Тип средства подписи для двухфакторной аутентификации не поддерживается гпб бизнес

• AppVisor.ru  »
• Приложения iOS  »
• Работа  »
• Инструменты

За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так:

• Пароль в SMS можно подсмотреть, если у вас включен показ уведомлений на экране блокировки.
• Даже если показ уведомлений отключен, можно извлечь SIM-карту из смартфона, установить в другой смартфон и принять SMS с паролем.
• SMS с паролем может перехватить пробравшийся в смартфон троян.
• Также с помощью различных махинаций (убеждение, подкуп, сговор и так далее) можно заполучить новую SIM-карту с номером жертвы в салоне сотовой связи. Тогда SMS будут приходить на эту карту, а телефон жертвы просто не будет связываться с сетью.
• Наконец, SMS с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти SMS передаются.

Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе.

В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим.

Одноразовые коды в файле или на бумажке

Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа.

Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей.

В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены.

Приложения для двухфакторной аутентификации

У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора.

Как работают приложения-аутентификаторы

Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать:

• устанавливаете на смартфон приложение для двухфакторной аутентификации;
• заходите в настройки безопасности сервиса, который среди опций для двухфакторной аутентификации предлагает использовать такие приложения;
• выбираете двухфакторную аутентификацию с помощью приложения;
• сервис покажет вам QR-код, который можно отсканировать прямо в 2FA-приложении;
• сканируете код приложением — и оно начинает каждые 30 секунд создавать новый одноразовый код.

Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он.

Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает.

Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании).

Совместимость приложений для двухфакторной аутентификации и сервисов

Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится.

Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных.

Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения.

Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород.

Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов.

Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения.

Лучшие приложения для двухфакторной аутентификации

Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками.

Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов.

1. Google Authenticator

Поддерживаемые платформы: Android, iOS

Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все!

2. Duo Mobile

Поддерживаемые платформы: Android, iOS

3. Microsoft Authenticator

Поддерживаемые платформы: Android, iOS

В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт.

4. FreeOTP

Поддерживаемые платформы: Android, iOS

Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта.

5. Authy

Поддерживаемые платформы: Android, iOS, Windows, macOS, Chrome

Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами.

В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером.

− Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает.
 

6. «Яндекс.Ключ»

Поддерживаемые платформы: Android, iOS

На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки.

Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать.

− При большом количестве токенов не очень удобно искать нужный.
 

«Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все

Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance.

Как работают токены FIDO U2F

Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов.

Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография».

При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство.

Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт.

Какими бывают U2F-устройства

Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей.

Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку.

Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать:

USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C.

NFC — необходим для использования со смартфонами и планшетами на Android.

Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени.

В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее.

Что же выбрать: SMS, приложение или YubiKey?

Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена.

Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства.

Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.

FAQ

Поделитесь ссылкой с друзьями

#2 Гпб банк — начало

Сколько стоит разработка мобильного приложения?

Топ-7 мобильных приложений для инвестиций и трейдинга Сбербанк ВТБ Финам Тинькофф БКС Открытие Альфа

Для этого приложения пока нет обзоров

Для этого приложения пока не указаны ссылки

Аналоги ГПБ Бизнес

Готовый Бизнес
BIBOSS, OOO

Госэкспертиза Онлайн
СПб ГАУ «Центр госуд..

Госвозврат
Ewgeniy Isurov

Госаптека. Руководитель.
ООО «ФАРМАСОФТhttps://appvisor.ru/app/ios/gpb-biznes-118837/» target=»_blank»]appvisor.ru[/mask_link]

Почему не получается обновить криптомодуль Газпромбанка?

Электронная цифровая подпись

Автор ЭЦП-эксперт На чтение 6 мин. Просмотров 281 Опубликовано 29.11.2021

“корпоративным клиентам газпромбанка теперь доступна функция «облачной» электронной подписи в мобильном банке ” от 22 декабря 2020 – пресс-центр ао банк гпб

22 декабря 2020 года
— Газпромбанк внедрил «облачную» неквалифицированную электронную подпись (myDSS), с помощью которой клиент сможет подписывать электронные документы в мобильном приложении. Решение позволяет подписывать электронные документы непосредственно со смартфона без применения аппаратных токенов и других специализированных средств криптографической защиты информации. Клиент может работать на любой платформе с соблюдением самых строгих требований безопасности.

Платформонезависимый сервис уже сейчас доступен для пользователей мобильного приложения «ГПБ Бизнес», а в дальнейшем технология будет распространена на всю экосистему цифровых продуктов Газпромбанка. Выбор Банка был сделан в пользу наиболее технологичного решения myDSS – совместной разработки компаний «КриптоПро» и SafeTech.

«Улучшение клиентского опыта – это один из приоритетов развития. Важным шагом является внедрение технологии «облачной» подписи, которая даст возможность нашим корпоративным клиентам совершать платежи на смартфонах, при этом достаточно будет только установить мобильное приложение Банка, – отметил Исполнительный Вице-Президент Газпромбанка Андрей Королёв. – В будущем, мы уверены, «облачная» подпись будет востребована клиентами и может широко использоваться».

«Стратегия Газпромбанка направлена на цифровую трансформацию и перевод клиентов на работу в дистанционных каналах. При этом мы обеспечиваем выполнение самых строгих требований к безопасности. Одна из ключевых для нас сфер деятельности – расширение возможностей работы с цифровой подписью. Многое сделано в этом направлении, и у нас не менее амбициозные планы. Несомненно, клиенты оценят наше стремление к повышению качества и удобства работы с сервисами Банка», – заявил Исполнительный Вице-Президент – начальник Департамента информационных технологий корпоративного бизнеса Газпромбанка Иван Варжавин.

