И пароль не подсмотришь - «Новости Банков»

Банк «Открытие» запускает приложение мобильного банкинга для iOS, позволяющее авторизоваться по отпечатку пальца вместо ПИН-кода. Портал Банки.ру изучил, как работает эта функция и какие риски для денег пользователя порождает.

Почти все розничные банки успели обзавестись мобильными приложениями, обеспечивающими клиентам управление деньгами на счетах с телефона или планшета. Несмотря на то что основной набор функций у всех более-менее совпадает, каждое приложение отличается своими нюансами. Причем именно эти нюансы могут превратить приложение в неудобного, тормозного и ненадежного монстра либо наоборот, дать пользователям простой, красивый и легкий инструмент управления деньгами.

Что получится у банка «Открытие» – посмотрим. Но уже понятно, что банк зашел с козырей, реализовав невиданную в мобильном банкинге функцию, позволяющую владельцам смартфонов iPhone 5s/6/6 Plus авторизоваться в приложение без ввода какого-либо ПИН-кода, просто прижав палец к вмонтированному в кнопку «Домой» датчику отпечатка пальца.

Подходы банков к разработке приложения существенно разнятся. Одни ставят во главу угла функциональность, другие сосредотачиваются на надежности и скорости работы, третьи стремятся завоевать придирчивого клиента эффектным дизайном. Банк «Открытие» решил зайти со стороны удобства, начав с исследования юзабилити мобильных приложений.

«Изначально была идея создать простое, удобное, красивое мобильное приложение, да плюс еще с хорошей функциональностью, – рассказал порталу Банки.ру менеджер проектов управления дизайна клиентских интерфейсов банка «Открытие» Александр Нестеров. – Мы уделили особенное внимание именно тому, как обычные люди пользуются банковскими или любыми другими мобильными приложениями. Провели несколько исследований, чтобы понять, чего люди ожидают от приложения и как они пользуются мобильными приложениями, и получили достаточно интересные результаты. Иногда то, что разработчикам кажется однозначно понятным и удобным, для пользователей может выглядеть совершенно иначе. К примеру, заметную, казалось бы, кнопку в каких-то случаях пользователи могут вообще не увидеть. Или процесс выполнения какой-либо операции пользователь может воспринимать не так, как это представляет себе банк. В соответствии с результатами таких тестов приложение перерабатывалось и вновь отправлялось на исследование».

Функция авторизации по отпечатку пальца как нельзя лучше укладывается в эту стратегию. Ее удобство бесспорно: ПИН-код помнить не нужно, нет необходимости его и записывать. А значит, он заведомо не попадет в чужие руки. Да это и просто экономия времени, так ценимого современным мобильным человеком. Заметим, что альтернативная возможность входа в приложение по вводу ПИН-кода у «Открытия» все-таки будет, на всякий случай.

Однако не всякий даже вполне добропорядочный клиент захочет оставить банку свои биометрические данные. Менеджер проектов департамента IT банка «Открытие» Иван Карманов заверил (как нам показалось, с сожалением), что никаких данных об отпечатках пальцев клиента банк получить не может, спасибо мудрой Apple: «Пока Apple открыли маленький кусочек возможностей. Все, что мы можем, – узнать, что к датчику прикоснулся тот же пользователь, который имеет право разблокировать телефон пальцем, и можем достать соответствующий ключ из защищенного хранилища в телефоне. Ни к хешам отпечатков пальцев, ни к чему-либо еще у нас доступа нет».

По словам представителей «Открытия», система безопасности в новом приложении будет не слишком строга к пользователю. Никаких одноразовых кодов приложение не будет запрашивать ни при авторизации, ни при выполнении каких-либо операций. По всей видимости, лишней защитой было решено пожертвовать в угоду юзабилити. Но, чтобы чересчур дружелюбная программа не стала причиной утраты клиентом крупной суммы, например, в случае кражи телефона и использования силиконовой копии пальца, банк собирается установить строгие суточные лимиты на операции через приложение. Расчет на то, что много денег у мошенников за один день вывести не получится, а за это время банк заблокирует доступ. Подход спорный, но вполне практичный.

Отметим, что разработкой приложения занимались не собственные сотрудники банка, а команда компании Redmadrobot, обладающая опытом разработки мобильных приложений вообще и банковских в частности. Неизбежно возникает вопрос, насколько безопасно отдавать разработку приложения, работающего с АБС банка, посторонним. По словам Ивана Карманова, на всех этапах разработки проводился строгий аудит. «Чтобы удостовериться, что код приложения, написанный внешним подрядчиком, не содержит закладок, ошибок, каких-либо ляпов, мы обратились к внешней компании, которая провела аудит исходного кода, протестировала в симуляторе и провела тестирование связки приложение-сервер. Ничего критичного найдено не было, зато прислали порядка 50 замечаний касательно возможных уязвимостей, которые были учтены при дальнейшей разработке», — рассказал Карманов.

Пока все это относится к приложению лишь под iOS 7/8 (вход по отпечатку пальца доступен лишь в iOS 8), но в планах и версия под Android. Несмотря на то что в флагманских моделях Android-смартфонов некоторых производителей тоже начинают появляться датчики отпечатка пальца, приложение банка «Открытие» под самую популярную мобильную платформу пока останется без столь интересной функции, хотя и нельзя исключить ее появления в будущем.

Михаил ДЬЯКОВ,