4. Silne uwierzytelnianie
wykorzystanie dwóch czynników uwierzytelniania,
brak przesyłu stałych elementów
uwierzytelniających.
5. Okienko”
Mam – dokumenty tożsamości,
jestem – dokument ze zdjęciem, podpis, systemy
biometryczne (biometryka w skarbcach),
ciekawostka – Szwajcarski Pictet pierwszym
bankiem na świecie całkowicie polagającym na
biometryce (2Q 2007) – analiza twarzy klienta
zaraz po wejściu do Banku.
6. Kanał Internetowy/WAP
Wiem – hasła statyczne – razem z identyfikatorem
używane powszechnie jako podstawowa metoda
uwierzytelnienia w serwisie.
Również możliwa metoda autoryzacji transakcji w
BOŚ, Invest Bank, Kredyt
Bank, Millenium, Polbank.
wygodne w użyciu,
niskie koszty,
niskie bezpieczeństwo.
7. Kanał Internetowy/WAP
Mam – lista haseł jendnorazowych – powszechnie
stosowane przy autoryzacji transakcji.
Również możliwa metoda uwierzytelnienia w
serwisie (Nordea).
uciążliwe w stosowaniu,
niskie koszty,
podwyższone bezpieczeństwo (niepodatne na
kompromitacje pojedynczego hasła przy użyciu).
8. Kanał Internetowy/WAP
Mam – urządzenia typu token
(synchroniczne, asynchroniczne, programowe) – często
stosowane przy autoryzacji transakcji
(BOŚ, BZWBK, Kredyt Bank, Nordea, Lukas).
Rónież możliwa metoda uwierzytelniania w serwisie
(BOŚ, BZWBK, Kredyt Bank, Nordea),
duże koszty zakupu,
ograniczona wygoda przez dodatkowe urządzenie,
przy mechanizmach niechronionych hasłem
kompromitacja przy kradzieży urządzenia,
ciągle brak odporności na MITM, phishing.
9. Kanał Internetowy/WAP
Przyszłość?
coraz popularniejsze tokeny programowe – ale czy
bezpieczniejsze? (np.w telefonach komórkowych – bank
o korzeniach francuskich),
tokeny zabezpieczone pinem, zintegrowane z kartą
płatnicza – Innovative Card Technologies, eMue
Technologies,
uwierzytelnianie kodami jednorazowymi – karta
„chipowa”+czytnik – MasterCard Chip Authentication
Program, VISA Dynamic Passcode Authentication.
10. Kanał Internetowy/WAP
Mam – smsKod – przesyłanie haseł jednorazowych na
predefiniowany numer – często stosowane przy autoryzacji
transakcji (BPH, BZWBK, City, ING, mBank, Multibank).
niskie koszty zakupu (popularność telefonii komórkowej) – wyższe
użytkowania,
wygoda stosowania (brak dodatkowych urządzeń),
bezpieczeństwo:
•kod nie jest generowany lokalnie,
•zazwyczaj brak blokady hasłem,
•należy zadbać o ograniczenia czasowe kodów,
•wirusy,
•ale... podaje dane o zleconej transakcji na ekranie – znacznie
utrudnia najpopularniejszy atak – phishing (drugi kanał
transmisji).
11. Kanał Internetowy/WAP
Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie
poprzez zainstalowanie certyfikatu w przeglądarce WWW (Fortis),
niskie koszty,
mała wygoda (mobilność rozwiązania),
wysokie bezpieczeństwo.
Autoryzacja transakcji – klucz prywatny z hasłem przechowywany
na lokalnym dowolnym nośniku (Fortis, BPH, ING) bądź serwerze
banku! (BPH, ING),
niskie koszty,
niższa wygoda przy pełnym kontrolowaniu klucza,
wysokie bezpieczeństwo przy pełnym kontrolowaniu klucza (wada
– dystrybucja online)
12. Kanał Internetowy/WAP
Mam – certyfikat elektroniczny – uwierzytelnianie
w serwisie oraz autoryzacja transakcji poprzez
certyfikat i pare kluczy zapisanych na SmartCard
(BZWBK),
duże koszty zakupu,
zmniejszona wygoda (dodatkowe urządzenie),
wysokie bezpieczeństwo,
duże możliwości rozwoju – zastosowanie podpisu
kwalifikowanego, wprowadzającego nowe
funkcjonalności.
