Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Podobne dokumenty
PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Tokeny software owe. Przegląd rozwiązań

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

Silne uwierzytelnianie dla klienta instytucjonalnego

OWASP OWASP. The OWASP Foundation Mariusz Burdach Prevenity

Instrukcja użytkowania KB tokena

Zastosowania informatyki w gospodarce Wykład 5

Instrukcja logowania i realizacji podstawowych transakcji w systemie bankowości internetowej dla klientów biznesowych BusinessPro.

Silne uwierzytelnianie dla klienta indywidualnego

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Agenda. Rys historyczny Mobilne systemy operacyjne

Wykład 7. komputerowych Integralność i uwierzytelnianie danych - główne slajdy. 16 listopada 2011

PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

Instrukcja Obsługi Tokena VASCO DP 280

PODRĘCZNIK OBSŁUGI BUSINESSNET

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

SSL (Secure Socket Layer)

3. Kolejne uruchomienie tokena W celu uruchomienia tokena VASCO DP280 należy przytrzymać przycisk Poweron/Power-off.

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Protokół IPsec. Patryk Czarnik

Agenda CERB. Silne bezpieczeństwo w zasięgu telefonu. Paweł Jakub Dawidek

Przewodnik dla użytkownika. Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

Instrukcja wiązania bankowości internetowej z aplikacją mobilną mtoken Asseco MAA (w przypadku autoryzacji za pomocą tokena lub sms-a)

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP)

Instrukcja Obsługi Tokena VASCO DP 280

Instrukcja Obsługi Tokena VASCO DP 280

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

PODRĘCZNIK OBSŁUGI BUSINESSNET

Instrukcja uruchomienia mtoken Asseco MAA na urządzeniach mobilnych oraz powiązania z Asseco CBP

Serwery autentykacji w sieciach komputerowych

Nowy sposób autoryzacji przelewów w Usłudze Bankowości Elektronicznej

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Program szkolenia: Bezpieczny kod - podstawy

Bezpieczeństwo usług oraz informacje o certyfikatach

Autor: Piotr Ignał Opiekun: prof. dr hab. inż. Zbigniew Kotulski

Wprowadzenie ciag dalszy

Instrukcja logowania i realizacji podstawowych transakcji w systemie bankowości internetowej dla klientów biznesowych BusinessPro.

Whitepaper. Banking, Insurance and Capital Markets Comarch MobileID

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

E-PODPIS INSTRUKCJA AKTYWACJI PODPISU ELEKTRONICZNEGO W SYSTEMIE MILLENET DLA PRZEDSIĘBIORSTW

INSTRUKCJA POWIĄZANIA BANKOWOŚCI INTERNETOWEJ Z APLIKACJĄ MOBILNĄ mtoken ASSECO MAA KLIENCI INDYWIDUALNI

INSTRUKCJA OBSŁUGI TOKENA WIELOFUNKCYJNEGO

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA. Przewodnik dla użytkownika

Instrukcja pierwszego logowania użytkownika do usługi CUI dla klientów z autoryzacją MAA.

Metody uwierzytelniania klientów WLAN

Migracja EMV czas na decyzje biznesowe

INSTRUKCJA OBŁUGI APLIKACJI ASSECO MAA

Instrukcja instalacji nos niko w USB w bankowos ci Alior Banku

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Dostosowanie środków dostępu użytkowanych w bankowości internetowej. do wymogów silnego uwierzytelniania (SCA)

WSIZ Copernicus we Wrocławiu

Bringing privacy back

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Szczegółowy opis przedmiotu zamówienia:

INSTRUKCJA POWIĄZANIA BANKOWOŚCI INTERNETOWEJ Z APLIKACJĄ MOBILNĄ mtoken ASSECO MAA KLIENCI KORPORACYJNI

Implementacja mechanizmu SkyCashClick Wersja 0.1

ZiMSK. Konsola, TELNET, SSH 1

SPIS TREŚCI. I. Podpis elektroniczny wprowadzenie II. Elementy pakietu e - podpis III. Instalacja pakietu do podpisu elektronicznego...