«Использование цифровых каналов в банковском бизнесе – это необходимость современного мира. Газпромбанк как один из лидеров российского банковского рынка ориентирован на инновационное развитие. Наша задача – обеспечить Банк современными технологичными решениями, которые позволят его клиентам работать эффективно и безопасно, – подчеркнул генеральный директор компании BSS Георгий Кравченко. – Результаты проекта внедрения «облачной» подписи обеспечили корпоративным клиентам Газпромбанка полноценный и безопасный доступ ко всем информационным и платежным сервисам системы ДБО».

«Разработка технологий усиленной электронной подписи с мобильного устройства оказала большое влияние на цифровые сервисы российских банков – теперь подтверждение транзакций и подпись НЭП электронных документов доступны клиентам на обычных смартфонах, – сказала Дарья Верестникова, коммерческий директор SafeTech. – Решение myDSS со своей функциональностью и возможностями является уникальным на российском рынке. С его помощью клиенты могут получить сервисы, которые раньше были недоступны в силу сложности использования НЭП на иных устройствах. Теперь же пользователи могут из любой точки мира без дополнительных аппаратных средств и компьютеров, прямо со своего мобильного телефона подписывать любые документы, совершать сделки, взаимодействовать с государственными органами власти».

Газпромбанк входит в тройку лидеров банковской отрасли России по основным объемным показателям (по версии ИНТЕРФАКС-100. Банки России , а также в число крупнейших финансовых институтов Центральной и Восточной Европы.

Газпромбанк предоставляет широкий спектр услуг корпоративным и частным клиентам. Банк обслуживает ключевые отрасли российской экономики – газовую, нефтяную, химическую и нефтехимическую, металлургию, электроэнергетику, машиностроение, транспорт, строительство, связь, агропромышленный комплекс, торговлю и другие отрасли.

Розничный бизнес Газпромбанка ориентирован на предоставление современных высокотехнологичных продуктов и сервисов. На начало 2020 года Банк обслуживает около 5 млн клиентов-физических лиц, розничный кредитный портфель по итогам 2022 года составляет более 550 млрд рублей, портфель розничных вкладов – более 480 млрд рублей.

Газпромбанк уделяет пристальное внимание качеству и безопасности своих сервисов. Поэтому Банк одним из первых реализовал технологию «облачной» подписи с использованием усиленной неквалифицированной электронной подписи (НЭП) в мобильном приложении «ГПБ Бизнес». Следующим этапом станет применение технологий «облачной» подписи в экосистеме «ГПБ Бизнес-онлайн».

Компания BSS с 1994 года разрабатывает и внедряет системы ДБО и финансовые сервисы, развивает голосовые технологии, решения по информационной безопасности и аутстаффингу ИТ-специалистов.

Внедрение программных решений для более чем 50% российских банков позволили компании накопить уникальные компетенции и опыт. 8 из 11 системно значимых банков России, а это крупнейшие банки РФ, решают бизнес-задачи на базе разработок BSS. Все программные продукты BSS разработаны на территории РФ, включены в Реестр российского ПО и зарегистрированы в Роспатенте.

Достижения компании признаны профессиональным сообществом: топ-3 рейтинга Business Internet Banking Rank 2022 и топ-5 рейтинга Business Internet Banking Rank 2022, топ-15 рейтинга «Крупнейшие поставщики ИТ для банков 2022» и топ-20 ведущих российских разработчиков ПО (2020). Решения компании широко применяются в банковской отрасли, госсекторе, электронной коммерции и других сферах.

SafeTech – российский разработчик инновационных решений для защиты систем дистанционного банкинга и электронного документооборота, резидент IT-кластера Фонда «Сколково». Компания создает инструменты безопасности для цифровых каналов, чтобы клиенты банков могли решать повседневные задачи проще, удобнее и безопаснее.

Результаты внедрения решений компании SafeTech позволяют финансовым и страховым институтам реализовать новые цифровые сервисы: зарегистрировать новый бизнес в режиме онлайн, открыть счет удаленно без посещения офиса банка, а в дальнейшем – подписывать платежи и документы в любом месте и в любое время.

Настройка рабочего места на этп газпромбанк, регистрация, проверка, смена эцп на этп гпб

ЭТП Газпромбанка – самая крупная площадка нефтегазового сектора России, созданная для предприятий, входящих в группу предприятий «Газпрома», корпоративных клиентов «Газпромбанка» и корпоративных заказчиков, не связанных с газовой отраслью.

В числе участников ведущие предприятия машиностроительной, горнодобывающей, металлургической, космической, химической сфер, а также аэропорты, агропромышленный комплекс и розничные торговые сети. Площадка проводит торги по 223-ФЗ и 44-ФЗ.

На ЭТП ГПБ ведется работа в секциях:

• государственных, муниципальных закупок;
• корпоративных заказчиков;
• корпораций с долевым участием «Газпром»;
• закупок малого объема для коммерческих заказчиков сторонних организаций.

Для работы в коммерческих разделах требуется ЭЦП, имеющая расширение для торговой площадки «Газпромбанка». На торговом портале ЭТП ГПБ размещаются прайс-листы без применения электронной подписи.

Специалисты «Интегруса» настроят рабочее место пользователя для успешного участия в торгах на площадке «Газпромбанка». Рабочее место должно соответствовать заявленным требованиям:

Регистрация закупок на площадке Газпрома обязывает пройти регистрацию поставщиков в Автоматизированной системе закупок (ЕИС), работающей только в браузере IE 9. Сделать это можно после настройки компьютера для работы с ЭП.

Регистрация на ЭТП ГПБ двухэтапная, с регистрацией в качестве нового пользователя и только затем – организации как участника закупок. После рассмотрения заявки становится возможной аккредитация, открывающая доступ ко всем электронным процедурам на ЭТП ГПБ.

Специалисты ГК «Интегрус» в ходе настройки рабочего места устанавливают сертификат электронной цифровой подписи (ЭЦП) и производят настройку браузера с комплектом необходимых плагинов. После прохождения регистрации и получения доступа к ЭТП осуществляется установка программного обеспечения:

• криптопровайдера КриптоПро CSP 6 и выше;
• сертификата ключа;
• криптографических плагинов.

