Файл: Персонализация пользователей в WEB-приложении.pdf

1.2. Персонализация как защита данных в системах электронной коммерции

Анонимная работа в сети интернет является проблемой для большинства систем электронной коммерции. Там, где присутствуют деньги анонимность не приветствуется. Все, что касается электронного банкинга вообще блокируется при невозможности персонализации клиента. В данной системе персонализация расширяется до аутентификации. Это связано с рисками потери деньги.

Рассмотрим электронные банковские системы, например, Webmoney или Яндекс деньги. Система Webmoney ID (WMID) оперирует интернет-платежами и потому стремится обезопасить торговцев при помощи системы персонализации и аутентификации.

Для работы с системой существует сложная система паролей, электронный ключей, паролей к электронным ключам, идентификации устройства с которого производится вход в систему электронного банкинга и только после длительной процедуры персонализации и аутентификации пользователь получает доступ к электронным кошелькам. Причем сложность входа в систему может и раздражает пользователей с одной стороны, но с другой стороны пользователь понимает, что чем более сложной доступ к системе, тем более надежно защищены его деньги.

Система сертификатов Webmoney, удостоверяющих личность пользователей, как и большинства банковских систем электронной коммерции, построена таким образом, что помимо персональных аттестатов с полными паспортными данными имеет массу пользователей с аттестатами более низкого уровня - начальными и анонимными. Поэтому, хотя WMID и обеспечивает достаточно высокий уровень безопасности электронных платежей, она не является полностью защищенной и не может предоставить достаточно высокую степень защищенности финансов и финансовых операций.

Для решения подобных проблем используют дополнительные модули и системы персонализации пользователей через реальные банковские счета. Т.е. персонализация пользователя в данном виде веб приложений осуществляется через привязку к реальным платежным системам и платежным документам. Что дает практически 100% гарантию того, что пользователь не только является тем, за кого себя выдает, но и вполне платежеспособен.

Сайт, подключенный к подобного рода платежной системе ее модулю персонализации и аутентификации, предлагает пользователю ввести номер мобильного телефона, в качестве персонального идентификатора. На указанный телефон поступает одноразовый пароль, введя который, пользователь завершает процесс авторизации. Далее, система обращается к базе данных клиентов соответствующего банка и запрашивает данные о конкретном пользователе.

Банк располагает следующими данными о своих пользователях:

• личное присутствие при идентификации личности сотрудниками банка, открывая счет или заводя карточку.
• паспортные данные, код, образцы почерка, сканы документов и т.д.
• часто банки имеют сведения о кредитном рейтинге клиентов

Аналогичную аутентификацию проводит система Яндекс деньги. Которая предполагает использование непроверенного или неподтвержденного сертификата, но при этом доступ к сервисам системы сильно ограничен, особенно снятие или перевод денег. Т.е. аноним, в принципе может положить деньги на счет, например, через платежный терминал. Сервисом удаленной персонализации пользуются регистраторы систем Webmoney, Яндекс деньги, QUWI. По процедуре персонализации, они требуют личного присутствия клиентов с паспортом на руках, что в дальнейшем, позволяет обходиться без личного присутствия клиента и без нотариально заверенных копий. Это значительно расширяет их клиентскую базу.

Еще одна сфера, где сервис удаленной персонализации с последующей аутентификацией является незаменимым - сайты систем on-line кредитования. При поступлении заявки на предоставление кредита, сотрудники кредитной организации должны быть уверены, в чьи руки они отдадут деньги.

Помимо этого, удаленная персонализация может быть с успехом использована в таких коммерческих интернет-проектах, как продажа электронных билетов, оплата услуг связи, хостинга, доменов и т.п. Все интернет сервисы и интернет приложения которые их используют предполагают принудительную персонификацию, для входа на электронные банковские или платежные системы, например, при покупке товара в интернет-магазине в кредит или при расчете на товар в интернет-магазине кредитной картой.

Подобные сервисы реализованы многими крупными банками, например, Сбербанк России, ВТБ, Альфа-Банк, и доступны разработчикам в рамках API банка. Это означает, что подключить и использовать их для своего интернет-бизнеса может практически любой желающий, заключивший договор с банком (акцептовавший, т.е. принявший условия соглашения на сайтах банка).

Услуги, обычно, предоставляются платно, но цена запроса, не превышает 50руб., при этом степень риска осуществления финансовой сделки снижается практически до нуля.

1.3. Персонализация пользователей в режиме электронного ключа

Еще один вид персонализации пользователей на защищенных веб-ресурсах предполагает наличие и использование специального электронного ключа. Пользователь может использовать ключ BIK как отдельно, так и совместно с клавиатурным паролем. При совместном использовании появляется возможность ввода простейших паролей, например, имена, даты, числа, слова и т. Д.

Отрасль назначение программы распространяется на любые приложения, требующие идентификации и аутентификации пользователя с помощью пароля: это программы шифрования, упаковки, почтовые клиенты, браузеры и др. Ее также можно использовать в любых диалогах операционной системы, которые требуют ввода пароля: при доступе к сетевым ресурсам, запуска программ от имени другого пользователя, а также при идентификации и аутентификации пользователя на этапе входа в систему.

Применяется вместе с устройствами «Ридер для ключа BИK-ВАК» и «Мышь компьютерная персонализированная».

Персонифицированный доступ к защищенным данным сети осуществляется при комплексном решении проблемы безопасного защищенного ввода аутентификационных данных пользователя и применяется в следующих случаях:

• локальный вход на рабочую станцию;
• сетевой вход на рабочую станцию или домен;
• доступ к сетевым ресурсам;
• доступ к веб-ресурсам;
• доступ к базам данных;
• доступ к VPN-сетей;
• запуск процессов от имени другого пользователя;
• средства аутентификации приложений;
• другие процедуры аутентификации.

