Your SlideShare is downloading. ×
0
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Mobilní bankovnictví a bezpečnostní rizika

1,482

Published on

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? …

Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,482
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Mobilní bankovnictví a bezpečnostní rizikaPetr DvořákChief Senior Workaholics
  • 2. Před pár lety...
  • 3. První krůčky: GSM, JavaME
  • 4. Dnes jsme dále...
  • 5. Finance jsou mobilní
  • 6. Nová zařízení, nové problémy
  • 7. Mobilní telefon(krásný)
  • 8. Tablet device(krásný)
  • 9. Dell Streak(divný)
  • 10. Asus EEEPad(nevyhraněný)
  • 11. Internet do notebooku?(Co bude dál? Lékař jen na zuby?)
  • 12. Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
  • 13. Řešení • Přiznat si, že zařízení je anonymní • “ID zařízení” vs. “ID instalace” • ... chceme přeci ověřit uživatele, boha jeho... • Autentizace = “Jak dokážu, že já jsem já...” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
  • 14. Zařízení je anonymní• Nesmí být moc anonymní • Blokace při ztrátě • Obrana proti zablokování účtu• Řeší proces aktivace / personalizace • Sekvence kroků na zařízení a v internetovém bankovnictví • Internetové bankovnictví je bezpečný kanál
  • 15. Případová studie
  • 16. SERVIS 24• Heslo pro Mobilní banku se nastavuje v IB • V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód • Heslo je v IB autorizováno běžnými prostředky• Aktivace se dokončí v mobilním zařízení • Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace
  • 17. SERVIS 24 pro iPhone
  • 18. SERVIS 24Z reklamy na bezpečnost:“Při komunikaci se serverem je každýpožadavek individuálně podepsánsignaturou složenou z dat personalizace,dat daného požadavku, hasheuživatelského hesla, časového razítkaa dalších, velmi tajných parametrů.”
  • 19. SERVIS 24• ... tedy i při prolomení bezpečného komunikačního kanálu • Je zajištěno, že není možné kompromitovat heslo • Není možné opakovat requesty na server • Není možné podvrhovat obsah requestů• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení
  • 20. Nová zařízení, staré problémy
  • 21. Problém • Firmy zaměřené na mobilní vývoj jsou stále mladé • Nevědí, kde může být teoreticky problém • Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem • Jak funguje logování? Jak se pracuje s certifikáty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?
  • 22. Řešení • Přiznat si, že nejsem superman • “Naše firma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.” • “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.” • V kooperaci verifikovat bezpečnost • Návrh bezpečnosti • Implementace pro danou platformu
  • 23. Autentizace stojí a padá s heslem uživatele
  • 24. “Nedávej všechna vejce do jednoho košíku”
  • 25. 2-faktorová autentizace• Obejdeme se bez ní? • Klid - teď ano... • ... pak ne...• Mobilní bankovnictví není moc rozšířené • Nevyplatí se útočit skrze něj • Neexistují hrozby, které by vynutily silnější autorizaci • Ne zcela platí pro Android, naštěstí je tu Avast antivirus• Čeká se na první skandál☺
  • 26. Shrnutí• Nová zařízení přinesla nové hrozby • Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl • Je nutno přijímat nové postupy, nelpět na přežitých schématech• Dlouhodobě nebude stačit jedno-faktorová autentizace • Více-faktorová autentizace nemusí uživatele bolet
  • 27. Děkuji@inmite@joshis_tweets

×