В процессе установки подтверждаются корневой и личные сертификаты. Проверка корректной работы браузера и электронной подписи выполняется на сайте ЭТП ГПБ.

Источник: ecpexpert.ru

Как начать работу на торговой площадке Газпромбанка (ЭТП ГБП)

Индивидуальные предприниматели или организации, заинтересованные в развитии бизнеса и в поиске постоянных заказчиков, могут зарегистрироваться на электронных торговых площадках. Они имеют множество преимуществ, а работа на электронном рынке безопасна благодаря электронным подписям, средствам современной информационной безопасности и строгому законодательству. На рынке РФ одной из самых активных ЭТП является площадка Газпромбанка, совершающая миллионные ежедневные обороты и позволяющая быстро привлечь поставщиков и заказчиков.

Чем торговый портал отличается от электронной торговой площадки

Электронные торги позволяют заказчикам оптимизировать затраты, а поставщики услуг получают возможность принять участие в закупках, привлечь больше клиентов и распространить рекламу о себе на большей площади. На рынке работают компании, специализирующиеся на размещении информации на ЭТП и обработке полученных результатов.

Электронные торговые площадки предназначены для объединения поставщиков и потребителей в единое торговое и информационное пространство, а их преимущество в:

• Экономии физических и финансовых ресурсов;
• Открытости и прозрачности процесса;
• Отсутствии необходимости личного присутствия при регистрации и во время торгов;
• Равных условиях для всех участников;
• Ценовой политике, тарифах и условиях лотов: информация выставляется в открытом виде, давая возможность участвовать в торгах представителям любого бизнеса.

На базе электронной площадки ЭТП ГПБ создан торговый портал. Отличается он от самой площадки тем, что:

• Не требует использования электронной подписи;
• Является бесплатным для участия;
• Не регулируется ФЗ-223;
• Имеет простую форму аккредитации;
• Ориентирован на закупки, не превышающие 500 тыс. руб.

Если заказчики попадают под ФЗ-223, то им проще осуществлять работу на ЭТП. Закупки на суммы до 100 000 или до 500 000 рублей при годовом обороте свыше 5 млрд руб. не попадают под данный законопроект, что облегчает заказчикам ведение бизнеса.

ЭТП ГПБ сегодня

Электронная торговая площадка Газпромбанка является дочерним предприятием банка, предназначенным для оказания услуг в сфере электронных торгов. Общество с ограниченной ответственностью ЭТП ГПБ создано в 2012 г., и совместимо с системами ERP и SRM, что позволяет создавать индивидуальные бизнес-проекты с высоким уровнем безопасности и отказоустойчивости.

К главным направлениям деятельности ЭТП для Газпромбанка относятся закупки:

• Предприятий, входящих в группу компаний Газпрома;
• Корпоративных заказчиков, ОАО «Газпрома» или уполномоченных дочерних организаций и обществ;
• Государственных корпораций и заказчиков, а также организаций с участием государства.

ЭТП предлагает услуги поставки заказчикам, которыми могут выступать предприятия, попадающие под действие ФЗ-44 от 05.04.2013 г. или постановление Правительства РФ под номером 615 от 01.07.2016 г.

К второстепенным направлениям деятельности ЭТП относятся:

• Проведение закупок малых объемов в виде прямых заказов;
• Продажа непрофильных активов;
• Торги по реализации имущества, комплексов и складских запасов.

Для облегчения процесса регистрации и работы на сайте и портале организована круглосуточная служба поддержки. Техподдержка помогает со входом в личный кабинет, отвечает на вопросы о безопасности передаваемой информации, об участии в закупочных торгах, решает технические вопросы и т.д.

Электронный документооборот

Для удобства клиентов также создана сеть электронного документооборота, дающая возможность обмениваться ЭД любого типа и формата. При помощи ЭДО ЭТП ГПБ можно:

• Отправлять акты, счета-фактуры, накладные;
• Согласовывать основные документы участников секции группы Газпром;
• Отправлять документы внешним контрагентам.

ЭЦП для Газпромбанка, применяемая для заверки документов, дает им полную юридическую силу, и делает их тождественными документам на бумажном носителе. Оператор ЭДО ЭТП ГПБ является доверенным оператором ФНС РФ. Для получения ЭЦП для ЭТП ГПБ нужно обратиться в доверенный УЦ, имеющий право выдавать квалифицированный сертификат ЭП. Иные виды ЭП для работы на площадке запрещены.

Выбрать ближайший из УЦ можно на сайте ЭТП ГПБ. Отправить заявку на получение подписи можно удаленно, но получение сертификата возможно только при личном присутствии и предоставлении оригиналов документов. Отличается сертификат для работы на площадке Газпромбанка тем, что имеет отметку об использовании ЭЦП для ЭТП ГПБ.

Объем процедур на ЭТП ГПБ

С 2014 года торговая площадка Газпромбанка входит в тройку крупнейших рынков, которые проводят закупки в с ФЗ-222 от 20.07.2011 г. Официальные данные по работе ЭТП ГПБ:

• Более 4000 заказчиков и поставщиков, разместивших свои прайс-листы;
• Более 4000 торговых операций ежедневно;
• Более 50 000 зарегистрированных поставщиков, представляющих малый и средний бизнес;
• Более 22 000 активных поставщиков.

К основной группе заказов относится:

• Вычислительная техника;
• Продукция нефтяного и химического машиностроения;
• Электротехнические материалы и оборудование;
• Средства автоматизации;
• Стройматериалы;
• Мебель;
• Нефть и нефтепродукты;
• Пищевые продукты, а также продукция автомобильной, полиграфической, бумажной промышленности;
• Товары бытовой химии.