Алгоритм работы с ключом достаточно прост. Пользователь вручную набирает свой код на ключе BIK путем вращения кодовых сегментов ключа вокруг общей оси.

Комплекс прозрачно интегрируется в информационную систему и может применяться как отдельно, так и совместно с другими средствами идентификации и аутентификации.

В данном методе персонализации сохраняются все пользовательские качества стандартных средств аутентификации:

• удобство использования;
• надежность;
• универсальность;
• совместимость;
• прозрачная интеграция в существующие системы;
• устойчивость к потере, краже, копирования.

Основные преимущества персонализации ключом:

• скрытое, быстрое и удобное введение кода
• защита канала передачи кода в компьютер;
• устойчивость кода (пароля) к атакам «по словарю»;
• возможность использования простых паролей;
• полная интеграция в операционную систему;
• высокая степень защиты;
• возможность легко изменить кодовую комбинацию вручную;
• один ключ на неограниченное количество устройств со встроенными ридерами;
• аутентификатором является не сам ключ, а набранная на нем комбинация.

Наиболее эффективно такой метод персонализации может применяться вместо клавиатурных паролей или совместно с ними. Замена стандартных клавиатурных паролей на ключ BIK дает следующие преимущества:

• Скрытность набора кода
• Защита канала передачи кода
• Устойчивость к атаке «по словарю»
• Возможность использования простых паролей

В этом случае реализуется двухфакторная аутентификация пользователя (пароль + ключ), что в некоторых случаях является прямым требованием политики безопасности компании.

Администраторы информационных систем имеют возможность использовать персона для управления учетными записями пользователей как отдельной рабочей станции (Local Security Policy), так и групповой доменной политики безопасности (Active Directory).

Персонализация ключем существенно повышает безопасность аутентификации пользователей и может применятся в любом месте информационной системы.

При начальной установке комплекса персонализации на машине клиента администратору предлагается ввести защитный код, который в результате используется для шифрования канала передачи ключей пользователей от считывателя в компьютер (операционную систему). Каждый экземпляр имеет свой защитный код, который может быть перепрограммирован администратором.

Использование уникального защитного кода позволяет «привязать» комплекс к конкретной рабочей станции, тем самым защищая рабочую станцию от применения различных злонамеренных устройств вместо «родного» считывателя ключа.

Программное обеспечение следит за наличием устройства считывания ключа и позволяет предотвратить загрузку компьютера в случае отключения устройства считывания (ридера или мыши). Таким образом, осуществляется дополнительный контроль физической целостности информационной компьютерной системы.

Вывод к первой главе.

Были изучены виды персонализации пользователей веб ресурса, цели и задачи, которые они преследуют. Рассмотрена персонализация с разных точек зрения. Определены направления использования и развития систем персонализацию.

Глава 2. Анализ характеристик персонализации пользователей.

2.1. Персонализация сайта под пользователя

Индивидуальный подход к потребителям - ключевая концепция современного маркетинга. Ведь в сегодняшнем мире каждый хочет быть личностью, а не частью серой массы. Именно на индивидуальности, а не на массе делают акцент большинство прогрессивных компаний. И если в обычном магазине добиться такого эффекта можно было всегда, то интернет-технологии пришли к этому относительно недавно.

Как предлагать свои продукты более целенаправленно и сделать так, чтобы пользователь почувствовал себя «уникальным»? Мы рассмотрим три способа персонализации интернет-магазина.

• Ресурс под пользователя
• Ресурс под конкретного пользователя
• Персонализация контента — комплекс мер, направленных на персонификацию контента. Добиться этого можно за счет построения схем для группирования посетителей ресурса.

Анализ — основа всего. Каждый владелец интернет-ресурса может иметь доступ к определенным данным о пользователе: его локации, впервые ли он на сайте, что вбивал в поиск перед тем, как попасть на ваш ресурс, и многое другое. Обладая этими данными, вы корректируете свое представление о целевой аудитории интернет-магазина и определяете, что должен будет увидеть представитель каждой из них.

Специальное программное обеспечение дает возможность распределять пользователей по разным показателям. В роли переменных могут выступать следующие данные:

• возраст;
• пол;
• расположение;
• платформа гаджета (iOS, Android, Windows, Mac и т. д.);
• URL-адрес, с которого пришел пользователь;
• ключевые слова, по которым посетитель попал на ваш сайт;
• дата, время суток;
• переходы со страницы на страницу и т. д.

Программное обеспечение для персонализации: Avail, Personyze, Monetate, Monoloop, Apsalar, Apptus, Gravity. Каждое из них имеет свои особенности, однако в целом задача подобного ПО - сбор доступной информации о пользователях веб-ресурса, распределение их по указанным данным и показ необходимого контента в соответствии с этими данными. Таким образом, задача персонализации выполняется с помощью программного обеспечения, а не программистов, которые создают сайт.

Весь контент ресурса может быть оформлен индивидуально. Основные точки - это:

• главная страница — так пользователь сможет почувствовать, что его здесь ценят и понимают, раз настроили внешний вид сайта согласно его интересам;
• слоганы — зная, кто зашел на ресурс, можно создать эффективные призывы к действию, ведь они будут направлены точно в цель;
• рекомендации — многие интернет-магазины проводили исследования, чтобы узнать, нужны ли рекомендации пользователям. Выяснилось, что большой процент интернет-покупателей приобретает товары именно благодаря рекомендациям. Ведь если у ресурса тысячи товаров, не у каждого посетителя хватит терпения просмотреть все в поисках нужного. Рекомендации же существенно упрощают поиск.