Что же это такое?
Процитируем Википедию:
С точки зрения любой информационной системы это процесс принятия решения о предоставлении доступа субъекту на выполнение операции на основании каких-либо знаний о субъекте. К этому моменту субъект, как правило, уже должен быть
идентифицирован
(мы должны знать, кто он) и
аутентифицирован
(подтверждена его идентичность).
Реализация авторизации при разработке корпоративной информационной системы или продукта, ориентированного на корпоративный сектор — очень сложная и ответственная задача, которой часто уделяется недостаточное внимание на этапе проектирования и первичном этапе разработки, что в будущем ведет к «костыльной» реализации.
Аутентификация на основе токенов
Аутентификация на основе токенов в последние годы стала очень популярна из-за распространения одностраничных приложений, веб-API и интернета вещей. Чаще всего в качестве токенов используются Json Web Tokens (JWT). Хотя реализации бывают разные, но токены JWT превратились в стандарт де-факто.
При аутентификации на основе токенов состояния не отслеживаются. Мы не будем хранить информацию о пользователе на сервере или в сессии и даже не будем хранить JWT, использованные для клиентов.
Процедура аутентификации на основе токенов:
Авторизация и списание с карт. что с этим делать и главное – как это нам поможет.
В предыдущих своих опусах я описывал один из способов правильного использования кредитных карт. В этой статье, я постараюсь разъяснить читателю некоторые особенности проведения операций по картам, как кредитным так и дебетовым. Особо, правда, углубляться я не планирую, но некоторые “особо интересные” вопросы постараюсь разъяснить.
Итак. Стандартный алгоритм работы любой карты выглядит так:
1. Где-то в магазине или в банкомате, может быть на страничке сайта в интернете или еще каким-то образом вы совершаете операцию. В этот момент происходит то, что с точки зрения МПС называется авторизацией. Фактически операция авторизации это проверка действительности карты, проверка ее владельца, проверка доступности необходимого количества средств на карте и временная блокировка этих средств. Сами деньги еще никуда не уходят. Лежат себе скромненько на банковском счете, хотя, в случае наличия блокировки – указанная сумма может быть заблокирована на балансе карты.
Рассмотрим чуть подробнее. Проверка действительности карты и ее владельца осуществляется многими способами, например введением пин-кода при онлайн авторизации, связью с банком и проверкой подписи, звонком в банк, проверкой кода 3DS при операциях в интернет и так далее. Способов много и не все они “онлайн” есть и “оффлайновые”, к примеру авторизация по технологии бесконтактных платежей может производится только по данным карты, без связи с банком. В ряде случаев, при небольших суммах авторизация может вообще не производится, терминал фиксирует авторизационную информацию карты и не связываясь с банком дает “добро” на операцию. Это связано еще и с тем, что карты оборудованные чипом и модулем бесконтактных платежей могут содержать в себе как модуль оффлайн проверки PIN, так и хранить на себе сумму доступных средств клиента.
Проверка доступности суммы тоже используется далеко не всегда. Некоторые компании могут провести операцию и без проверки. Часто это происходит в ситуациях когда онлайн проверка доступности суммы просто невозможна. Например в самолете или при оплате картой на круизном судне. Еще интереснее вариант когда сумма для снятия заранее неизвестна. Это, к примеру, службы такси или компании предоставляющие в аренду автомобили. В этих случаях авторизация чаще всего проходит на какую-то минимальную сумму, вроде 1 рубля или на заранее оговоренную сумму блокировки, вроде 200 долларов. Но сумма списания по факту может быть совершенно любой.
Временная блокировка средств, если они вообще блокировались, стандартна для операций по которым сумма изначально известна. Стандартные операции покупки в магазине или снятия наличных в банкомате, операции перевода. Тут все просто, какая сумма пришла в запросе на авторизацию, такая и блокируется. Но что же дальше?