Общая сумма заказов на торговой площадке Газпромбанка в 2017 г. составила 2,176 млрд. руб. или 90% от всех заказов СМСП.

Какие компании работают на площадке банка

Крупнейшими заказчиками ТП Газпромбанка являются такие компании, как ПАО Газпром, аэропорт Шереметьево, а/к Россия и т.п. ПАО Газпром — крупнейшая транснациональная энергетическая корпорация, более половины акций которых принадлежит государству. На ее долю приходится более 10% от мировой добычи нефти и более 60% добычи газа.

Газотранспортная система имеет протяженность свыше 170 тыс. км и занимает 1 место в мире. Международный аэропорт Шереметьево занимает в России 1 место по общему потоку пассажиров. Он входит в группу «Аэрофлот» и обслуживает самолеты 39 авиационных компаний по 206 направлениям. В России это единственный аэропорт, отправляющий прямые рейсы через Атлантический океан.

АО «Военторг» также относится к крупнейшим заказчикам, и организован для осуществления услуг по организации питания, банно-прачечных процедур для Министерства обороны России и иных министерств и ведомств. Обществу предоставлено право на пошив одежды для военнослужащих, на организацию торговли в воинских частях и т.д.

Группа компаний Росводоканал работает в сфере водоснабжения и водоотведения, и принимает активное участие в торгах на ЭТП ГПБ. Организации компании в год поставляют до 560 млн кубометров воды и очищают до 510 млн кубометров стоков. ПАО Новатэк относится к крупным независимым компаниям, производящим природный газ в России. Организация осуществляет разведку, добычу, переработку природного газа и жидких углеродов. Новатэк также активный участник электронных торгов на площадке Газпромбанка.

Условия регистрации на ЭП

Чтобы зарегистрироваться на сайте, корпоративным заказчикам необходимо заполнить анкету и вписать информацию об организации, регистрационных документах, а также подписать заявку на регистрацию ЭП, активировать электронную почту и создать учетную запись.

Для участия в закупках по ФЗ-44 нужно заполнить заявку, создать учетную запись и предоставить сведения об организации и регистрации. Срок рассмотрения заявки не превышает 5 рабочих дней. Для регистрации в автоматизированной системе электронных закупок юридические лица предоставляют следующие документы:

• Устав;
• Выписку из ЕРГЮЛ, полученную не менее 6 месяцев до даты составления заявки;
• Документ о назначении руководителя;
• Решение об одобрении сделок от имени участника закупки.

Индивидуальный предприниматель предъявляет выписку из ЕГРИП и копию паспорта. Физическое лицо должно предоставить копию документа о регистрации ИНН и копию паспорта. Если владельцем ЭП является уполномоченное лицо, то во всех случаях предоставляется нотариально заверенная доверенность.

Процесс взаимодействия с ЭП ГПБ

Принцип работы с электронной торговой площадки для заказчиков и поставщиков услуг разный.

Как начать работать заказчику

Полная инструкция заказчика состоит из 191 страницы, и содержит информацию по основным терминам и назначениям системы, установке и настройке ПО КриптоПро и регистрации пользователя на ЭТП, о настройке системы и элементах работы с ЭТП. Также инструкция дает полное описание операций и помогает справиться с основными ошибками и аварийными ситуациями. Для удобства работы инструкция имеет подробные рисунки каждого из этапов работы с площадкой, а также телефон круглосуточной техподдержки для решения срочных вопросов.

Этапы проведения заказа подразделяются на:

1. Выбор позиции.
2. Создание ценового запроса.
3. Формирование заказа.
4. Закрытие или исполнение заказа.

Искать интересующие позиции можно при помощи быстрого или расширенного поиска. Быстрый поиск происходит по названию, а в табличной части отражаются все объекты, подходящие по ключевым словам. Для расширенного поиска можно дополнительно задать такие параметры, как наименование позиции, прайс-лист, категория, классификатор, код позиции, регион поставки и т.д.

Реестр ценового запроса содержит все ЦЗ, созданные и направленные поставщиками на момент обращения к системе. Делятся они на актуальные и исходящие. Исходящие — это сформированные ранее заказчиком, а актуальные — имеющие статус «на рассмотрении у поставщиков». Перечень исходящих запросов содержит такую информацию, как дата создания и информация о заказчике, статус ЦЗ и его тип, дата предоставления ответа и т.д. В реестре исходящих запросов также возможен быстрый и расширенный (с указанием статуса, номера заказа, даты создания и типа) поиск.

Чтобы сформировать заказ на рабочем столе заказчика нажимают «Открыть предварительный заказ». Окно заказа выглядит так:

Заказчик должен заполнить все поля во всех вкладках, после чего нажать на кнопку «Отправить поставщику». Заказ автоматически принимает статус «На рассмотрении», и его редактирование становится невозможным.

Статус заказа меняется в зависимости от действий поставщиков, и может быть как принятым к исполнению, так и отклоненным. Если в течение 3 рабочих дней никто не отвечает на заказ, то он становится просроченным. Если поставщик и заказчик согласовали выполнение заказа, то появляется возможность дополнительно прикрепить к форме подтверждающие документы:

Закрытие заказа становится возможным только для заказов, находящихся в исполнении. В окне подтверждения закрытия указывают статус и комментарии к исполнению:

Для удобной работы в кабинете заказчика имеются и такие поля, как реестр классификаторов, категории товаров и контроль закупок, а номенклатурные позиции можно хранить в справочнике номенклатуры.

Как начать работу поставщику

Инструкция поставщика — менее объемный документ, и содержит 121 страницу. Версия 3.0 содержит полное описание процесса проведения заказа, ценового вопроса, входящих заказов, прайс-листа и его согласования, реестра классификаторов и все необходимые приложения.

