девайс токен что такое втб
Хроники SSO: банк, токены и немного магии
Привет! Меня зовут Артем Ивлев, и я занимаюсь архитектурой идентификации клиентов банка ВТБ. Наша задача — ответить на вопрос, кто использует наш банковский сервис: мобильный или интернет-банк, голосового помощника или просто один из многочисленных офисов. Для этого есть множество инструментов — и я хочу рассказать про становление одного из них.
Пролог
На дворе 2019 год, экосистема банка растет как на дрожжах, и все острее нам нужны единая точка входа для клиентов и провайдер идентификации. А есть только каталог учетных записей и отдельные решения разных команд для аутентификации.
Требований к тому, как все должно выглядеть, у нас еще не было. При этом мы сразу же начали говорить об аутентификации физических лиц не только в онлайн-банке, но и на ресурсах партнеров. Та самая кнопочка «Войти через ВТБ».
Примерно так будет выглядеть вход через ВТБ
Из этого следовало, что нам нужно взять максимально универсальное решение и начать его использовать. В процессе использования мы смогли бы выяснить, что нам точно нужно, каких функций не хватает и т. д.
Выбираем, по какому пути пойдем
Прошерстив интернет, покурив магические квадраты Гартнера, начали смотреть на опенсорс-решения с поддержкой в России:
• WSO2 Identity Server
По отзывам в сети и документации наиболее универсальным нам показалось решение от WSO2 с шиной для возможности подключения множества провайдеров аутентификации, провайдеров данных пользователя и т. д.
Архитектура WSO2 Identity Server
Первый прототип мы показали еще в 2019 году на общем выездном демо розничного бизнеса.
Серебряная пуля есть (извини, Брукс) — это токен
В первую очередь мы поняли, что в OAuth 2 нам лучше всего использовать ID-токен JWT, который не требует обращения к серверу аутентификации для проверки при каждом запросе. Если вкратце, JWT — это пирамидка из трех частей:
1. Заголовок (HEADER) рассказывает, что это за токен, как подписан и кем выдан.
2. Тело (PAYLOAD) — набор параметров — позволяет узнать, какому сервису и для какого пользователя выдан этот токен, как долго этот токен будет жить.
3. Криптографическая подпись (SIGNATURE) дает возможность проверить, что данные в теле токена не были изменены и что токен выдан именно тем сервером идентификации, которому мы доверяем.
Структура JSON Web Token (JWT)
Все эти части — это одна большая строка, разделенная точками на блоки. Первые два блока кодированы с помощью алгоритма Base64.
Использование ID-токена JWT сильно упростило жизнь: больше не нужно было при каждом запросе от мобильного устройства или браузера ходить в базу и проверять, кому и когда выдан токен. Вся информация — в самом токене. Достаточно просто поставить перед потребителями API Gateway, который проверит подпись токена с помощью открытого ключа.
Как доработать пулю напильником
Токен, выпущенный на X минут, будет действителен, даже если пользователь нажмет «Выход» или от систем службы безопасности банка поступит сигнал срочно разлогинить этого пользователя из приложения.
Решение давно придумали — хранить списки отозванных токенов и сверяться с ними на уровне API Gateway. Да, это тоже сверка с базой, но здесь множество существенно меньше и легко реализуется на кеше Redis с TimeToLive.
Как сделать, чтобы злоумышленники не могли украсть токен, выданный определенному мобильному приложению или браузеру пользователя? Ведь технически можно утащить у пользователя что-то из браузера и даже из приложения. То есть нужно сделать так, чтобы злоумышленник, даже украв токен, не смог им воспользоваться.
Кадр из заставки мультсериала «Симпсоны»
Как обычно, задача не нова и ее решение «уже было в «Симпсонах»» ((с) «Южный парк»). Делаем безопасную куку (HttpOnly, SameSite, Secure) и кладем в нее UUID. Потом от этого UUID делаем хеш, например, CRC32, — и кладем его уже в тело JWT. И все. Теперь достаточно для каждого запроса проверять, что хеш от нашей куки равен тому, который записан в тело токена. Безопасную куку утащить сложнее, так что пара «токен — кука» дает нам достаточно уверенности.