2. Дальше начинается подготовка к проведению транзакции. Банк-эквайер, то есть банк обслуживающий точку продаж или банкомат, или тот самый процессинг на интернет сайте получает документы о проведении операции. Этими документами могут быть как электронные выписки или выгрузки операционной выписки банкомата, так и бумажные документы. Есть и очень экзотические способы, например копии чеков для операций проведенных “голосом”, но они чрезвычайно редки. Получив документы банк формирует файлы клиринга. Эти файлы представляют из себя электронную таблицу определенного формата передаваемую МПС посредством онлайн систем и подписанную электронной подписью банка. МПС в свою очередь формирует файлы клиринга для банков-эмитентов, то есть банков выпустивших вашу карту. Далее банк-эмитент, получает свой файл клиринга, часто по несколько раз в день и осуществляет операцию по переводу денежных средств в пользу банка-экваера. В этот момент деньги списываются со счета карты, происходит то, что называется транзакцией. Блокировка средств, если она была, заменяется на реальное списание.
Что там происходит дальше нас не сильно интересует, рассматривать отношения “точка продаж – бакн-эквайер” в рамках данной статьи я не хочу.
Хочу лишь обратить внимание на некоторые особенности поведения системы “авторизация-транзакция” и показать некоторые интересные моменты:
1. Авторизация не равна транзакции. При проведении авторизации деньги никуда не уходят, они остаются в банке. Если указана сумма авторизации то данная сумма уменьшает доступный баланс карты, но не счета. Фактически вы можете иметь дебетовый счет на котором лежит 100000 рублей и карту привязанную в этому счету на которой доступен 1 рубль. Просто у вас есть авторизация на 99999 рублей. При этом в нормальном банке, если на сумму остатка на счете начисляются проценты, то на всю сумму проценты продолжат начисляться, до тех пор пока авторизация не превратится в транзакцию и деньги не будут фактически перечислены.
2. Между авторизацией и транзакцией проходит некоторое время. Часто это 2-3-5 дней, но в ряде случаев из-за различных сбоев этот срок может составить и 5-6 месяцев, бывали случаи что транзакция происходила и через год. Что происходит в этом случае и чего следует опасаться? На часть вопросов я отвечу чуть ниже, но в целом вариантов развития событий два – карта все еще существует и в таком случае деньги будут списаны. Карты не существует и в таком случае банк отправит отказ от транзакции. В некоторых случаях при поступлении транзакции позже определенного срока, часто это 1 календарный месяц транзакцию можно оспорить. В этом случае я рекомендую вам 10 раз подумать прежде чем пытаться это сделать. И если вы все таки сделаете подобное опротестование не возмущаться отказу. Дело в том, что банки вынуждены работать в правовом поле не только МПС, но и тех стран на территории которых была проведена операция. А, к примеру, в РФ существует такая уголовная статья как “неосновательное обогащение” и банкам приходится это учитывать.
3. Срок действия авторизации у разных банков может составлять разное время. МПС рекомендует ставить время жизни авторизации “до 30 дней”. Многие банки ставят 30, но существуют и такие банки, которые ставят срок жизни авторизации в 10 или даже 7 дней. В этом случае, если за 10 или 7 дней банком не было получено соответствующего файла клиринга средства на карте разблокируются и вы снова можете ими пользоваться. Нюанс тут только один, если через неделю файл клиринга будет получен банком, он однозначно его обработает и спишет средства. Что может получится в этом случае? Предположим у вас есть карта и на ней лежит 100000 рублей. Вы делаете операцию на 70000, через неделю банк не получает файл клиринга, средства разблокируются. Вы можете снова сделать операцию на 100000 и вы ее делаете. Еще через 3 дня банк получает оба файла клиринга. Баланс вашего счета -70000 рублей. У вас наказуемый комиссией в 500 рублей технический овердрафт и в соответствии с договором вы должны погасить долг в течении недели. Учитывайте эту особенность.