Перед началом работы поставщик в обязательном порядке должен заполнить анкету с указанием информации о пользователе и организации, и предоставить регистрационные документы. Далее идет подписание заявки на регистрацию ЭЦП, активация электронного адреса и создание учетной записи. Регистрация 1 уровня позволяет участвовать в торгах и использовать электронную подпись.

После входа в систему открывается окно входящих уведомлений:

Прямой заказ, поступивший от заказчика, отражается на «Рабочем столе заказов поставщика», и имеет статус «На утверждении». Просмотреть его можно, нажав на кнопку «Открыть». Выглядит прямой заказ так:

Информация о заказе содержит статус и название заказа, его порядковый номер, данные об организаторе и поставщике услуг, цены и т.п. Во вкладке «Позиция заказа» отражаются специфические данные:

• Сумму закупки без НДС;
• Количество товара;
• Цена за единицу товара;
• Наименование торговой площадки;
• Ставка НДС в % и т.д.

Если заказ устраивает поставщика, то необходимо нажать на кнопку «Открыть»―«Утвердить»:

При успешном прохождении проверки со счета поставщика списываются денежные средства согласно тарифу участия на ЭТП, и заказ принимает статус «Исполняется».

Прямой заказ можно также отклонить, а при завершении операции по оплате и доставке товара статус автоматически меняется на «Исполнен».

Поставщик может добавить свои позиции в прайс-лист, выбрав уже существующие позиции из справочника или вручную. Первый способ более быстрый, но подходит только в случаях, если аналогичные позиции предлагаются другими поставщиками. Для этого открывают меню «Прайс-Лист» и «Подбор позиции»:

Если нужной позиции нет, то ее необходимо добавить вручную, нажав на кнопку «Добавить позицию». Откроется окно:

Обязательные поля для заполнения помечены значком *. После внесения всей информации и загрузки необходимых документов нужно нажать на кнопку «Сохранить». Добавленная позиция получит статус новой, но чтобы она стала доступна заказчикам, ее нужно обработать. Для этого заявку помечают флажком и нажимают на кнопку «Отправить на обработку». Аналогичным образом заявку отправляют на нормализацию и подтверждение оплаты. После этого позиция автоматически добавляется в прайс-лист, и становится доступной для заказчиков.

Поиск закупок

Информацию по текущим торгам и аукционам можно найти на официальном сайте https://etpgpb.ru в разделе «Поиск по Торгам». Оповещения о новых торгах приходят всем подписчикам на электронную почту, в социальных сетях и в виде смс по телефону, указанному при регистрации. Удобная форма поиска позволяет выбрать один из разделов:

• Строительство;
• Торговля и ремонт;
• Транспорт и связь;
• Обрабатывающее производство;
• Недвижимость и т.д.

Функция поиска имеет фильтры по стоимости, типу торгов, ценовому диапазону и общим параметрам.

Существует также единая государственная информационная система в сфере закупок (http://zakupki.gov.ru), которая позволяет получить информацию о текущих торгах и участниках аукционов, содержит информацию о главных торговых площадках РФ и содержит все нормативные документы и материалы для работы в ЕИС.

Участие в электронных торгах на площадке Газпромбанка доступно для субъектов малого и среднего бизнеса, и позволяет заявить о себе как о поставщике качественных услуг на одном из самых больших рынков страны. Для работы с ЭТП необходимо пройти процесс регистрации, указать данные о компании или ИП, получить в УЦ квалифицированную электронную подпись и подтвердить ее на сайте. Дальнейшая работа происходит в режиме создания и подтверждения заявок и формирования заказов. И поставщики, и заказчики имеют доступ ко всем данным и уровню репутации компаний, а также могут оставить отзывы об оказанных услугах.

Источник: myedo.ru

✔️ Обзор лучших приложений для двухфакторной аутентификации для защиты вашей электронной почты и аккаунтов в социальных сетях

Обзоры

Автор cryptoparty На чтение 6 мин Опубликовано 25.10.2021

При использовании популярных приложений для социальных сетей или программного обеспечения вы можете включить дополнительные функции безопасности, такие как двухфакторная аутентификация 2FA, которую также часто называют многофакторной аутентификацией или MFA.

Двухфакторная аутентификация (2FA) добавляет второй уровень безопасности, обеспечивая вам еще большую защиту от онлайн-угроз.

Каждые 39 секунд где-то на планете происходит хакерская атака!

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация, часто известная как двухэтапная проверка, – это функция безопасности, которая защищает ваши учетные записи в Интернете, добавляя дополнительный уровень безопасности.

Вместо одного фактора для подтверждения личности, например, пароля, вы используете два: пароль и одноразовый пароль (OTP), отправленный вам по SMS или электронной почте.

Давайте рассмотрим пример, чтобы помочь вам понять.

Каковы требования для входа в учетную запись электронной почты?

• Ваш почтовый идентификатор
• Ваш пароль

Этот метод известен как одношаговая верификация.

Все, что нам нужно сделать, это ввести учетные данные и войти в систему.

Но понимаете ли вы, насколько опасным может быть этот процесс?

Любой может получить доступ к вашему адресу электронной почты.

Хакеры действительно могут получить доступ к вашей учетной записи, если ваш пароль недостаточно надежен! (Если это “123456”, вы в большой опасности!)

В результате была создана система 2FA.

Даже если у кого-то есть ваша электронная почта и пароль, он не сможет получить доступ к вашим учетным записям.

2FA добавляет второй уровень безопасности, требуя от вас предоставить набор учетных данных, доступ к которым имеете только вы, законный пользователь.

Благодаря этому неавторизованные лица не смогут получить доступ к вашим конфиденциальным данным.

Многие известные веб-сайты и сервисы теперь используют двухфакторную аутентификацию для обеспечения безопасного входа в систему.

Типы двухфакторной аутентификации

Давайте посмотрим, как популярные сайты и приложения внедряют 2FA в наши дни.

• 2FA на основе электронной почты
• 2FA на основе SMS
• 2FA на основе голоса
• 2FA на основе программного токена/TOTP
• 2FA на основе биометрических данных
• В виде Push-уведомления
• 2FA на основе аппаратного токена

Различные компании и сервисы используют вышеперечисленные типы аутентификации для обеспечения дополнительного уровня безопасности для своих клиентов и пользователей.

Приложения-аутентификаторы

Приложения-аутентификаторы могут быть самым лучшим выбором для обеспечения безопасности процедуры входа в систему.

Однако имейте в виду, что не все приложения-аутентификаторы способны обеспечить максимальную безопасность.

Только несколько приложений были официально признаны в качестве таковых, и мы составили для вас их список.

Если вы хотите узнать больше об этих приложениях и использовать их, ознакомьтесь с особенностями каждого из них ниже.

Google Authenticator

Самой популярной программой двухфакторной аутентификации является Google Authenticator.

Это приложение, которое устанавливается на ваш мобильный телефон и предоставляет вам код аутентификации в режиме реального времени, который меняется каждые 30 секунд.

Google предлагает использовать его для всех ваших учетных записей Google.

Однако его можно использовать и для множества других веб-сайтов.

Среди дополнительных возможностей – поддержка Wear OS, темная тема и поддержка офлайн.

Google Authenticator включает в себя несколько функций, таких как:

• Алгоритмы TOTP и HOTP
• Для его использования не требуется подключение к Интернету

Это совершенно бесплатное, функциональное приложение с большой базой пользователей.

В конечном итоге вы сможете добавить множество учетных записей в это приложение.

Оно также доступно в качестве расширения для Chrome.

Lastpass

LastPass Authenticator не является частью популярного менеджера паролей.

Вместо этого это отдельное приложение аутентификатора, которое работает на устройствах Android и iOS

. Это программное обеспечение предлагает самую надежную двухфакторную аутентификацию.

Вы также можете использовать эту программу для защиты неограниченного количества учетных записей.

Установить и активировать это приложение будет просто, если у вас уже есть учетная запись LastPass.

Оно имеет несколько функций, включая:

• Push-уведомление одним касанием
• Совместимость со смарт-часами
• Облачное резервное копирование

Это приложение доступно для загрузки для Android, iOS и Windows.

Microsoft Authenticator

Microsoft Authenticator, надежный инструмент аутентификации, созданный корпорацией Microsoft, может обеспечить самую превосходную безопасность 2FA.

Это наиболее подходящий вариант, поскольку он обеспечивает и безопасность, и удобство.

Microsoft Authenticator обеспечивает надежную защиту, проверяя действительность вашего устройства и сети, а также доставляя TOTPs.

Кроме того, красивый и хорошо продуманный пользовательский интерфейс приложения облегчает его использование.

Вы можете скачать это приложение для Android и iOS.

Authy от Twilio

Одной из самых надежных программ двухфакторной аутентификации является Authy.

Она функционирует так же, как и версии Google и Microsoft.

Вы получаете от нее коды, которые используете для подтверждения входа в систему.

Программа работает очень хорошо.

Программа включает поддержку автономного режима, синхронизацию устройств и совместимость с наиболее известными веб-сайтами и типами учетных записей.

Если вы не хотите использовать приложения Google или Microsoft, это достойная альтернатива.

Authy эффективен в своей работе и имеет несколько интересных и чрезвычайно полезных функций.

• Защита паролем
• Облачное резервное копирование
• Синхронизация с несколькими устройствами

Кроме того, это приложение совершенно бесплатно, без покупок приложений и рекламы.

2FA Authenticator

2FA Authenticator (2FAS) – отличный вариант, если вам нужна элегантная программа аутентификации.

Для шестизначной аутентификации TOTP это отличное приложение.

Это приложение предлагает такие функции, как аутентификация на основе QR-кода и другие, которые делают вход в систему более простым и безопасным.

Оно позволяет полностью избежать проблемы непреднамеренного неправильного ввода и экономит время.

Кроме того, этот надежный инструмент аутентификации совместим с более чем 500 социальными и другими веб-сайтами.

Его простота в некоторой степени ограничивает модификацию, но он все равно работает превосходно.

Доступен для iOS и Android.

Duo Mobile

Самые мощные приложения для аутентификации на устройствах Android предоставлены нам компанией Duo Security LLC.

Duo Mobile предназначено для обеспечения безопасности и сохранности вашего входа в систему.

Он поставляется с услугой двухфакторной аутентификации, которую вы можете использовать с любым приложением или веб-сайтом.

Проверив сообщение, вы можете быть уверены, что ваш следующий вход в систему будет безопасным.

Вы сможете использовать это приложение практически для всех аспектов аутентификации 2FA.

Доступен для Android и iOS.

Важное замечание

НЕ удаляйте учетные записи социальных сетей непосредственно из приложения 2FA. Вы можете быть заблокированы до конца жизни.

Чтобы отключить двухэтапную проверку, сначала зайдите в настройки безопасности или конфиденциальности этой службы и отключите ее там.

После этого вы можете либо удалить учетную запись из этих приложений двухфакторной аутентификации, либо удалить их полностью.

Двухэтапная проверка необходима для обеспечения безопасности ваших учетных записей, разговоров, файлов и данных.

Даже если ваше имя пользователя и пароль украдены или взломаны, 2FA защитит вашу учетную запись, пока у злоумышленника нет физического доступа к вашему телефону.

Настройка занимает менее двух минут и повышает уровень безопасности.

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!

