ТЕХНОЛОГИИ

Ещё более быстрый и безопасный
вход в личный кабинет

Дамир Амиров
Главный менеджер по продуктам
Я расскажу о новой фиче, которая делает общение клиентов с Модульбанком еще более удобным и безопасным — про вход в личный кабинет в веб-версии по отпечатку в мобилке
Зачем это нужно

В банке мы используем двухэтапную аутентификацию для доступа в личный кабинет и, соответственно, защиты ваших данных, и это действие вам уже давно знакомо. Как это выглядит:

  1. Вы вводите пароль при каждом входе в личный кабинет Модульбанка.
  2. Затем вводите код подтверждения, который банк отправляет вам по СМС после успешного ввода пароля.
  3. И оказываетесь в личном кабинете.
Окно ввода кода подтверждения
При этом, не секрет, что существует риск перехвата таких СМС-сообщений со стороны злоумышленников, которые каким-либо образом получили доступ к инфраструктуре мобильного оператора или системе передачи данных между мобильными операторами. Либо добились установки троянской программы на мобильном устройстве пользователя, которая также умеет перехватывать и передавать такие сообщения.

Еще бывают случаи, когда доставка СМС-кода задерживается по техническим причинам на стороне мобильного оператора, а клиенту нужно срочно войти в личный кабинет.
Как это работает
Мы исследовали эти риски и придумали решение, которое, с одной стороны, позволит избежать риска получения злоумышленником контроля над личным кабинетом, а с другой поможет клиенту банка быстрее и удобнее входить в личный кабинет. При этом, не только сохранив уровень безопасности работы клиента, но и повысив его.

Суть заключается в подтверждении клиентом входа в личный кабинет не через ввод СМС-кода, а через мобильное приложение Модульбанка, установленное у клиента. Кстати, мобильное приложение у нас есть для обеих платформ, iOS и Android, оно очень удобное, и им пользуется больше половины наших клиентов.

Теперь после ввода клиентом логина/пароля отправляется Push-уведомление на привязанное к клиенту мобильное устройство.
Мобильное устройство клиента, в свою очередь, обрабатывает это Push-уведомление, запускает наше мобильное приложение и просит клиента идентифицироваться: показать лицо, приложить палец либо ввести пин-код. Либо, если клиент уже в данный момент находится в мобильном приложении, ему достаточно просто одной кнопкой подтвердить вход.

Далее, если аутентификация на мобильном устройстве клиента прошла успешно, посылается сигнал с мобильного устройства на Портал о прохождении аутентификации (это и есть второй фактор аутентификации).

В итоге клиент (без ввода смс) попадает в свой Л К Портала.
И да, мы добавили возможность выбора типа входа на вкладку «Безопасность» раздела настроек в личном кабинете, если клиент вдруг не решился попробовать этот безопасный и удобный вариант входа, а потом передумал:
Раздел настроек
Ну и, конечно, в перспективе планируем распространить эту фичу на подтверждение операций уже внутри личного кабинета: платежек, документов валютного контроля, заявлений на подключение услуг и открытие депозитов.


Дамир Амиров
Главный менеджер по продуктам
Обширный опыт управления проектами и запуска продуктов в различных сферах, включая финтех, электронное правительство, образование, биобезопасность. Имеет опыт работы в глобальных проектах на международном уровне.
Читайте также