации пользователей основана на решении ведущего в этой области производителя. Платформа развернута на территории России в современном дата-центре в Москве, имеет отказоустойчивую архитектуру и соответствует требованиям законодательства по хранению и обработке персональных данных согласно ФЗ-152». Но это, что называется, must be. В чем особенности?

Сервис заключается в организации дополнительного второго фактора аутентификации в виде одноразового пароля для доступа к любым ресурсам как внутри предприятия клиента, так и к облачным сервисам. Данный пароль может быть сформирован как при помощи аппаратного аутентификатора, токена, так и при помощи приложений, установленных на пользовательские устройства. В качестве данных устройств могут выступать персональный компьютер, ноутбук или мобильные устройства. Также существует возможность аутентифицироваться при помощи SMS.

«Поскольку мы предлагаем полностью управляемый сервис, со стороны клиента не требуется никаких капитальных вложений и дополнительных ресурсов по обслуживанию данной платформы. Таким образом, клиент, выбирая данное решение, закрывает задачи создания единой точки аутентификации и повышения надежности идентификации пользователей при работе с корпоративными системами компании клиента», — рассказывает эксперт.

AaaS может уже похвастать и успешными примерами внед­рения в глобальных и отечественных компаниях, различных индустриях, включая финансовый и банковский секторы. Как считает большинство экспертов, именно в финансовой вертикали наблюдается все больший спрос на облака подобного рода.

Строгая аутентификация и ЭЦП

Заканчивая разговор об облаках, нельзя не упомянуть взлет технологий UAF для проведения безопасных транзакций и U2F для многофакторной аутентификации, разработанные FIDO Alliance. Последняя в ряде европейских стран уже вошла, что называется, в тренд и претендует на позиции национального стандарта в области аутентификации. Но если решение Orange нацелено на корпоративных пользователей, то FIDO большей частью ориентируется на физических лиц.

Основная задача FIDO Alliance — предоставление онлайн-службам возможности проведения строгой аутентификации для снижения числа проблем, связанных с необходимостью запоминания большого количества учетных данных. В ее составе лидеры технологического рынка Google и Microsoft, крупные финансовые структуры и платежные системы PayPal, Bank of America, Mastercard и Visa, а также ряд глобальных интернет-магазинов, например AliExpress.

U2F неплохо подходит для платежных систем, но, например, для систем ДБО, где существуют жесткие требования регуляторов, необходимы сертифицированные средства двухфакторной аутентификации пользователя и веб-сервера, формирования и проверки усиленной квалифицированной подписи, а также шифрования трафика. Чаще всего аппаратная реализация ЭЦП происходит при помощи неизвлекаемого ключа «на борту» смарт-карты и USB-токена. При этом должна быть реализована усиленная защита от атак на ЭЦП со стороны вредоносного ПО и удаленных злоумышленников при работе пользователей в недоверенной среде.

Обычно модули строгой аутентификации внедряются в рамках систем идентификации и управления доступом к информационным ресурсам предприятия (IDM). Практически стандартом стало использование SSO (Single Sign-On) — механизма единого входа в систему или в приложение. Применяя эту технологию, пользователи осуществляют вход во все приложения с использованием одного идентификатора, при этом исключается необходимость запоминания множества логинов и паролей, что сокращает время доступа к приложениям.

Из последних внедрений подобного рода можно привести пример Россельхозбанка, в феврале 2016 года завершившего проект по созданию системы учета, управления и аудита средств аутентификации и хранения ключевой информации (токенов) — IDM — на базе решения «Аванпост PKI». В декабре 2016 года банк «Российский капитал» объявил о выборе электронных идентификаторов Рутокен ЭЦП 2.0 от компании «Актив» (сертифицированных ФСБ) для генерации электронной подписи в ходе выполнения корпоративными клиентами платежных операций в системе ДБО. Масса успешных проектов есть в портфеле компании «Аладдин Р.Д.». При этом надо понимать, что банки защищаются при помощи усиленной аутентификации и ЭЦП не только от внешних злоумышленников, но и от внутренних нарушителей (инсайдеров, «суперадминов» и т.д.). Это отдельное огромное поле, которое имеет целый сонм своих специфических особенностей, о котором имеет смысл подробнее поговорить уже после конференции 10 февраля.

Источник

Аутентификация

Аутентификация – средство защиты, устанавливающее подлинность лица, получающего доступ к автоматизированной системе, путем сопоставления сообщенного им идентификатора и предъявленного подтверждающего фактора.

Для аутентификации пользователя используются следующие факторы:

• некоторая секретная информация, к примеру логин и пароль. Введенные данные сравниваются со сведениями, хранящимися в специальной базе данных, и в случае совпадения пользователь пропускается в систему. Это самый популярный, простой и наименее защищенный способ проверки его подлинности. Наиболее распространенные методы получения мошенниками таких данных аутентификации называются фишингом и фармингом;

• уникальный предмет или техническое устройство (смарт-карта, USB-токен и пр.). Обеспечивает более серьезную защиту, чем парольная аутентификация, но также имеет ряд недостатков. Например, такой предмет может быть похищен;

Причем эти факторы аутентификации могут применяться не только по отдельности, но и в комплексе, что повышает уровень безопасности. Скажем, одновременно могут использоваться пароль и отпечатки пальцев. Это называется многофакторной аутентификацией.

Понятия «идентификация» и «аутентификация» часто путают. Идентификация позволяет пользователю сообщить системе свое уникальное имя, а аутентификация дает ей возможность определить, действительно ли человек, назвавший это имя, является тем, за кого себя выдает.

Также следует понимать, чем от этого отличается авторизация. Путем авторизации система проверяет полномочия пользователя на выполнение того или иного действия.

Источник

• ← Аутентификация операционной системы 1с что это
• Аутентификация по протоколу openid 1с что это →