Что такое динамический пароль на банковской карте

Обновлено: 28.04.2024

На работе выдали з/п карты, к ним пароли на доступ в телебанк. Перечислили зарплату на карту, часть денег снял в банкомате, часть хотел перевести через телебанк в другой банк. Создал там шаблон, но при попытке совершить операцию система пишет, что нужен динамический пароль. Что это такое? Карточка с паролями, как в Авангарде и Пробизнесбанке или СМС, как в Альфе? Этот самый динамический пароль нужен на любую операцию, такую как оплата мобильника, интернета и проч.
При попытке узнать это звонил к ним в течении дня несколько раз, дозвониться не удалось, хотя висел на трубке долго. В самом телебанке есть форма обратной связи, но она не работает - выдает "ошибка 82, недопустимая транзакция". На обеденном перерыве пошел к ним в офис около метро Автозаводкой - ДО Велозаводский, но там с физиками не работают - только обменник и Вестерн Юнион, о телебанке кассир в первый раз вообще слышит. Рядом с домом, в районе метро Перово тоже есть ДО, но кто поручится, что они работают работают с физиками? Кроме того, время работы ДО: Пн-чт 9:00-16:30, Пт 9:00- 15:30, Перерыв 13:30 - 14:15, Выходные дни: суббота, воскресенье.

Таким образом, я не очень доволен тем, что на сайте нет инфо об этом самом динамическом пароле; тем, что в телебанке не работает обратная связь; тем, что сложно (мне пока не удалось) дозвониться к ним в информационную службу; ну и режимом работы с физ. лицами.

Другие отзывы о Московском Индустриальном Банке

О продуктах банка

По статусу

Продукты Банки.ру

Калькуляторы

Вклады и инвестиции

Кредиты и займы

Страхование

Карты

Ипотека

Кредитные карты

ОСАГО и КАСКО

Потребительские кредиты

Ипотечные кредиты

Дебетовые карты

Депозиты

Расчетно-кассовое обслуживание

Микрозаймы

ООО ИА «Банки.ру» использует файлы cookie для повышения удобства пользователей и обеспечения должного уровня работоспособности сайта и сервисов. Cookie называются небольшие файлы, содержащие информацию о настройках и предыдущих посещениях веб-сайта. Если вы не хотите использовать файлы cookie, то можете изменить настройки браузера. Условия использования смотрите здесь.

Финансовый конгломерат BNP Paribas, лидер мирового рынка банковских и финансовых услуг, проводит тестирование новой технологии MOTION CODE от компании Obertur Technologies. Инновация состоит в том, что CVC код (три цифры с задней стороны карты, которые используются для подтверждения личности владельца карты при онлайн оплате) заменяет динамический код защиты.

Динамический код защиты создан, чтобы эффективно противостоять карточному фроду в тех случаях, когда хакеры похищают платежные данные прямо в процессе онлайн оплаты. Динамический код регулярно изменяется, что мешает мошенникам использовать данные карты повторно.

Для тестирования BNP Paribas выбрали решение OT MOTION CODE, разработанное компанией Oberthur Technologies (один из лидеров рынка цифровых решений для обеспечения безопасности в интернете). На задней стороне карты располагается электронный дисплей, показывающий код защиты, который периодически изменяется. Динамический защитный код усиливает защиту онлайн платежей клиентов BNP Paribas, при этом никак не изменяя привычный процесс совершения покупок.

Представитель компании Obertur Technologies рассказал, что представляя технологию MOTION CODE, предлагается полностью интегрированное решение, начиная с производства самой карты и заканчивая установкой серверов аутентификации.

Динамический код не только значительно увеличивает уровень безопасности платежных данных при совершении онлайн оплат, но и не требует инфраструктурных изменений, так как представленная технология совместима с процедурой оплаты на любом коммерческом сайте. Кстати, более 90% онлайн платежей во Франции совершаются с помощью банковских карт.