Хочется немного отвлечься на возможную разницу сумм, между авторизацией и транзакцией. Вариантов опять же – море. Ряд организаций способны проводить операции после предварительной авторизации на совершенно другие суммы, нежели блокированные. Как это происходит? В частности такси, авиакомпании, отели, службы аренды автомобилей способны списать с карты сумму не равную сумме авторизации. К примеру – вы садитесь в такси, протягиваете карту как источник платежа сразу а не после поездки. Часть такси сможет это сделать, авторизация пройдет на 1 доллар. Но после поездки счет изменится. И через 3-5 дней с вашей карты будет списано столько, сколько вы реально потратили, скажем долларов 50. Это опять же особенность, ее нужно учитывать и принимать во внимание. Ну а разница между суммой авторизации и суммой транзакции при валютных операциях это вообще всеобщая проблема. Авторизация проходит по курсу на день авторизации. Транзакция пройдет по курсу на день списания. При чем курсы могут быть разные. Первый, к примеру ЦБ РФ, а второй банка. А тут и курс подрос и разница процентов в 5%. Учитывайте и это. Если хотите платить рублевой картой за границей, сразу уточните как именно во вашей карте проходятся операции в других валютах. Не получите кучу проблем в дальнейшем и может быть откроете себе другую карту
Авиакомпании вообще творят полный “беспредел”. Особенно это относится к покупке авиабилетов у авиакомпаний США. Там авторизация может пройти на одну сумму, к примеру 1000 долларов, а списаний по факту может быть 3, две по 478 долларов и одна на 44. Честное слово! Сам так покупал
Но вернемся к тому как нам эту особенность использовать для себя?
Предположим у вас есть карта с которой вы можете в расчетном периоде с 10 по 10 каждого месяца бесплатно снять в банкоматах 150 тыщ рублей. И в этом расчетном периоде вы уже сняли 150 тыщ. На улице 8-тое число. Нам нужно еще 100 тысяч. Ждать 10? Можно и не ждать. Если ваш банк оперирует с датами транзакций, а не с датами авторизаций, Можно почти спокойно снять деньги и 8-го. Вероятность того, что в банке они будут списаны не раньше 10-го очень велика. Хотя это риск. Ваш риск, банк может среагировать уж очень быстро, за день. И от бесплатности не останется ничего. Учитывайте этот момент.
Еще интереснее если у вас кредитка. Кредитка до 55 дней льготного периода. Хотите 57? Все просто, покупаете 8-го. Операция обрабатывается 11, но выписка-то была сформирована 10 и эта операция в нее не вошла. По факту – войдет в следующую выписку, вот вам и 57 дней льготного периода. Как-то так
Nfc на телефоне и не только
NFC World ведет список смартфонов с поддержкой технологии. В соответствии с ним, каждый iPhone, начиная с iPhone 6, поддерживает ее. Последние iPhone 12 также поддерживают теги NFC через приложение Launch Center Pro.
NFC добавили и в линейку iPad, начиная с iPad Pro, iPad Air 2 и iPad Mini третьего поколения.
С поддержкой NFC выпускается каждое устройство под управлением Android 4.0 или более новой версии ОС. Samsung, к примеру, отдельно публикует список своих смартфонов с поддержкой NFC и характеристиками технологии.
Функцию NFC встраивают и в «умные» браслеты, к примеру, серии Xiaomi Mi Band. А »умные» часы с NFC работают так же, как смартфон с аналогичным чипом. Обычно их функционал ограничен и используется только для оплаты покупок и услуг.
Кроме того, существуют NFC-кольца для оплаты покупок.
Кольцами можно пользоваться для оплаты общественного транспорта, а также как ID-карточкой. Чтобы воспользоваться кольцом, нужно установить на смартфон приложение от его разработчика.
Samsung pay
Samsung Pay, в отличие от Apple Pay и Google Pay, помимо технологии NFC, использует функцию MST или защищенной магнитной передачи и работает практически везде — даже на старых терминалах, которые не были обновлены для работы с бесконтактными платежами.
Однако в 2021 году поддержку этой функции начали постепенно сворачивать, начиная с телефонов Galaxy S21. Samsung Pay доступен в 29 странах мира, в том числе и в России. Он также доступен на «умных» часах линеек Galaxy Watch, Galaxy Watch Active, Gear и Gear Sport.
