Двухфакторная аутентификация пользователя на Региональном сервере QUIK (80.237.85.58:15100)

В целях повышения безопасности работы пользователей реализован механизм двухфакторной аутентификации пользователя на сервере QUIK.

Данный функционал позволяет снизить вероятность несанкционированного доступа к системе по причине утери либо кражи ключей доступа злоумышленниками. Как следствие, позволяет снизить риск финансовых потерь (ущерба) для клиентов. Кража при этом может быть совершена вирусами, которыми заражается компьютер пользователя в случае несоблюдения им политики информационной безопасности (невыполнение таких правил, как регулярная проверка установленного ПО на вирусы, обновление антивирусных баз, обдуманное использование сети Интернет, своевременная установка обновлений системы безопасности Windows и т.п.).

Использование данного сервиса предполагает, что пользователь при входе в систему наряду с обычными параметрами (имя и пароль для защиты секретного ключа) должен ввести некую дополнительную информацию - пароль доступа (далее - ПАРОЛЬ), которая не хранится на его компьютере, а сообщается пользователю через альтернативный канал связи, который не может быть перехвачен злоумышленниками. Передача пароля реализована посредством:

• SMS-сообщений, отправляемых на номер сотового телефона, предварительно указанный пользователем.

Необходимость ввода нового ПАРОЛЯ возникает в том случае, если выполняется попытка установки связи с ИТС QUIK с компьютера, который ранее никогда не использовался для связи с торговой системой (потенциально возможная ситуация в случае, когда ключи и пароль были украдены). Для обнаружения такой ситуации сервер системы QUIK идентифицирует и запоминает параметры каждого подключения пользователя, использующего новую схему двухфакторной аутентификации, и при подозрении на изменение параметров подключения запрашивает ПАРОЛЬ. Данный ПАРОЛЬ будет сообщаться пользователю только по оговоренному каналу связи.

Процедура входа в систему пользователя, использующего метод двухфакторной аутентификации QUIK

Первая часть процедуры аутентификации (с использованием ключей доступа из файлов pubring.txk и secring.txk) происходит в обычном режиме – нужно ввести имя и пароль, и сервер проверит соответствие ключей клиента. В случае если первая часть аутентификации прошла успешно, начинается вторая часть аутентификации по следующему регламенту:

1. Cервер QUIK проверяет параметры подключения, с которого устанавливается связь.
2. Если информация о подключении серверу известна, далее проверяется, является ли это подключение подтвержденным на сервере QUIK (была ли пройдена двухфакторная аутентификация при предыдущем установлении связи).

Если все проверки были пройдены успешно, то двухфакторная аутентификация QUIK считается завершенной, и пользователю начинают поступать данные с сервера. Если же одна из проверок пройдена не была, то пользователю предлагается подтвердить параметры нового подключения вводом нового ПАРОЛЯ.

В момент появления формы для ввода пароля клиенту отправляется ПАРОЛЬ по заранее определенному каналу связи – с помощью СМС на сотовый телефон. Если ПАРОЛЬ, введенный в оба поля, совпадает с требуемым ПАРОЛЕМ, то новое подключение считается подтвержденным.