Российские банки могут последовать примеру коллег и запустить проект с динамическим CVC. На российский рынок аналогичный продукт поставляет НоваКард, производитель пластиковых карт.

Данная заметка является логическим продолжением статьи Динамический пароль, опубликованной ранее.

• итоги на написанную ранее статью
• еще идеи на её счет
• расскажу о принципиально другом «динамическом пароле 2.0», лишенном недостатков первого.
• а так же, скандалы, интриги, расследования идею как задать пароль:
  который вы сами не сможете набрать в состоянии алкогольного опьянения,
  который можно набрать на глазах у друга, и состоящий из символов «QQQQQ»
  и он не сможет его повторить.

Итоги из статьи Динамический пароль

Способ реализации — не жесткая последовательность, а конструктор динамического пароля, позволяющий вставить приведенные автором шаблоны в любых местах и в любых количествах в своем шаблоне пароля
Сфера применения — не общественные системы для обычного потребителя. В первую очередь идея может быть использована в закрытых системах и организациях, которые хотят усложнить механизм обычного ввода пароля, но не задействовать доп железо (телефоны, токены, смарт-карты и тд)
Недостатки — невозможность хранить на сервере в виде хеша, придется часть шаблона пароля оставлять в открытом виде. Сложность, надо потратить немного времени что бы подготовить пароль по известному вам шаблону и, как следствие, слабая применяемость «в народе».
Преимущества — бесполезность идеи взлома пароля методом перебора (пока идет перебор паролей, сабж может стать тем, который уже был использован генератором ранее). Защита от «подглядываний» пароля (точный пароль, набранный через [1-N] минут может оказаться уже неактуальным)

Идеи и пояснения

Динамический пароль 2.0

Вот и подошла очередь описать принципиально новый «Динамический пароль 2.0». Включаем юмор, и оставляем включенной логику
Представьте ситуацию:
Вы видите как ваш друг набирает в поле пароля банальный пароль «QQQQQ» или «11111» и входит, вы говорите ему, что он полный чайник, раз использует подобный пароль, а он в ответ, выходит из программы и предлагает ввести его вам. Вы пытаетесь ввести пароль 5 раз и вас не пускает, после этого вы вспоминаете что когда-то читали статью на хабре Динамический пароль и предполагаете что пароль просто перегенерился и, скорее всего, тогда на часах была или 11-я минута или что то еще… Но ваш приятель садится за комп и опять у вас на глазах начинает вводить «11111» и его пускает!
В чем секрет?
В фразе «Динамический пароль 2.0» основным словом является "динамический", но не в смысле «изменяемый», а в смысле «динамичный, танцевальный» ;)
Помните реакцию винды на неправильный ввод пароля 3 раза подряд? Она не дает ничего вводить пару минут, что бы исключить подбор пароля, а потом, через пару минут снова дает 3 попытки.
Что, если контролировать время между введенными символами и использовать его как еще один параметр при входе в систему?
Не буду разжевывать то, что вы и так поняли, и сразу приведу шаблон пароля нашего «продвинутого» приятеля:
Q[[T>500]]Q[[T>500]]Q[[T>500]]Q[[T>1000]]Q
Где [[T>500]], говорит о том что между символами должно быть время в миллисекундах большее чем пол секунды, а между предпоследним и последним символами — больше секунды.
Включаем фантазию и думаем какие еще правила можно придумать: минимальное/максимальное время ввода всего пароля, больше, меньше, погрешность в миллисекундах, динамическое время основанное на первом промежутке времени между вводом первого и второго символа пароля, и много чего еще…

• легкий набор
• возможность хранить хеш самого пароля на сервере
• возможность, при отменной реакции и чувстве такта, задать простейшую мелодию при «настукивании» пароля
• невозможность подбора, так как время это тоже параметр
• wow! вы можете рассчитать минимальное время набора пароля (скажем вы легко набираете его за 1.5 секунды), а в случае вашего измененного сознания опьянения, не сможете набрать его с такой же скоростью, так как время реакции сильно пострадало и база защищена вами от вас! ))