Для настройки сервиса нужно запустить приложение, войти в свою учетную запись Samsung и зарегистрировать PIN-код или отсканировать отпечаток пальца. В Samsung Pay можно добавлять кредитные и дебетовые карты платежных систем Mastercard, Visa и МИР, а также совершать денежные переводы. Кроме этого в сервис можно загрузить до 100 карт лояльности.
При оплате нужно выбрать карту на главном экране приложения, а затем приложить палец к сканеру отпечатков или ввести PIN-код. После этого можно приложить заднюю часть телефона к платежному терминалу. Всплывающее уведомление о транзакции появится в верхней части экрана.
Аутентификация в соцсетях
Уверен, эта картинка знакома всем:
Аутентификация или авторизация?
Некоторые путают термины «аутентификация» и «авторизация». Это разные вещи.
Ещё тут?
Поздравляю, вы успешно дочитали длинную, нудную и скучную статью.
Беспарольная аутентификация
Первой реакцией на термин «беспарольная аутентификация» может быть «Как аутентифицировать кого-то без пароля? Разве такое возможно?»
В наши головы внедрено убеждение, что пароли — абсолютный источник защиты наших аккаунтов. Но если изучить вопрос глубже, то выяснится, что беспарольная аутентификация может быть не просто безопасной, но и безопаснее традиционного входа по имени и паролю. Возможно, вы даже слышали мнение, что пароли устарели.
Беспарольная аутентификация — это способ конфигурирования процедуры входа и аутентификации пользователей без ввода паролей. Идея такая:
Вместо ввода почты/имени и пароля пользователи вводят только свою почту. Ваше приложение отправляет на этот адрес одноразовую ссылку, пользователь по ней кликает и автоматически входит на ваш сайт / в приложение. При беспарольной аутентификации приложение считает, что в ваш ящик пришло письмо со ссылкой, если вы написали свой, а не чужой адрес.
Есть похожий метод, при котором вместо одноразовой ссылки по SMS отправляется код или одноразовый пароль. Но тогда придётся объединить ваше приложение с SMS-сервисом вроде twilio (и сервис не бесплатен). Код или одноразовый пароль тоже можно отправлять по почте.
И ещё один, менее (пока) популярный (и доступный только на устройствах Apple) метод беспарольной аутентификации: использовать Touch ID для аутентификации по отпечаткам пальцев. Подробнее о технологии.
Если вы пользуетесь Slack, то уже могли столкнуться с беспарольной аутентификацией.
Виды платежей через смартфон
Оплата по телефону может быть произведена несколькими способами.
Самые популярные решения включают в себя:
- Бесконтактные платежи с использованием банковского приложения – очень популярное и распространенное решение. Для его использования требуется мобильный телефон (телефон с NFC) и банковское приложение. Платежи с помощью банковского приложения доступны во многих банках. Чтобы использовать бесконтактные платежи в банковском приложении, вы должны иметь учетную запись в выбранном банке и традиционную бесконтактную карту, электронная версия которой будет использоваться на вашем смартфоне, или сгенерировать электронную бесконтактную карту (опция доступна в некоторых банках). Эти приложения могут требовать предоставления PIN-кода для сумм, превышающих установленный лимит, как правило, в 1000 рублей.
- Бесконтактные платежи с помощью Google Pay, Android Pay, Apple Pay – это решение, которое становится всё более популярным. Как работает Google Pay, Android Pay и аналогичные инструменты? Это своего рода мобильный кошелек, в котором вы можете сохранить несколько платежных карт и совершать с ними удобные бесконтактные платежи.
Каждое из этих решений позволяет вам совершать платежи по телефону, не прибегая к помощи платежной карты. Так что это довольно удобный вариант, потому что телефон обычно под рукой, и, кроме того, функциональность платежных приложений не ограничивается только возможностью оплаты по телефону. Также там много инструментов для контроля расходов.
Также стоит упомянуть ещё одно решение от Google – оплату через Google Play SMS. Как оплатить через смс? Это касается платежей за приложения и игры в официальном магазине Google Play. Транзакционные издержки добавляются к счету за телефон.
