Авторизация клиента и его аутентификация

Авторизация клиента и его аутентификация Если для авторизации клиента достаточно системы username -password, то для однозначной аутентификации может быть недостаточно и электронной подписи клиента. С точки зрения технологии электронная подпись не является средством, которое позволяет однозначно идентифицировать подписавшего сообщение или электронный документ, как 39 в случае с обычной подписью. Электронная подпись скорее является факсимиле клиента или его личным штампом, при этом возникает не столько риск взлома или подделки подписи клиента, сколько риск того, что подписывать сообщения или документы будет совсем другой человек. Разумеется, сохранность дискеты или файла с электронной подписью и их защищенность являются проблемой самого клиента, а не брокера, но если учесть, что брокер может быть использован недобросовестными клиентами в мошеннических целях, то вопрос однозначной аутентификации клиента выглядит куда серьезней, чем запись в договоре о том, что клиент самостоятельно отвечает за сохранность файла с подписью, полученного от брокеров. Действительно, для подготовленного человека ничего не стоит написать простую программу, которая отправляла бы письма стандартного содержания, заверенные электронной подписью, по определенному адресу через какие-то промежутки времени. Для того чтобы снизить этот риск, перед началом работы клиент должен ответить на несколько вопросов, ответы на которые должны быть однозначными, состоящими из одного ключевого слова. Специальная программа запомнит эти ответы клиента, а затем при каждом его подключении случайным образом будет выбирать несколько вопросов, на которые он должен будет ответить еще раз. Если ответы не совпадут с имеющимися в базе, программа не допустит клиента к дальнейшей работе. 9 См. Федеральный закон об «ЭЦП» статья 10 40 Разумеется, этот способ - один из возможных и имеет свои недостатки. Он наиболее пригоден для тех клиентов, которые работают с брокером достаточно часто (ежедневно или несколько раз в неделю), а те, кто работает изредка, могут и не запомнить свои ответы. Очевидно, что брокеру следует иметь специальные процедуры, которые наряду с классическими, использующими индивидуальный логин и пароль клиента и его электронную подпись, позволяли бы максимально быстро и четко аутентифицировать каждого клиента, подключающегося через Интернет.