• Сложное программирование, придется точно контролировать время между вводимыми символами, для реализации надо хорошенько подумать что сделать на клиенте, а что на сервере
• возможно, сложное придумывание шаблона (если шаблон сложнее чем набрать 3 символа, подождать 3 секунды, набрать остальные символы пароля)
• дополнительное нешифруемое поле в базе в нагрузку к Хешу пароля, для того что бы знать правила контроля времени между символами или общего времени набора

Не забываем, всё это концепты, идеи для размышления, не надо сразу прикладывать идею к сайту «Одноклассники» и его хомячков обитателей ;)

В общем, интересных проектов и удачи Всем!

Update1: Коментарии в статье Третье измерение защиты паролей окончательно меня убедили, что пользователи Хабра мыслят одинаково. До написания своей статьи, я не читал «Третье измерение защиты паролей» и его каментов.

Жизнь в 21 веке наполнена технологиями и действиями, немыслимыми для наших предков. Мы можем купить, используя банковскую карту (а если она кредитная, то еще и не на свои деньги) что угодно и где угодно. Мы живем в мире, где в уличном ларьке за шариковую ручку и на продуктовом рынке за два килограмма огурцов можно расплатиться картой. Это очень просто и очень удобно! Однако все действия потребителя со своей картой в офлайне сопряжены с рядом рисков, о которых уже много раз было написано и сказано. Заметим, что по данным U.S. PaymnetsForum, введение чипированных карт привело к 80% снижению активности мошенников по подделке карт в офлайне.

Мошенники оказались вынуждены переключить свое внимание на онлайн покупки. Как же обстоит ситуация с покупками в онлайне? Каждый раз, совершая покупку онлайн, потребитель должен предоставить реквизиты своей банковской карты: имя и фамилию, номер карты, срок действия карты и код подтверждения (для карт VISA он назывался CVV, а для карт MasterCard - CVC, а в связи с изменением технологии их теперь нужно называть CVV2 и CVC2, соответственно, но чтобы никого не запутать, мы будем называть комбинацию из трех цифр на обороте карты CVV кодом). Мошенник, укравший данные о вашем ФИО и номере карты, скорее всего не знает кода подтверждения вашей карты, что спасает людей от кражи денег с карт при онлайн покупках. Однако, ничто не мешает мошенникам попытаться перехватить ваш интернет трафик и получить все необходимые данные, включая код подтверждения. Что же делать? Похоже, что мировое банковское сообщество почти нашло ответ на данный вопрос, начав массовое тестирование технологии динамического CVV.

Как работает технология динамического CVV?

В вашу карточку теперь будет помимо всего прочего встроен микрочип, микродисплей и источник питания. На дисплее будет отображаться CVV, который будет меняться с определенной частотой, например, 1 раз в 4 часа. Технически подкованный читатель сразу спросит о сроке службы такой карточки с батарейкой, помня, сколько раз в день он вынужден заряжать свой смартфон. Оказывается, в дисплее использована так называемая бумага на электронных чернилах, которая использует энергию только в момент изменения показаний, что весьма существенно снижает расход энергии. Такая же технология дисплея используется в читалках для электронных книг, а также в электронных ценниках в некоторых магазинах. По заявлениям производителя таких карт, срок службы должен составить не менее 4 лет (при смене кода каждый час), что даже превышает срок действия карты, который обычно составляет всего 3 года.

Как изменится порядок действий потребителя при покупке онлайн с использованием карт нового типа?

Почти ничего не изменится. Будет нужно ввести тот код, что отображает карта или тот же код будет показываться в приложении для смартфона, привязанного к карте потребителя.

Насколько технология готова к внедрению в массовый рынок?

Формально технология полностью готова, но есть несколько вопросов.