Двухфакторная аутентификация (2fa)
Двухфакторная аутентификация (2FA) улучшает безопасность доступа за счёт использования двух методов (также называемых факторами) проверки личности пользователя. Это разновидность многофакторной аутентификации. Наверное, вам не приходило в голову, но в банкоматах вы проходите двухфакторную аутентификацию: на вашей банковской карте должна быть записана правильная информация, и в дополнение к этому вы вводите PIN.
Если кто-то украдёт вашу карту, то без кода он не сможет ею воспользоваться. (Не факт! — Примеч. пер.) То есть в системе двухфакторной аутентификации пользователь получает доступ только после того, как предоставит несколько отдельных частей информации.
Для защиты автомобиля
Приложение на устройстве с поддержкой NFC позволяет использовать смартфон как ключ автомобиля. Его достаточно поднести к ручке двери водителя, чтобы заблокировать и разблокировать двери машины. В салоне смартфон размещается на специальном месте на приборной панели, которое является также площадкой беспроводной зарядки, что позволяет включить зажигание.
В 2020 году организация Car Connectivity Consortium, которая объединяет производителей автомобилей и мобильных устройств, выпустила спецификацию Digital Key Release 2.0. Она включает в себя поддержку функций блокировки и разблокировки автомобиля, запуска двигателя, аутентификации пользователя, отзыва цифрового ключа у другого пользователя, цифрового обмена ключами и ограничения использования ключа. Последний хранится в SE смартфона. Датчики NFC в автомобиле устанавливают в ручке двери водителя и на передней панели.
Свой NFC-ключ для автомобиля представила Apple. Car Key можно привязать к приложению Wallet, он позволяет разблокировать и заводить автомобиль с помощью iPhone или Apple Watch, а также им можно поделиться с другими людьми.
Для игр
В игровой индустрии технологию используют в виде меток, на которые записаны данные, импортирующиеся в игровое приложение в виде героя или игрового поля. Компания Activision выпустила игру Skylanders: Spyros Adventure, где герои были связаны с реальными физическими статуэтками, которые оснащены NFC-меткой.
Для идентификации
NFC используют для контроля доступа или удостоверения личности. Технология позволяет помимо обычного контроля доступа также оплачивать услуги и проживание, создавать пропуска, проверять личность или предоставлять прочие разрешения. Самым простым примером использования NFC являются домофоны, где в брелок зашивается метка с ключом, а в устройстве на двери стоит считыватель меток.
Также NFC применяют гостиницы, чтобы контролировать потоки клиентов и их доступ в зависимости от привилегий. Гостям таких мест не нужен физический ключ, так как они могут войти в номер или посетить другие зоны, имея только смартфон. Их учетные данные генерируются в режиме реального времени, а все операции обрабатываются прямо на смартфоне, чтобы избежать утечек или хищения информации.
Для интернета вещей (iot)
В системах интернета вещей используются приборы и датчики, интерфейсы и механизмы подключения которых различаются. Интеграция интерфейса NFC в шлюз IoT или микрокомпьютер, который работает как агрегатор всех устройств, позволяет беспрепятственно подключать их.
При этом смартфон с поддержкой NFC после регистрации в шлюзе можно использовать для передачи команд устройствам и смены их настроек. Причем, технология позволяет управлять даже устройствами без интерфейса — лампочками, датчиками безопасности или розетками.
NFC может также выступать в виде меток. Они работают без питания и достаточно маленькие, чтобы поместиться внутри плаката, билета, визитной карточки, наклейки, браслета, брелки, ручки, бирки и иного предмета.
Микрочип в метке может хранить небольшие фрагменты данных, которые могут быть считаны устройством с поддержкой NFC. В метке NFC можно хранить URL-адрес, контактную информацию или даже команды и настройки, которые устройство будет выполнять при контакте. Для чтения или записи данных в метки NFC потребуется специальное приложение, например, Trigger.
Для медицины
NFC может обеспечивать безопасный доступ к медицинской информации. Технологию применяют для управления доступом к компьютерам, планшетам и другим устройствам.