13. Kanał Internetowy/WAP
podpis elektroniczny – w myśl ustawy każda elektroniczna identyfikacja
osób fizycznych (w tym podpis cyfrowy, PIN, token) jeśli jest
wykorzystana do zawarcia umowy czy potwierdzenia dyspozycji (nie są
nim dane wykorzystywane do uwierzytelnienia wobec urządzenia lub
serwera),
ustawa o podpisie elektronicznym zapewnia jeden z korzystniejszych w
Europie poziomów bezpieczeństwa prawnego w szczególności odbiorcy
(zrównanie z podpisem tradycyjnym, domniemanie autorstwa),
kwalifikowany podpis elektroniczny – węższa definicja, większe
bezpieczeństwo – wyłączenie ograniczenia odpowiedzialności klienta do
150E (ustawa o elektronicznych instrumentach płatniczych), umożliwia
nowe funkcjonalności jak podpisywanie umów,
ciekawostka – definicja podpisu kwalifikowanego nie obejmuje
możliwości potwierdzenia autentyczności danych. Wada ustawy?
14. Kanał głosowy - IVR
Wiem:
zbiór ”trudnych” pytań,
stałe hasło (maskowane/niemaskowane),
hasła jednorazowe.
Mam:
token.
Jestem:
rozpoznawanie głosu.
Amerykańskie Morgan Stanley i Lehman Brothers –
uwierzytelnianie głosowe pracowników przy telekonferencjach.
W Polsce jeden bank pod holenderską i jeden pod irlandzką
banderą prowadzą badania nad tym biometrycznym sposobem
uwierzytelniania.
16. Karty płatnicze
Transakcje „fizyczne” kartą – uwierzytelnianie w POS/bankomacie
poprzez parę mam (karta) i wiem (PIN) lub jestem (podpis),
brak kosztów (dodatkowych),
duża wygoda,
niskie bezpieczeństwo:
skimming,
PayWave/PayPass (brak 2FA).
Poprawa bezpieczeństwa:
EMV (Europay, Mastercard, VISA) – chip & PIN (znaczny spadek
ilości zagubień i kradzieży, fałszowania oraz kart
niedostarczonych). Problem – ciągle pasek magnetyczny dla
kompatybilności.
100% kart „chipowych”: BZWBK.
17. Karty płatnicze
Transakcje CNP (Card Not Present) – uwierzytelnianie jednym
czynnikiem – wiem (numer karty, data ważności, CVV2)
brak kosztów,
duża wygoda,
niskie bezpieczeństwo,
do czasu wprowadzenia CVV2 również istniał problem
skimmingu.
Poprawa bezpieczeństwa – drugi czynnik:
3DSecure – Verified by Visa, MasterCard SecureCode,
koszty uzależnione od rodzaju mechanizmu
uwierzytelniającego.
18. Karty płatnicze
Przyszłość?
Biometria:
kolumbijski BanCafe i chilijskie Baco Falabella stosują bankomaty
z uwierzytelnianiem na odcisk palca,
japoński Suruga uwierzytelnia na podstawie układu żył na
dłoniach,
kanadyjski Royal Bank na podstawie siatkówki.
koszt niski,
duża wygoda (zindywidualizowane odczucia?),
bezpieczeństwo wysokie,
problem: spory narzut na transmisje – przyszłość w połączeniu z
EMV?
19. Co dalej
Bankowość elektroniczna w Polsce stoi na wysokim poziomie pod
względem bezpieczeństwa,
Forum Technologii Bankowych przy Związku Banków Polskich –
badania nad technologiami oraz przygotowanie standardów
technologiczych i prawnych:
podpis elektroniczny zapisywany na karcie SIM +
dedykowane oprogramowanie – strona zaufana zamiast
centrów certyfikacji to operatorzy lub banki,
26.02.2008 konferencja dotycząca zastosowania biometrii.
20. 2FA w bankowości
Dziękuję za uwagę!
Bartosz Nowak
b.nowak@securityinfo.pl