Адаптивная аутентификация, или Почему нам пришлось идти своим путем
В процессе входа пользователя много дополнительной магии. Это и проверки пользователя, его устройства, статистики по входам, географии, и аудит действий, и открытие сессий в бэк-системах, и уточнение необходимости второго фактора, и выбор этого самого второго фактора (СМС, push, что-то еще).
Это и есть задача адаптивной аутентификации. И, с одной стороны, использование модуля позволило все эти задачи вписывать с помощью скриптового интерфейса WSO2 IS, но, с другой стороны, невозможно было реализовать красивый API для мобильных устройств или SPA.
Дело в том, что вся адаптивная аутентификация идет на серверном уровне как генерация интерфейсов с помощью JSP. Это сложно адаптировать даже для современной веб-разработки, не говоря уже о API для мобильного приложения.
После первых прототипов и попыток натянуть универсальность на пожелания коллег из мобильной и веб-платформ мы поняли, что эту часть придется переписывать.
Для мобильного приложения и интернет-банка мы решили реализовать всю логику с помощью всего лишь одной ручки API/oauth2/token — в зависимости от входящих параметров она выдавала токен или ошибку с просьбой перейти на нужный шаг запроса второго фактора.
Реализацию бизнес-логики решили внести прямиком в grant_type, параметр /oauth2/token, отвечающий на вопрос о нужном типе аутентификации.
В итоге у нас получилась стройная логика. Есть сервис-провайдер — потребитель аутентификации. У него есть настройки, среди которых — набор grant type. Тем самым мы отлично понимаем, кто и с помощью каких логик входа к нам может прийти.
Все, что не роняет прод, делает нас сильнее
Следующая проблема, которую мы поймали, — невысокая производительность из-за довольно сложного использования базы данных для сценария аутентификации, в котором мы контролируем «что и почему» на уровне нашего кода. WSO2 IS слишком много читает и пишет в базу.
Пришлось нам снова переписывать часть логики генерации токена. Убрали сессии из PostgreSQL в Redis. Это на порядок снизило нагрузку на базу.
Но, как оказалось, этого тоже мало. Сама зависимость от базы для столь критичного сервиса — далеко не лучшее решение. В случае падения или недоступности базы (где хранятся в основном настройки и выданные токены, сессии-то мы уже оттуда убрали) мы не могли пустить пользователя в банк.
Добавили проверку в случае недоступности базы — выдавать токены в аварийном порядке, если их не удается продлить через пять минут. То есть пользователи все равно смогут работать в приложении банка — но только пока жив первый выданный токен.
Следующим шагом был переход от двух ЦОДов в режиме active-active к режиму active-passive, что снизило риски рассинхрона PostgreSQL и Redis. В худшем случае при падении ЦОД какой-то части пользователей придется перезайти в приложение.
Ну и как финальный гвоздь в код выдачи токенов — решение полностью переписать остатки WSO2 IS. Последняя версия уже вообще не общается с базой при аутентификации пользователя. Остался только Redis, который хранит сессии аутентификации и выданные в них JWT и refresh-токены.
Что дальше? Новые гориSSOнты
При выдаче токена осталось так мало от вендорного WSO2 IS, что в скором времени мы сможем перейти от монолита, который умеет слишком много, к микросервисам, которые умеют только то, что нам нужно и с нужной нам производительностью.
Сейчас у нас есть вход в банковское приложение в мобильной и веб-версиях. Но этого мало. Ведь у ВТБ есть множество других продуктов. Это «Мультибонус», «ВТБ Мобайл» и десятки, если не сотни, других наших проектов. Для всех требуются аутентификация и единая точка входа.
Кадр из мультсериала «Рик и Морти»
Эпилог
Скоро год, как наши первые релизы ушли в прод. Решение развивается и обрастает новыми возможностями. Не стоило ли нам сразу начать писать свое? Нужен ли вообще был WSO2 IS?
История не терпит сослагательного наклонения, но я думаю, что в условиях крайне сжатых сроков и итеративной разработки мы бы, скорее всего, ничего не успели — а если бы и успели, это бы не дотягивало до наших стандартов и не позволило развиваться дальше. Так что мы выбрали вендорное решение и заодно использовали его, чтобы развивать собственные наработки и компетенции команды — и это дало отличный результат.