Instrukcja powiązania urządzenia mobilnego oraz autoryzacja operacji w bankowości elektronicznej Banku Spółdzielczego w Bieczu (Asseco CBP)

Warszawa, 22 marca Wstęp

Agenda. Quo vadis, security? Artur Maj, Prevenity

Bezpieczna bankowość efirma24

W ZMIENIAJĄCYM SIĘ ŚWIECIE

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

Bezpieczeństwo korespondencji elektronicznej

PŁATNOŚCI ELEKTRONICZNE I NIE TYLKO

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Bank Spółdzielczy w Nidzicy

Instrukcja obsługi PekaoTokena dla użytkowników Pekao24

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP) 2. Rejestracja użytkownika przy użyciu hasła maskowalnego dla klientów

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Instrukcja powiązania urządzenia mobilnego oraz autoryzacja operacji w bankowości elektronicznej Banku Spółdzielczego w Bieczu (Asseco CBP)

Wprowadzenie do technologii VPN

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

ibosstoken Proces obsługi (wydawania, personalizacji i korzystania) Tokena mobilnego do systemu BOŚBank24 iboss

ikasa instrukcja użytkownika dla Klientów posiadających zainstalowaną aplikację

Instrukcja uruchomienia mtoken Asseco MAA na urządzeniach mobilnych oraz powiązania z Systemem Bankowości Internetowej def3000ceb

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Instrukcja logowania do systemu Rejestru Unii

banking, insurance & capital markets Uwierzytelnianie i autoryzacja przy użyciu telefonu komórkowego Comarch Mobile Security

Przewodnik użytkownika

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA klient korporacyjny

Instrukcja aktywacji i instalacji Certum Code Signing

TeamViewer informacje dotyczące bezpieczeństwa

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

Bezpieczna bankowość ekonto24

Instrukcja uruchomienia i korzystania z mtoken Asseco MAA na urządzeniach mobilnych oraz powiązania z Asseco CBP

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

Bezpieczeństwo informacji w systemach komputerowych

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Transkrypt:

Bezpieczeństwo aplikacji typu software token Mariusz Burdach, Prevenity Agenda 1. Bezpieczeństwo bankowości internetowej w Polsce 2. Główne funkcje aplikacji typu software token 3. Na co zwrócić uwagę przy wyborze rozwiązania Parametry Wpływ na bezpieczeństwo 4. Rekomendacje zespołu Prevenity 1

Bankowość internetowa w Polsce Typowy model: 1. Dostęp do systemu transakcyjnego (uwierzytelnianie) 2. Operacje w systemie transakcyjnym (autoryzacja) Realizacja punktu 1 Hasło statyczne / karta zdrapka Token (hardware/software) + PIN hasła OTP Certyfikat + PIN Realizacja punktu 2 Lista haseł jednorazowych / karta zdrapka Token (hardware/software) + PIN hasła OTP SMS TAN Token (hardware/software) + PIN Challenge-Response - MAC/MDS/TDS Główne funkcje 1. Dwuskładnikowe uwierzytelnianie (ang. 2 Factor Authentication) oparte o hasła jednorazowe (tzw. OTP) 2. Zapewnienie drugiego, niezależnego kanału autoryzacji transakcji (tzw. Out Of Band) 3. Autoryzacja konkretnej transakcji 2

Istotne parametry Algorytmy i standardy Ilość i długość parametrów Bezpieczeństwo klucza (shared key) Licznik / znacznik czasu Challenge Dystrybucja/Zarządzanie Algorytmy i standardy Generacja haseł jednorazowych (OTP): RFC 4226 HMAC-Based One-Time Password Algorithm Inne ale oparta o HMAC Szyfrowanie kluczem danych (np. Znacznik czasu) Autoryzacja transakcji: OCRA: OATH Challenge-Response Algorithms (draft) Inne ale oparte o HMAC Szyfrowanie kluczem danych (np. rachunek docelowy) Najbardziej prawdopodobny atak: brute force Prawdopodobieństwo udanego ataku = sv/10^d s rozmiar okna do synchronizacji v ilość nieudanych prób po których dostęp jest blokowany d długość znaków w wartości OTP 3