Добавить комментарий Отменить ответ

Поддержать нас

• Аудит ИБ (49)
• Вакансии (12)
• Закрытие уязвимостей (105)
• Книги (27)
• Мануал (2 234)
• Медиа (66)
• Мероприятия (39)
• Мошенники (23)
• Обзоры (800)
• Обход запретов (34)
• Опросы (3)
• Скрипты (109)
• Статьи (335)
• Философия (99)
• Юмор (18)

Наш Telegram

Социальные сети
Поделиться

Anything in here will be replaced on browsers that support the canvas element

• PEEPDF: универсальный инструмент форензики PDF-документов 10.01.2023

Peepdf – это инструмент для форензики документов в формате pdf. Большинство атак социальной инженерии используют вредоносный PDF-документ, содержащий java-скрипты и shell-коды. Peepdf может анализировать подозрительные объекты и потоки данных в PDF-документе. Установив некоторые расширения, исследователь безопасности может детально проанализировать java-скрипты и shell-коды. Создание и анализ вредоносного PDF-файла с помощью PDF-Parser Tool К основным возможностям peepdf […]

Надежные распределенные вычислительные системы и приложения стали краеугольным камнем предприятий, особенно в автоматизации и управлении критически важными бизнес-процессами и предоставлении услуг клиентам. От вас, как разработчиков и системных администраторов этих систем и приложений, ожидают всевозможных решений в области информационных технологий (ИТ), которые обеспечат наличие наиболее эффективных систем. Сюда входят такие задачи, как разработка, тестирование и […]

Технология NFT – будущее финансовой системы, связанное с искусством NFT – невзаимозаменяемый токен является уникальным цифровым предметом, чья оригинальность и собственность на который доказана при помощи технологии блокчейн. Они покупаются и продаются за криптовалюту эфириум. В последнее время появляется очень много информации про это явление. Кто-то удивляется, что картинки могут стоить так дорого, другие пытаются […]

Введение В течение длительного времени правоохранительные органы и другие организации, выполняющие задачи по цифровой криминалистики, связанные с расследованием инцидентов, зачастую полагались на методики, которые фокусировались на исключительно на доказательствах, содержащихся на жестком диске машины. Процедуры были регламентированы таким образом, что система должна быть выключена, а жесткий диск извлечен для создания образа. Следует отметить, что эта […]

Введение Атака “браузер в браузере” – это атака, при которой злоумышленник использует вредоносный браузер для получения доступа к целевой системе. Этот тип атаки обычно используется для обхода мер безопасности, таких как аутентификация и авторизация, путем использования вредоносного браузера для получения доступа к защищенным ресурсам. Что такое AAA (аутентификация, авторизация и аккаунтинг)? Злоумышленник обычно создает вредоносное […]

Источник: itsecforu.ru

Платформонезависимый сервис уже сейчас доступен для пользователей мобильного приложения «ГПБ Бизнес», а в дальнейшем технология будет распространена на всю экосистему цифровых продуктов Газпромбанка. Выбор Банка был сделан в пользу наиболее технологичного решения myDSS – совместной разработки компаний «КриптоПро» и SafeTech. 

«Улучшение клиентского опыта – это один из приоритетов развития. Важным шагом является внедрение технологии «облачной» подписи, которая даст возможность нашим корпоративным клиентам совершать платежи на смартфонах, при этом достаточно будет только установить мобильное приложение Банка, – отметил Исполнительный Вице-Президент Газпромбанка Андрей Королёв. – В будущем, мы уверены, «облачная» подпись будет востребована клиентами и может широко использоваться».

«Стратегия Газпромбанка направлена на цифровую трансформацию и перевод клиентов на работу в дистанционных каналах. При этом мы обеспечиваем выполнение самых строгих требований к безопасности. Одна из ключевых для нас сфер деятельности – расширение возможностей работы с цифровой подписью. Многое сделано в этом направлении, и у нас не менее амбициозные планы. Несомненно, клиенты оценят наше стремление к повышению качества и удобства работы с сервисами Банка», – заявил Исполнительный Вице-Президент – начальник Департамента информационных технологий корпоративного бизнеса Газпромбанка Иван Варжавин.

«Использование цифровых каналов в банковском бизнесе – это необходимость современного мира. Газпромбанк как один из лидеров российского банковского рынка ориентирован на инновационное развитие. Наша задача – обеспечить Банк современными технологичными решениями, которые позволят его клиентам работать эффективно и безопасно, – подчеркнул генеральный директор компании BSS Георгий Кравченко. – Результаты проекта внедрения «облачной» подписи обеспечили корпоративным клиентам Газпромбанка полноценный и безопасный доступ ко всем информационным и платежным сервисам системы ДБО».

«Разработка технологий усиленной электронной подписи с мобильного устройства оказала большое влияние на цифровые сервисы российских банков – теперь подтверждение транзакций и подпись НЭП электронных документов доступны клиентам на обычных смартфонах, – сказала Дарья Верестникова, коммерческий директор SafeTech. – Решение myDSS со своей функциональностью и возможностями является уникальным на российском рынке. С его помощью клиенты могут получить сервисы, которые раньше были недоступны в силу сложности использования НЭП на иных устройствах. Теперь же пользователи могут из любой точки мира без дополнительных аппаратных средств и компьютеров, прямо со своего мобильного телефона подписывать любые документы, совершать сделки, взаимодействовать с государственными органами власти».

У большинства современных пользователей интернета количество учётных записей на разных сайтах и сервисах исчисляется десятками, а то и сотнями. При таком числе социальных сетей, сервисов электронной почты, банковских приложений и других самых разнообразных сайтов это неудивительно. Если вы в первый раз вышли в интернет не вчера, у вас обязательно есть учётная запись Google. Если у вас есть Windows-компьютер, скорее всего у вас есть учётная запись Microsoft. Если у вас есть iPhone, смартфон Samsung, умный пылесос Xiaomi – наверняка у вас есть учётные записи этих производителей. Помимо логина или адреса электронной почты, каждый аккаунт должен обладать паролем, желательно уникальным и желательно сложным.

Однако, даже самый сложный пароль может не спасти. Чтобы никто посторонний не проник в ваши учётные записи, рекомендуется применять двухфакторную аутентификацию (2FA). Это означает, что когда вы введёте логин и пароль, нужно будет ввести дополнительный код авторизации, который должен быть только у вас. Этот код может приходить на телефон через СМС. Или же можно использовать для этого специальное приложение на мобильном устройстве, которое генерирует коды, причём для этого не нужен доступ в интернет.

Недавно социальная сеть Twitter в очередной раз попала в новости, причём не в хорошем смысле. Она заставила всех пользователей, у которых для двухфакторной аутентификации используется СМС, удалить эту настройку или же купить подписку на сервис Twitter Blue для продолжения использования СМС. Пользоваться СМС для двухфакторной аутентификации проще, но это самый ненадёжный метод защиты. Например, бывали случаи, когда злоумышленники подменяли SIM-карту посторонних людей. В результате все сообщения, которые приходят к человеку на телефон, приходят и к злоумышленнику.

Есть более безопасный вариант применения 2FA. Для этого существуют специальные приложения, а ещё есть аппаратные ключи безопасности. В наши дни большинство сайтов позволяют настроить 2FA. Это необходимо обязательно сделать на самых важных аккаунтах, включая электронную почту, платёжные системы и аккаунты Google, Microsoft и других производителей.

Давайте рассмотрим, какие приложения для 2FA предлагаются в системах iOS и Android.

Twilio Authy

Данная программа может быть установлена на любое мобильное устройство. Выглядит она достаточно просто, но при этом умеет немало.

Программа легко настраивается для работы с учётными записями. Когда вы включаете двухфакторную аутентификацию на сайте или в мобильном приложении какого-либо сервиса, там появляется QR-код. Этот код вы должны отсканировать в приложении Twilio Authy и двухфакторная аутентификация для сервиса будет активирована. Authy работает с тысячами сервисов, включая такие популярные, как Facebook, Dropbox, Amazon, Gmail, Outlook. Ещё здесь предлагается безопасное резервное копирование в облачном хранилище, причём в бесплатной учётной записи. Это означает, что все ваши данные будут зашифрованы на любом вашем устройстве. К тому же данные синхронизируются между устройствами и вы сможете получить доступ к кодам на любом из них.

Authy работает автономно и ему не нужен доступ в интернет для создания токенов, в отличие от авторизации через СМС. Есть поддержка восьмизначных токенов.

Скачать на Android

Скачать на iOS

Google Authenticator

Как было сказано выше, у всех есть учётная запись Google. В ней тоже можно включать двухфакторную аутентификацию, для чего Google создала собственное приложение. Это же приложение можно использовать для авторизации на многих других сервисах.

Основным недостатком этой программы пользователи называют отсутствие резервного копирования данных. С другой стороны, поскольку все данные и коды хранятся только на одном устройстве и не передаются в интернет, это усиливает их защиту. Однако, при желании можно переносить данные приложения из одного устройства на другое. Если вы купите новый смартфон, ничего не помешает перенести данные из приложения со старого смартфона на новый. На старом нужно нажать “Экспортировать”, а на новом нажать “Импортировать” и просканировать новым смартфоном код на старом. После этого все коды для ваших аккаунтов будут перенесены на новое устройство.

Скачать на Android

Скачать на iOS

Microsoft Authenticator

У многих работа или учёба связаны с компьютерами, а это значит, что вы работаете на Windows. В наши дни работа с Windows почти обязательно означает наличие учётной записи Microsoft, а не использование локальной учётной записи Windows.

Приложение Microsoft Authenticator доступно на Android и iOS. Оно может создавать коды не только для аккаунта Microsoft, но и для сервисов Google, Facebook, GitHub, Slack и многих других. В аккаунт Microsoft посредством этого приложения можно войти без ввода пароля, используя вместо этого отпечаток пальца, лицевое распознавание или пин-код.

Microsoft Authenticator не просто даёт одноразовые коды доступа. Это приложение может применяться для автоматического заполнения паролей в полях браузера. Также здесь сохраняются пароли из браузера Microsoft Edge. Если вы не пользуетесь браузером Edge, можно импортировать сюда пароли из браузера Google Chrome или менеджеров паролей.

Скачать на Android

Скачать на iOS

1Password

1Password больше известен как менеджер паролей. Однако приложение не стоит на месте и продолжает развиваться. В том числе здесь можно создавать случайным образом сгенерированные пароли, если вы где-то регистрируетесь и создаёте новый аккаунт. Наконец, это же приложение можно применять для двухфакторной аутентификации.

1Password говорит, на каких из сохранённых в вашем хранилище сайтов есть поддержка 2FA, что позволяет установить дополнительный уровень защиты. Как и во всех других приложениях такого рода, для включения двухфакторной аутентификации нужно просканировать в приложении QR-код, который покажет сервис. Когда сервис добавлен, приложение показывает одноразовый пароль в учётных данных.

Однако, для использования программы в качестве средства двухфакторной аутентификации нужна подписка стоимостью $3 в месяц или $5 в месяц для семей размером до пяти человек. Если вы пользуетесь этой программой в качестве менеджера пароля, такая плата может оказаться оправданной.

Скачать на Android

Скачать на iOS

Duo Mobile

Duo Mobile представляет собой приложение от компании Cisco Systems, которая известна своей работой в сфере кибербезопасности. Для использования программы потребуется аккаунт, который обойдётся вам примерно в $3 в месяц. Некоторые организации применяют Duo Mobile для обеспечения дополнительного уровня защиты аккаунтов своих сотрудников.

Duo Mobile даёт возможность добавлять сюда сторонние аккаунты после настройки аккаунта самого приложения. Вы будете получать одноразовые коды доступа и push-уведомления, если учётные записи сервисов это поддерживают. В таком случае вы сможете входить в аккаунты одним касанием экрана. Здесь есть резервные копии в iCloud и Google Drive, чтобы в случае неприятностей можно было восстановить учётные данные.

Скачать на Android

Скачать на iOS