ЗЫ: Буду рад обсудить вопросы по SSO, токенам и вообще аутентификации.
ЗЗЫ: Про что хотите почитать в следующий раз? Аутентификацию, биометрию или цифровой профиль и использование Tarantool Data Grid?
Токен от ВТБ
Программа ВТБ-онлайн – это мобильное предложение, основная цель которого лежит в обеспечении безопасности проведения транзакций через банк ВТБ. Token был разработан для генерации одноразовых паролей.
Приложение для генерации кодов
«Токен ВТБ-онлайн» смогут использовать клиенты, которые:
Для тех, кто хочет присоединиться, инструкция ниже:
«Токен ВТБ» не будет работать из соображений достижения максимальной безопасности при наличии расширенных прав пользователя на мобильном устройстве (Root).
Преимущества программы
«Токен ВТБ» имеет следующие положительные качества:
После активации вы можете в полной мере использовать систему для получения ситуативных паролей для входа и проведения операций онлайн.
«Токен ВТБ»: подтверждение операции
ВТБ-онлайн использует для подтверждения два способа: режим «А» и режим«Б». Как проходят операции входа/подтверждения в каждом из этих режимов?
| Режим «А» | 1. Введите необходимые параметры, нажмите «Далее». |
|---|---|
| 2. Подтвердите правильность внесенных реквизитов. | |
| 3. Из выпадающего списка выберите «Токен (режим А)». | |
| 4. Сгенерируйте код подтверждения: | |
| запустите приложение в режиме А; | |
| введите запрос, который отображен на экране подтверждения ВТБ-онлайн, нажмите «Далее»; | |
| введите персональный ПИН-код; | |
| подтвердите операцию уникальным кодом. | |
| Режим «Б» | 1. Введите параметры, нажмите «Далее». |
| 2. Подтвердите корректность вписаных реквизитов. | |
| 3. Из выпадающего списка выберите «Токен (режим Б)». | |
| 4. Сгенерируйте пароль подтверждения: | |
| запустите приложение в режиме Б; | |
| введите в токен сумму операции (полностью, с копейками), нажмите «Далее»; | |
| введите последние 6 цифр номера счета / телефона / договора получателя и нажмите «Далее»; | |
| введите персональный ПИН; | |
| подтвердите операцию уникальным паролем. |
Пользуйтесь Токеном от ВТБ каждый раз при входе в систему и совершении транзакций. Комиссия за использование приложения не снимается.
Система ВТБ-онлайн для бизнеса
ВТБ предусмотрел особенные потребности юридических представителей, поэтому создал особую платформу для таких клиентов. С ее помощью можно передавать электронные документы или осуществлять финансовые операции дистанционно не отрываясь от дел в реальном времени через компьютер или другие гаджеты. В приложении доступна гостевая зона, ускоряющая процесс подключения клиента.
Вход в систему производится следующим образом:
После входа вы модете приступать к работе.
SMS/Push уведомления
Токен от ВТБ будет присылать вам одноразовые коды через SMS или Push-уведомления. SMS будет приходить на тот номер телефона, который вы указали при регистрации в системе ВТБ Bank Токен. Push-уведомления будут приходить на подключенное к Токену устройство. Чтобы вам могли приходить SMS необходимо посетить ближайший офис ВТБ вместе с документом, удостоверяющим личность. Сотрудники банка предложат заполнить заявление на подключение этой услуги с указанием номера мобильного. Что касается Push-уведомлений, то предложение подключить их вы получите при первом входе в ВТБ-Онлайн. Также их можно включить в «Настройках» мобильного приложения.
Важно знать: SMS- и Push-code взаимозаменяемы. Чтобы подключить Push, нужно начать с SMS. В первую очередь банк отправляяет Push-пароль. Если сообщения нет 10-15 секунд, его дублируют по SMS.
Примеры SMS/Push-сообщений с кодами:
Пин-код
В зависимости от функционала вашего устройства, вы можете использовать отпечаток пальца вместо ПИН. Чтобы подключить эту функцию, сделайте следующее:
В противном случае вам будет необходимо установить цифровой пароль. Он может быть изменен следующим образом:
Будьте предельно внимательны, вводя ваш пароль. С целью повышения уровня безопасности Токен от ВТБ не хранит никакой информации, что касается и ПИН-кода. Корректность пароля может быть проведена только после операции подтверждения. А неправильный ПИН приведет к генерации некорректного кода подтверждения.
Правила безопасности
Важно также следить за обновлениями. ВТБ регулярно работает над тем, чтобы улучшить защиту токена от мошенников, поэтому убедитесь, что у вас стоит последнее обновление приложения. ПИН-код в токене от ВТБ не подлежит восстановлению. Если вам никак не удается вспомнить – переустановите программу и заново зарегистрируйтесь через онлайн-систему.
Сотрудники ВТБ никогда не звонят с целью выяснения персональных данных, одноразовых кодов или кодов аутентификации карты (CVC/CVV-код), даже в случае возникновения технических неполадок.
Помимо этого Токен не станет запрашивать:
Если вам поступил звонок и кто-то представился сотрудником ВТБ, ни в коем случае не сообщайте запрошенную информацию и не совершайте действий, о которых вас просят. Как можно скорее сообщите об этом в службу поддержки по телефонам: 8 (495) 777–24–24, 8 (800) 100–24–24.
Как видно, «Токен» от ВТБ – это полезное приложение, помогающее сохранять информацию о ваших транзакциях в секрете. Внимательно придерживайтесь правил безопасности, чтобы не дать злоумышленникам добраться до ваших личных данных.
Что такое режим “А” в ВТБ онлайн?
В данной статье речь пойдёт от таком явлении как режим “А” в сервисе ВТБ “Онлайн” или как ещё это называют – генератор паролей. Будут разобраны вопросы, касающиеся этой системы. Для чего она? Как пользоваться? И что это вообще такое? Будет далее в статье.
Генератор паролей
Для начала нужно разобраться, что это вообще за режим “А” в ВТБ. Генератор паролей самостоятельно формирует пароли для входа в систему ВТБ онлайн или при проведении каких-либо финансовых операций, переводах или оплатах, для подтверждения того, что это вы совершаете данные действия. Стоит также учитывать, что пароль является одноразовым, то есть для каждой отдельной операции будут приходить новые пароли.
В целом, если говорить о работе с данной системой, то ничего сложного в этом нет. Но для начала, нужно будет получить карту с EVM-чипом. Также с 2016 года, банк ВТБ24 создал и запустил своё новое приложение – “Токен-ВТБ24-Онлайн”. То есть будет достаточно, только поставить это приложение на свой смартфон и можно будет пользоваться функцией генерации паролей, что несомненно упростило использование режима “А”. Как всем этим пользоваться и где получить, будет далее в статье.
Как начать работу с генератором паролей
Кстати, для оформления необязательно являться в отделение банка, можно будет зарегистрировать прибор, позвонив в уже упоминавшийся контактный центр, для этого нужно будет назвать свои паспортные данные. Соответственно после этого, вы сможете забрать прибор в отделении банка в любой удобный день.
С получением прибора вам также будет выдана карта с ПИН-кодом, уникальный номер. Также вы получите подробную инструкцию, с описанием и рекомендациями по использованию генератора паролей. С этого момента вы сможете получить одноразовые пароли при совершении денежных операций и для входа в приложение, и личный кабинет на сайте ВТБ24.
Стоит отметить, что получение прибора не является бесплатной процедурой. Его стоимость составляет порядка 500 рублей. Также существуют различные пакеты услуг, как “Прайм” или “Привилегия”, которые дают различные преимущества и скидки на определённые услуги.
Почему стоит пользоваться генератором паролей
У данного устройства есть определённые преимущества, которые будут перечислены далее.
Также при работе с сервисом ВТБ онлайн, можно будет выбрать: будут пароли приходить вам на телефон в виде СМС или вы будете пользоваться самим генератором паролей.
Работа с генератором паролей ВТБ 24
Для генерации паролей потребуется само устройство и карточка с EMV-чипом. После того как карта будет вставлена в приемник, нужно будет выбрать способ подтверждения операции. Далее введите полученный в отделении банка – ПИН-код, выберите язык. Сгенерированный пароль, можно будет использовать в мобильном приложении или на сайте банка ВТБ 24.
Доступ в интернет-банк
Не так давно банк ВТБ прекратил выдачу аппаратных генераторов одноразовых паролей для подтверждения операций в интернет-банке новым клиентам и сфокусировался на смс кодах и мобильных приложениях с токенами.
О том насколько легко получить дубликат сим карты в каком ни будь заштатном офисе оператора сотовой связи по липовой доверенности и после этого получить доступ к интернет-банку в интернете написано множество статей; какое количество вирусов существует для мобильных телефонов, особенно на базе android так же говорить излишне, однако банк пошел дальше и вовсе частично отменил необходимость ввода одноразового пароля (кода) при входе в интернет банк:
Кроме того, в банке до сих пор используется система, которая не позволяет установить хотя бы буквенно-цифровой пароль, только цифры от 6 до 20. (скриншот)
Что же дальше? Допустим злоумышленник получил доступ к интернет-банку пользователя, не говоря уже о том, что это нарушает банковскую тайну и все данные данные о счетах и операциях пользователя становятся доступны, злоумышленник может совершить переводы на общую сумму 4 500 000 рублей в сутки без подтверждения одноразовым паролем (скриншот)! Понесет ли за это банк какую-либо ответственность? Едва ли!
Обращение в техническую поддержку никаких результатов не принесло, отключить новую систему невозможно, вот так, выдавая очередной распил средств на плохо продуманный искусственный интеллект за «удобство для клиентов» банк продолжает ухудшать безопасность и способствовать краже средств со счетов клиентов.
Никакого иного решения кроме возможности отключения «искусственного интеллекта» в настройках интернет-банка быть не может!
Генератор паролей ВТБ
Открой содержание статьи
Пожалуй, каждый из нас имеет банковскую карту. И не важно с какой целью вы ее используете – получаете зарплату, открыли кредит, или вам удобно расплачиваться ею в продуктовом. Суть остается одна – на этой карте ваши деньги. Кража карты – это не так страшно, как если бы у вас украли бы наличку. Но представляете ли вы, что будет, если вашу карту взломают?
Взломать банковскую карту это вам не страницу ВК взломать, тут за дело берутся опытные мошенники. Они умеют взламывать шифры, угадывают ваш пароль и переводят ваши деньги так мастерски, что вы и не заметите.
Поэтому очень важно обезопасить свои средства надежным паролем. Он должен быть настолько рандомным и нелогичным, чтобы ни один хакер не смог его угадать. Выдавать действительно случайные комбинации цифр(без любимых чисел или дат рождения) может только машина. Исходя из этого ВТБ банк придумал генератор паролей.
Поэтому, если вы не спец в том, чтобы держать данные в безопасности, и в большинстве случаев придумываете пароли наподобие «12345» или «qwerty», тогда вам срочно нужна дополнительная защита вашей карты, а именно генератор паролей ВТБ 24. Как получить этот агрегат? Разобраться с этим вам поможет эта статья.
Генератор паролей ВТБ 24 — что это такое?
Данный прибор от банка ВТБ генерирует коды при выполнении банковских операций. Также вы можете авторизоваться в интернет-банкинге ВТБ-Онлайн, благодаря системе генерирования паролей.
Это гарантия безопасности при совершении любых действий с банковской картой, личным вкладом или счетом.
Физический генератор паролей ВТБ 24
Есть два вида интересующих нас приборов от банка ВТБ. Первым рассмотрим физический генератор паролей. Он представляет из себя аппарат, напоминающий расчетный терминал.
Как им пользоваться? Что ж, генератор паролей имеет два режима работы «А» и «Б». Для того, чтобы сгенерировать одноразовый пароль в режиме «А» вам нужно следовать пошаговой инструкции:
Данный способ будет полезен, если вы совершаете операцию в «ВТБ-Онлайн», например, переводите деньги на другую карту или тому подобное. Таким образом, если это хотели бы провернуть мошенники, они бы не смогли ввести пароль, ведь генератор паролей находится у вас и только вы можете успешно совершать транзакции.
Режим «Б» отличается от первого тем, что требует больше данных от владельца карты. Для того, что сгенерировать пароль в режиме «Б» необходимо:
Как его получить? Получить физический генератор паролей можно, обратившись к сотруднику отделения банка.