HMAC Keyed Hash Message Authentication Code (RFC 2104) Weryfikacja integralności Weryfikacja autentyczności Parametry: Dane podlegające ochronie Klucz (współdzielony pomiędzy klienta banku i bank) Funkcja skrótu (md5, sha1, sha256, sha512,...) Parametry Klucz długość powinna wynosić co najmniej 32 bajty Metoda generowania kluczy OCRA = CryptoFunction(K, { [C ] Q [P S T]}) gdzie K klucz, wymagany C - licznik, opcjonalny. Q - Challenge question, wymagany, dostarczany przez stronę weryfikującą, P skrót od PINu lub hasła, opcjonalny, S informacje na temat sesji, opcjonalne, T znacznik czasu, opcjonalny. Dokument OATH Challenge-Response Algorithms oraz RFC 4226 zawiera wytyczne na temat długości niektórych parametrów oraz inne wytycznie na temat implementacji. 4

Bezpieczeństwo klucza Klucz jest przechowywany po stronie banku i klienta Ochrona kodem PIN PIN PIN + IMEI Podpowiedzi do PIN Algorytm podpowiedzi Ilość podpowiedzi / 10 ^ (długość kodu PIN) Możliwe ataki: Keylogger w urządzeniu mobilnym Przechwycenie jednej poprawnie wygenerowanej wartości oraz zaszyfrowanego klucza atak brute force Klonowanie aplikacji Licznik czy Znacznik czasu? Licznik Znacznik czasu Wymagana synchronizacja NIE TAK Określenie aktualnej wartości NIE* TAK Przewidzenie następnej wartości NIE* NIE Możliwość użycia wygenerowanych uprzednio OTP TAK NIE Ograniczenie czasu życia wygenerowanej wartości NIE TAK * Dotyczy scenariusza, gdy intruz nie ma dostępu do telefonu ofiary. Innym istotnym parametrem jest długość licznika. 5

Challenge Nie bazuje na funkcjach kryptograficznych Opracowany przez producenta oprogramowania Nośnik wybranych informacji o szczegółach autoryzowanej transakcji Ograniczenia: Nie nadaje się do autoryzacji niektórych transakcji niefinansowych dotyczy to generalnie aplikacji tego typu Nie nadaję się do autoryzacji transakcji zbiorczych Kolizje 1:10000 (dla 4 cyfr) 1:100000 (dla 5 cyfr) Dystrybucja / Zarządzanie Aplikacja J2ME czy natywna? Podpis cyfrowy Aktywacja Proces personalizacji Przekazanie kodu aktywacjnego do klienta Długość kodu aktywacyjnego i jego budowa Zarządzanie Instalacja nowej wersji / poprawki / aplikacji na nowym telefonie Zmiana kodu PIN 6

Możliwe ataki - podsumowanie Wektor ataku Błędy implementacyjne? Infekcja urządzenia mobilnego Nadpisanie aplikacji Instalacja oprogramowania typu keylogger lub koń trojański Rekonfiguracja telefonu Ataki typu brute force Ataki na kod PIN Kolizje Phishing haseł OTP Klonowanie aplikacji Możliwość wystąpienia ataku średnie Rekomendacja Szczegółowe testy rozwiązania (włączając przegląd kodu) i identyfikacja ryzyka Szczegółowe testy wdrożonego systemu (po stronie klienta i banku) Monitorowanie transakcji po stronie banku 7

Dziękuję z uwagę Mariusz.Burdach@prevenity.com 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres