2FA w bankowości Bartosz Nowak b.nowak@securityinfo.pl
Co chronimy? Na czym zależy klientom? pieniądze, pieniądze, pieniądze. Główne kanały: okienko, bankowość elektroniczna, karty płatnicze.
Jak chronimy? Uwierzytelnianie osób/transakcji: wiem, mam, jestem. Priorytety: wygoda klienta, koszty, bezpieczeństwo.
Silne uwierzytelnianie wykorzystanie dwóch czynników uwierzytelniania, brak przesyłu stałych elementów uwierzytelniających.
Okienko Mam dokumenty tożsamości, jestem dokument ze zdjęciem, podpis, systemy biometryczne (biometryka w skarbcach), ciekawostka Szwajcarski Pictet pierwszym bankiem na świecie całkowicie polagającym na biometryce (2Q 2007) analiza twarzy klienta zaraz po wejściu do Banku.
Kanał Internetowy/WAP Wiem hasła statyczne razem z identyfikatorem używane powszechnie jako podstawowa metoda uwierzytelnienia w serwisie. Również możliwa metoda autoryzacji transakcji w BOŚ, Invest Bank, Kredyt Bank, Millenium, Polbank. wygodne w użyciu, niskie koszty, niskie bezpieczeństwo.
Kanał Internetowy/WAP Mam lista haseł jendnorazowych powszechnie stosowane przy autoryzacji transakcji. Również możliwa metoda uwierzytelnienia w serwisie (Nordea). uciążliwe w stosowaniu, niskie koszty, podwyższone bezpieczeństwo (niepodatne na kompromitacje pojedynczego hasła przy użyciu).
Kanał Internetowy/WAP Mam urządzenia typu token (synchroniczne, asynchroniczne, programowe) często stosowane przy autoryzacji transakcji (BOŚ, BZWBK, Kredyt Bank, Nordea, Lukas). Rónież możliwa metoda uwierzytelniania w serwisie (BOŚ, BZWBK, Kredyt Bank, Nordea), duże koszty zakupu, ograniczona wygoda przez dodatkowe urządzenie, przy mechanizmach niechronionych hasłem kompromitacja przy kradzieży urządzenia, ciągle brak odporności na MITM, phishing.
Kanał Internetowy/WAP Przyszłość? coraz popularniejsze tokeny programowe ale czy bezpieczniejsze? (np.w telefonach komórkowych bank o korzeniach francuskich), tokeny zabezpieczone pinem, zintegrowane z kartą płatnicza Innovative Card Technologies, emue Technologies, uwierzytelnianie kodami jednorazowymi karta chipowa +czytnik MasterCard Chip Authentication Program, VISA Dynamic Passcode Authentication.
Kanał Internetowy/WAP Mam smskod przesyłanie haseł jednorazowych na predefiniowany numer często stosowane przy autoryzacji transakcji (BPH, BZWBK, City, ING, mbank, Multibank). niskie koszty zakupu (popularność telefonii komórkowej) wyższe użytkowania, wygoda stosowania (brak dodatkowych urządzeń), bezpieczeństwo: kod nie jest generowany lokalnie, zazwyczaj brak blokady hasłem, należy zadbać o ograniczenia czasowe kodów, wirusy, ale... podaje dane o zleconej transakcji na ekranie znacznie utrudnia najpopularniejszy atak phishing (drugi kanał transmisji).
Kanał Internetowy/WAP Mam certyfikat elektroniczny uwierzytelnianie w serwisie poprzez zainstalowanie certyfikatu w przeglądarce WWW (Fortis), niskie koszty, mała wygoda (mobilność rozwiązania), wysokie bezpieczeństwo. Autoryzacja transakcji klucz prywatny z hasłem przechowywany na lokalnym dowolnym nośniku (Fortis, BPH, ING) bądź serwerze banku! (BPH, ING), niskie koszty, niższa wygoda przy pełnym kontrolowaniu klucza, wysokie bezpieczeństwo przy pełnym kontrolowaniu klucza (wada dystrybucja online)
Kanał Internetowy/WAP Mam certyfikat elektroniczny uwierzytelnianie w serwisie oraz autoryzacja transakcji poprzez certyfikat i pare kluczy zapisanych na SmartCard (BZWBK), duże koszty zakupu, zmniejszona wygoda (dodatkowe urządzenie), wysokie bezpieczeństwo, duże możliwości rozwoju zastosowanie podpisu kwalifikowanego, wprowadzającego nowe funkcjonalności.
Kanał Internetowy/WAP podpis elektroniczny w myśl ustawy każda elektroniczna identyfikacja osób fizycznych (w tym podpis cyfrowy, PIN, token) jeśli jest wykorzystana do zawarcia umowy czy potwierdzenia dyspozycji (nie są nim dane wykorzystywane do uwierzytelnienia wobec urządzenia lub serwera), ustawa o podpisie elektronicznym zapewnia jeden z korzystniejszych w Europie poziomów bezpieczeństwa prawnego w szczególności odbiorcy (zrównanie z podpisem tradycyjnym, domniemanie autorstwa), kwalifikowany podpis elektroniczny węższa definicja, większe bezpieczeństwo wyłączenie ograniczenia odpowiedzialności klienta do 150E (ustawa o elektronicznych instrumentach płatniczych), umożliwia nowe funkcjonalności jak podpisywanie umów, ciekawostka definicja podpisu kwalifikowanego nie obejmuje możliwości potwierdzenia autentyczności danych. Wada ustawy?
Kanał głosowy - IVR Wiem: zbiór trudnych pytań, stałe hasło (maskowane/niemaskowane), hasła jednorazowe. Mam: token. Jestem: rozpoznawanie głosu. Amerykańskie Morgan Stanley i Lehman Brothers uwierzytelnianie głosowe pracowników przy telekonferencjach. W Polsce jeden bank pod holenderską i jeden pod irlandzką banderą prowadzą badania nad tym biometrycznym sposobem uwierzytelniania.
Kanał SMS Najczęściej używany sposób autoryzacji: wiem hasło, mam telefon.
Karty płatnicze Transakcje fizyczne kartą uwierzytelnianie w POS/bankomacie poprzez parę mam (karta) i wiem (PIN) lub jestem (podpis), brak kosztów (dodatkowych), duża wygoda, niskie bezpieczeństwo: skimming, PayWave/PayPass (brak 2FA). Poprawa bezpieczeństwa: EMV (Europay, Mastercard, VISA) chip & PIN (znaczny spadek ilości zagubień i kradzieży, fałszowania oraz kart niedostarczonych). Problem ciągle pasek magnetyczny dla kompatybilności. 100% kart chipowych : BZWBK.
Karty płatnicze Transakcje CNP (Card Not Present) uwierzytelnianie jednym czynnikiem wiem (numer karty, data ważności, CVV2) brak kosztów, duża wygoda, niskie bezpieczeństwo, do czasu wprowadzenia CVV2 również istniał problem skimmingu. Poprawa bezpieczeństwa drugi czynnik: 3DSecure Verified by Visa, MasterCard SecureCode, koszty uzależnione od rodzaju mechanizmu uwierzytelniającego.
Karty płatnicze Przyszłość? Biometria: kolumbijski BanCafe i chilijskie Baco Falabella stosują bankomaty z uwierzytelnianiem na odcisk palca, japoński Suruga uwierzytelnia na podstawie układu żył na dłoniach, kanadyjski Royal Bank na podstawie siatkówki. koszt niski, duża wygoda (zindywidualizowane odczucia?), bezpieczeństwo wysokie, problem: spory narzut na transmisje przyszłość w połączeniu z EMV?
Co dalej Bankowość elektroniczna w Polsce stoi na wysokim poziomie pod względem bezpieczeństwa, Forum Technologii Bankowych przy Związku Banków Polskich badania nad technologiami oraz przygotowanie standardów technologiczych i prawnych: podpis elektroniczny zapisywany na karcie SIM + dedykowane oprogramowanie strona zaufana zamiast centrów certyfikacji to operatorzy lub banki, 26.02.2008 konferencja dotycząca zastosowania biometrii.
2FA w bankowości Dziękuję za uwagę! Bartosz Nowak b.nowak@securityinfo.pl