Сделать это можно практически во всех отделениях, независимо от региона проживания. Впрочем, чтобы удостовериться в наличии, лучше заранее перезвонить в контактный центр ближайшего к вам отделения. К слову, оператор подробно расскажет не только о правилах получения аппарата, но и о его правильном использовании.
Помимо генератора пароля вы получите уникальный номер, карту с пин-кодом, и инструкцию по использованию. Карта с пин-кодом необходима для создания специальных комбинаций цифр.
Генератор паролей ВТБ 24 онлайн
Также банк представляет генератор паролей ВТБ онлайн версия. Он позволяет проводить те же действие, что описаны выше, но без приобретения физического терминала-генератора. Согласитесь, генерировать пароли со своего смартфона намного удобнее, чем разбираться в физическом аппарате!
Подключить онлайн генератор легко, достаточно зайти в официальный магазин мобильных приложений. В зависимости от вашего смартфона это может быть GooglePlay, AppStore или WindowsStore. Здесь найдите приложение «Токен-ВТБ24-Онлайн» и установите его на смартфон.
Теперь вы сможете подтверждать свои операции прямо через смартфон. Для этого, перед тем как производить операцию, войдите в ВТБ-Онлайн, перейдите в раздел Настройки и найдите раздел Способы подтверждения. Теперь выбираем «Регистрировать». Введите название токена и его пин-код. Чтобы подтвердить регистрацию, введите пароль, который придет смс-кой на ваш телефон.
Что ж, стоило приложить усилий и вы зарегистрировали ваш смартфон в качестве генератора паролей. Теперь разберемся, как он будет исполнять свои обязанности.
С помощью этого приложения, вы сможете обезопасить свой личный кабинет онлайн банка. Подтвердив вход кодом, вы подтвердите свою личность, а мошенник этого сделать не сможет, если он решит вас взломать. Тогда банк не подтвердит вход в личный кабинет, тем самым сохранив безопасность ваших средств. Для того, чтобы войти в ВТБ24 при помощи генератора кодов необходимо следовать этим действиям:
Вот и все, вы успешно подтвердили операцию входа. Только у вас есть доступ к этому коду, поэтому вы можете защитить свои средства от возможных мошенников.
Аналогично физическому генератору кодов, приложение Токен работает в двух режимах. Режим «Б»:
Преимущества генератора паролей ВТБ
В чем же прелесть использования генератора паролей ВТБ, в сравнении с его альтернативами? Самое главное – степень защиты более значительная, в сравнении с смс-кодами. Также нельзя не отметить увеличенный лимит дистанционных денежных переводов.
Еще один плюс – простота в использовании. Нет необходимости устанавливать дополнительное ПО, все, что нужно – маленький аппарат и карта с EMV-чипом, или только приложение на телефон. Подключить генератор паролей можно с помощью инструкции, которая идет в комплекте с аппаратом. Закончив простые настройки, вы можете совершать операции переводов средств без посещения отделения банка.
Как отключить генератор пароль ВТБ 24 онлайн
Если вы не нашли для себя плюсы в использовании генератора паролей, не отчаивайтесь, ведь вы всегда сможете вернутся к получению кодов подтверждения в виде смс.
Убрать генератор паролей в ВТБ 24 при помощи интернет банкинга:
Метод аутентификации считается измененным только после того, как заявление подтвердить сотрудник банка.
Заключение
Генератор паролей ВТБ 24 гарантирует безопасность ваших средств. С ним вы можете не волноваться, что кто-то взломает ваш личный кабинет, ведь все операции требуют подтверждения через генератор паролей. Помимо этого, с ним вы сможете совершать денежные переводы с большим лимитом, и не нужно обращаться в банк напрямую.
Генератор паролей также не требует установки дополнительного ПО, вы можете скачать приложение просто на ваш смартфон. А если ваш теелфон не поддерживает данное приложение, купите физический генератор паролей. Он удобен не менее своей цифровой версии. Также стоит отметить и простой отказ от услуг генератора паролей в ВТБ24, если он не пришелся вам по душе.
Подведя итог, нужно сказать, что дополнительная защита своего банковского аккаунта никогда не была лишней. Если вы придерживаетесь того же мнения, советую скачать приложение генератор паролей ВТБ.