• Во-первых, банки должны определиться с частотой смены кода. Один раз в 4 часа или один раз в час или даже чаще. С одной стороны, чем выше частота смены кода, тем выше безопасность, но с другой стороны, тем меньше срок службы карточки.
• Во-вторых, стоимость изготовления такой карты с динамичным CVV кодом намного выше: 15 долларов против не более 5 долларов за традиционную карту. Но что такое «лишние» 10 долларов по сравнению с возможностью защитить свои онлайн покупки все три года действия карты?!

P.S. Одним из двигателей данной технологии является компания Gemalto со штаб квартирой во Франции.

При совершении онлайн-покупок пользователям обязательно нужно указывать платежные данные. Как правило, шоппинг в интернете – это быстрый и удобный процесс, однако в некоторых случаях возникают сбои по неизвестным причинам. Так, владельцы банковских карточек при вводе реквизитов и совершении онлайн-платежа могут столкнуться с таким уведомлением: «У вас нет адреса динамической аутентификации».

Что это значит?

Подобная проблема может возникнуть на любом сайте, однако причина заключается непосредственно в пользователе, а не платежной системе. Большинство держателей банковских карт никогда не сталкивались с таким происшествием, поскольку далеко не все платформы использует динамический пароль для подтверждения оплаты. Однако многие интернет-ресурсы уже активно используют новый стандарт защиты оплаты – 3D Secure. Двойная аутентификация применяется для защиты реквизитных данных банковской карточки и предотвращения перехвата платежа.

Как подключить адрес динамической аутентификации

Подключение СМС-информирования необходимо для проведения платежных операций на сайтах, которые используют систему двойной аутентификации. В противном случае операции с технологией 3D-Secure будут невозможны. Данная опция разработана для безопасности держателя банковской карточки. Стоит отметить, что без адреса динамической аутентификации также невозможно будет авторизоваться в системе онлайн-банкинга. Активация системы защиты осуществляется несколькими способами.

Для старой карты

В случае с банковской карточкой, которая была выпущена более трех лет назад, подключить технологию динамической аутентификации будет невозможно. Проблема заключается в том, что на старых картах отсутствует поддержка данной системы защиты, ограниченный пакет услуг, а также отсутствует функция смс-информирования. Владельцу необходимо обратиться в банк и заказать перевыпуск пластиковой карты. Важно заметить, что эта процедура может быть платной – детали следует уточнить по телефону горячей линии.

Для новой карты

Подключить динамическую аутентификацию для новых карт можно несколькими способами:

Самостоятельно подключить данную функцию можно следующим образом:

1. Авторизоваться в личном кабинете.
2. Открыть настройки и найти пункт «Уведомления и безопасность».
3. Выбрать пункт «Включение динамической аутентификации».

Проблема с прохождением динамической аутентификации возникает достаточно часто, поскольку все больше платформ переходит на двойную систему защиты платежных реквизитов пользователей. В случае возникновения трудностей владельцу банковской карты необходимо обратиться непосредственно в техническую поддержку финансового учреждения. Оператор ознакомится с проблемой и предоставит инструкцию необходимых действий.

Итак, код подтверждения необходим для осуществления расходной операции с использованием карточных реквизитов. Пользователи могут столкнуться с уведомлением «У вас нет адреса динамической аутентификации» только в тех случаях, если на сайтах активирована система 3D Secure. Для проведения оплаты на ресурсах с такой системой владельцу банковской карты необходимо подключить СМС-информирование. Посредством оповещений держатель пластика будет получать на свой мобильный телефон коды для подтверждения оплаты.

Читайте также:

  
• Можно ли положить доллары на карту сбербанка через банкомат
  
• Как узнать о переводе пенсии на карту сбербанка
  
• Карта мир сколько можно перевести денег в сутки без комиссии
  
• Как поменять карту сбербанка при смене фамилии
  
• Как пополнить бизнес карту сбербанка