Медицинские браслеты с NFC позволяют отслеживать передвижения пациентов. Персонал может в реальном времени узнать, где находится пациент, когда в последний раз его посещала медсестра или какое лечение назначил его врач. Браслеты можно подключать к смартфонам или планшетам, чтобы они передавали данные лечащему врачу.
Интеллектуальные браслеты с NFC также помогают отслеживать пациентов с опасными для жизни состояниями, такими как диабет, астма или аллергия. При возникновении экстренной ситуации браслет предоставит подробную информацию врачам скорой помощи. Подобные устройства выпускает HealthID Profile.
Наконец, метки NFC добавляют на упаковку или в маркировку лекарства, чтобы подтвердить его подлинность, просмотреть подробную информацию о дозировках или прочитать о побочных эффектах. Метка также может содержать веб-ссылку на сайт производителя.
Для платежей
Чипы NFC используются в пластиковых картах для возможности бесконтактной оплаты, а также в кольцах или браслетах со встроенным чипом. Обычно в чип встраивается платежное приложение банка, которое через платежную систему взаимодействует с продавцом при транзакции, а также персональные платежные данные клиента. Они хранятся в зашифрованном виде. NFC-модуль в карте обеспечивает бесконтактное соединение со считывателем.
При эмуляции карты на смартфоне данные хранятся в TSM (Trusted Service Manager), который объединяет поставщиков услуг и чипы Secure Element. Это аппаратно-программный комплекс, который обеспечивает защищенную загрузку и управление безопасностью с использованием технологий беспроводной сотовой связи (over-the-air, OTA).
В 2021 году Mastercard и восемь российских банков запустили в продажу брелоки для бесконтактной оплаты.
Для торговли
Компании предлагают пользователям хранить свои бонусные и подарочные, а также карты лояльности в приложениях «электронных кошельков», чтобы не носить их с собой. В Google Pay карты лояльности интегрированы прямо в платежное приложение, что позволяет бесконтактно оплачивать покупки при помощи NFC.
Для транспорта
Бесконтактные транспортные карты на базе NFC используются на транспорте, а также на горнолыжных курортах в системах подъемников и на фуникулерах. Пополнить карту обычно можно в киоске по продаже транспортных билетов или онлайн. Ее также можно интегрировать в Apple Pay и Google Pay. В августе 2021 года в Москве начали тестировать оплату виртуальной картой «Тройка» в Samsung Pay.
Для чего используют nfc
Технологию применяют не только для бесконтактной оплаты и считывания меток. NFC также используется в устройствах «умного» дома, автомобилях и даже в качестве ключей.
Как пользоваться nfc на android
Самой популярной функцией NFC все же являются бесконтактные платежи. На смартфонах под управлением Android для оплаты товаров и услуг можно использовать Google Pay или Samsung Pay.
Как работает бесконтактная оплата?
Бесконтактные платежи чрезвычайно просты и быстры. Для осуществления бесконтактных платежей всё, что вам нужно сделать, это поднести свою карту, телефон или часы ближе к терминалу, а при небольших суммах транзакций вам даже не нужно вводить свой ПИН-код.
Как это работает?
Бесконтактные платежи по телефону очень популярны благодаря удобству, скорости транзакций и универсальной доступности устройств, оснащенных технологией NFC. Тем не менее, вы можете оплатить с помощью смартфонов несколькими способами.
Как узнать, есть ли nfc в телефоне
В случае с Android-смартфонами нужно перейти в настройки и в строке «Поиск» ввести «NFC», а затем подключить опцию. В быстрых настройках иконка в виде буквы N обычно находится рядом со иконками Wi-Fi и Bluetooth. Кроме того, некоторые компании размещают символику NFC на батарейке смартфона.
Наконец, можно установить одно из бесплатных приложений NFC Enabled из магазина приложений Google Play. Оно сканирует устройство, и, если в смартфон интегрирован чип, то на экране появляется сообщение «NFC is: supported». Если чип не предусмотрен, программа выдает сообщение «NFC is: unsupported».
На iOS-устройствах ничего настраивать не нужно — достаточно поднести телефон к другому устройству. Однако потребуется настроить оплату различных сервисов с помощью Apple ID в, где выполнен вход в iCloud. Модели iPhone 6 и 7 поддерживают платежи с помощью NFC с восьми банковских карт, а более новые могут производить расчеты уже с 12 счетов, активированных на одном устройстве.
Насколько безопасна технология nfc?
В начале 2000-х годов NFC-модули считались неуязвимыми для атак хакеров. Однако позднее программисты описали ряд теоретических атак, которые могут использоваться для кражи информации и заражения смартфона вирусом. В 2022 году была выявлена первая критическая уязвимость NFC.
На сегодняшний день сигналы NFC шифруются с помощью криптографических алгоритмов, а параллельно ведется разработка новых протоколов шифрования. Кроме того, в мобильных приложениях банков платежи обычно нужно дополнительно подтвердить PIN-кодом, отпечатком пальца или снимком радужной оболочки глаза.
Тем не менее, специалисты рекомендуют соблюдать следующие правила:
Преимущества и недостатки бесконтактных платежей
Платежи с помощью умных часов, бесконтактной карты или смартфона действительно популярны и уже давно вытесняют стандартные способы оплаты.
Каковы основные преимущества и недостатки бесконтактных платежей?
Преимущества платежей без контакта
- Скорость – бесконтактные платежи через телефон, карту или часы происходят мгновенно, особенно если сумма транзакции невелика и не требуется дополнительная авторизация.
- Безопасность – платежи Google Pay или банковское приложение не требуют карты. Риск её потери или кражи минимален.
- Удобство – часы, которыми можно заплатить, или смартфон, как правило, под рукой. Не нужно искать кошелек, вытаскивать платёжные карты. Бесконтактная оплата быстрее и удобнее.
- Многофункциональность платежных приложений – платежные и банковские приложения – это не только карта в телефоне, но и целый ряд инструментов для контроля расходов и управления балансом счета.
- Популярность и универсальность – в настоящее время в большинстве магазинов вы можете совершать бесконтактные платежи по телефону, карте или часам.
Платежная карта в вашем телефоне, а также доступ к банковскому счету на уровне банковского приложения – это решения, преимущества которых перевешивают любые недостатки. Если у вас есть подходящее устройство, такое как смартфон или умные часы, бесконтактные платежи, безусловно, стоит протестировать.
Конечно, удобство использования бесконтактных платежей во многом зависит от функциональности выбранного приложения.
Кстати, стоит развеять несколько распространенных сомнений:
- Как оплатить с iPhone? Вы можете использовать банковские приложения или Apple Pay.
- Как оплатить с помощью телефона NFC? Вам также необходимо банковское приложение или электронный кошелек Google Pay. Также важно, позволяет ли терминал в торговой точке осуществлять бесконтактные платежи.
- Как включить NFC на телефоне? Это зависит от устройства. На телефонах Android просто активируйте функцию NFC в настройках. В устройствах Apple авторизация немного отличается и зависит от модели устройства – это может быть FaceID или Touch ID.
Преимущества платежей без контакта
- Скорость – бесконтактные платежи через телефон, карту или часы происходят мгновенно, особенно если сумма транзакции невелика и не требуется дополнительная авторизация.
- Безопасность – платежи Google Pay или банковское приложение не требуют карты. Риск её потери или кражи минимален.
- Удобство – часы, которыми можно заплатить, или смартфон, как правило, под рукой. Не нужно искать кошелек, вытаскивать платёжные карты. Бесконтактная оплата быстрее и удобнее.
- Многофункциональность платежных приложений – платежные и банковские приложения – это не только карта в телефоне, но и целый ряд инструментов для контроля расходов и управления балансом счета.
- Популярность и универсальность – в настоящее время в большинстве магазинов вы можете совершать бесконтактные платежи по телефону, карте или часам.
Проблематика
Давайте разберемся, какие требования к авторизации встречаются, и почему их крайне важно учитывать изначально при проектировании системы, а не откладывать на будущее. Источников требований к авторизации в корпоративной информационной системе, как правило, два — это бизнес и информационная безопасность.
В общем случае бизнес хочет хранить секреты в тайне и предоставлять полномочия пользователям в соответствии с их функцией в бизнес-процессе, а безопасность хочет обеспечить минимальную достаточность полномочий каждому пользователю и аудировать доступ.
Возьмем для примера гипотетическую систему согласования договоров крупной компании, типовой кровавый энтерпрайз. Практически наверняка возникнут следующие требования к авторизации от бизнеса:
- Пользователь, не имеющий отношения к конкретному договору, не должен его видеть в системе
- Автор договора должен видеть его на всех этапах.
- Создавать договор имеет право пользователь с грейдом не ниже 10.
- Визирующий должен видеть договор, начиная с поступления к нему на этап и далее.
- Руководители подразделений должны видеть договоры своих подразделений вверх по иерархии.
- Автор договора и руководитель подразделения имеют право отозвать договор на любом этапе согласования.
- Руководство и секретариат головного офиса должны видеть документы всех филиалов.
- Пользователь, создавший договор, не должен иметь права его завизировать.
От безопасности мы могли бы получить следующие требования
- Знать, кто имеет доступ к конкретному договору.
- Знать, кто имел доступ к конкретному договору в заданный момент времени.
- Лишать пользователя доступа к ранее доступным документам при изменении его должностных обязанностей.
Думаю, разработчикам уже стало страшно :). Дополнительную боль доставляет высокая изменчивость этих требований. Кстати, по статистике одного большого франча 1С – дополнительные требования по авторизации — одна из самых частых задач по кастомизации типовых конфигураций.
Итак, обозначим, почему эти требования проблемные:
Пути решения
Решить данную задачу нам помогают разработанные модели управления доступом:
MAC — мандатная модель управления доступом. Доступ субъекта к объекту определяется его уровнем доступа: уровень доступа субъекта должен быть не ниже уровня секретности объекта.
DAC — прямое управление доступом. Доступ субъекта к объекту определяется наличием субъекта в списке доступа (ACL) объекта.
RBAC — ролевая модель управления доступом. Доступ субъекта к объекту определяется наличием у субъекта роли, содержащей полномочия, соответствующие запрашиваемому доступу.
АВАС — атрибутивная модель управления доступом. Доступ субъекта к объекту определяется динамически на основании анализа политик учитывающих значения атрибутов субъекта, объекта и окружения. Сюда же относятся PBAC, RAdAC, CBAC, с некоторыми нюансами (шикарный обзор от CUSTIS).
Их крайне рекомендуется использовать в первозданном виде, не изобретая велосипед. Достаточно часто в сложных информационных системах используется комбинация моделей. Например, популярна комбинация ACL RBAC, когда роль включается в список доступа. Однако, правильное применение готовых моделей — тоже не простая задача.
Для реализации озвученных выше в разделе «Проблематика» требований, на первый взгляд, я бы выбрал комбинацию PBAC ACL. Требования могли бы быть реализованы следующим образом:
Перечисленные требования ИБ без всяких проблем реализуются с использованием ACL, однако бизнес-требования 5 и 7 мы реализуем с помощью PBAC. Так что для реализации требований ИБ 1 и 2 придется добавить к ним журнал или аналогичный механизм, поскольку при всей своей красоте динамические правила плохо аудируются:
Итого
Авторизация — незаслуженно обойденная вниманием тема, как в публикациях, так и непосредственно в процессе разработки. Двухфакторную аутентификацию по СМС к сайту прикрутит и ребенок. Правильно реализовать авторизацию в корпоративной системе, не наделав костылей — сложнейшая задача, о которую ломают копья сеньоры и архитекторы, а множество популярных коммерческих продуктов (к примеру, Atlassian Jira) стоят на костылях благодаря сложности требований.
Мы планируем серию статей, посвященных моделям авторизации и предмету в целом. Будем рады вопросам и предложениям по темам для рассмотрения.