Your SlideShare is downloading. ×
2FA w bankowosci (Bartosz Nowak)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

2FA w bankowosci (Bartosz Nowak)

1,708
views

Published on

Bartosz Nowak

Bartosz Nowak


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,708
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 2FA w bankowości Bartosz Nowak b.nowak@securityinfo.pl
  • 2. Co chronimy? Na czym zależy klientom? pieniądze, pieniądze, pieniądze. Główne kanały: ”okienko”, bankowość elektroniczna, karty płatnicze.
  • 3. Jak chronimy? Uwierzytelnianie osób/transakcji: wiem, mam, jestem. Priorytety: wygoda klienta, koszty, bezpieczeństwo.
  • 4. Silne uwierzytelnianie  wykorzystanie dwóch czynników uwierzytelniania, brak przesyłu stałych elementów uwierzytelniających.
  • 5. Okienko”  Mam – dokumenty tożsamości, jestem – dokument ze zdjęciem, podpis, systemy biometryczne (biometryka w skarbcach), ciekawostka – Szwajcarski Pictet pierwszym bankiem na świecie całkowicie polagającym na biometryce (2Q 2007) – analiza twarzy klienta zaraz po wejściu do Banku.
  • 6. Kanał Internetowy/WAP Wiem – hasła statyczne – razem z identyfikatorem używane powszechnie jako podstawowa metoda uwierzytelnienia w serwisie. Również możliwa metoda autoryzacji transakcji w BOŚ, Invest Bank, Kredyt Bank, Millenium, Polbank. wygodne w użyciu, niskie koszty, niskie bezpieczeństwo.
  • 7. Kanał Internetowy/WAP Mam – lista haseł jendnorazowych – powszechnie stosowane przy autoryzacji transakcji. Również możliwa metoda uwierzytelnienia w serwisie (Nordea). uciążliwe w stosowaniu, niskie koszty, podwyższone bezpieczeństwo (niepodatne na kompromitacje pojedynczego hasła przy użyciu).
  • 8. Kanał Internetowy/WAP Mam – urządzenia typu token (synchroniczne, asynchroniczne, programowe) – często stosowane przy autoryzacji transakcji (BOŚ, BZWBK, Kredyt Bank, Nordea, Lukas). Rónież możliwa metoda uwierzytelniania w serwisie (BOŚ, BZWBK, Kredyt Bank, Nordea), duże koszty zakupu, ograniczona wygoda przez dodatkowe urządzenie, przy mechanizmach niechronionych hasłem kompromitacja przy kradzieży urządzenia, ciągle brak odporności na MITM, phishing.
  • 9. Kanał Internetowy/WAP Przyszłość? coraz popularniejsze tokeny programowe – ale czy bezpieczniejsze? (np.w telefonach komórkowych – bank o korzeniach francuskich), tokeny zabezpieczone pinem, zintegrowane z kartą płatnicza – Innovative Card Technologies, eMue Technologies, uwierzytelnianie kodami jednorazowymi – karta „chipowa”+czytnik – MasterCard Chip Authentication Program, VISA Dynamic Passcode Authentication.
  • 10. Kanał Internetowy/WAP Mam – smsKod – przesyłanie haseł jednorazowych na predefiniowany numer – często stosowane przy autoryzacji transakcji (BPH, BZWBK, City, ING, mBank, Multibank). niskie koszty zakupu (popularność telefonii komórkowej) – wyższe użytkowania, wygoda stosowania (brak dodatkowych urządzeń), bezpieczeństwo: •kod nie jest generowany lokalnie, •zazwyczaj brak blokady hasłem, •należy zadbać o ograniczenia czasowe kodów, •wirusy, •ale... podaje dane o zleconej transakcji na ekranie – znacznie utrudnia najpopularniejszy atak – phishing (drugi kanał transmisji).
  • 11. Kanał Internetowy/WAP Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie poprzez zainstalowanie certyfikatu w przeglądarce WWW (Fortis), niskie koszty, mała wygoda (mobilność rozwiązania), wysokie bezpieczeństwo. Autoryzacja transakcji – klucz prywatny z hasłem przechowywany na lokalnym dowolnym nośniku (Fortis, BPH, ING) bądź serwerze banku! (BPH, ING), niskie koszty, niższa wygoda przy pełnym kontrolowaniu klucza, wysokie bezpieczeństwo przy pełnym kontrolowaniu klucza (wada – dystrybucja online)
  • 12. Kanał Internetowy/WAP Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie oraz autoryzacja transakcji poprzez certyfikat i pare kluczy zapisanych na SmartCard (BZWBK), duże koszty zakupu, zmniejszona wygoda (dodatkowe urządzenie), wysokie bezpieczeństwo, duże możliwości rozwoju – zastosowanie podpisu kwalifikowanego, wprowadzającego nowe funkcjonalności.
  • 13. Kanał Internetowy/WAP podpis elektroniczny – w myśl ustawy każda elektroniczna identyfikacja osób fizycznych (w tym podpis cyfrowy, PIN, token) jeśli jest wykorzystana do zawarcia umowy czy potwierdzenia dyspozycji (nie są nim dane wykorzystywane do uwierzytelnienia wobec urządzenia lub serwera), ustawa o podpisie elektronicznym zapewnia jeden z korzystniejszych w Europie poziomów bezpieczeństwa prawnego w szczególności odbiorcy (zrównanie z podpisem tradycyjnym, domniemanie autorstwa), kwalifikowany podpis elektroniczny – węższa definicja, większe bezpieczeństwo – wyłączenie ograniczenia odpowiedzialności klienta do 150E (ustawa o elektronicznych instrumentach płatniczych), umożliwia nowe funkcjonalności jak podpisywanie umów, ciekawostka – definicja podpisu kwalifikowanego nie obejmuje  możliwości potwierdzenia autentyczności danych. Wada ustawy?
  • 14. Kanał głosowy - IVR Wiem: zbiór ”trudnych” pytań, stałe hasło (maskowane/niemaskowane), hasła jednorazowe. Mam: token. Jestem: rozpoznawanie głosu. Amerykańskie Morgan Stanley i Lehman Brothers – uwierzytelnianie głosowe pracowników przy telekonferencjach. W Polsce jeden bank pod holenderską i jeden pod irlandzką banderą prowadzą badania nad tym biometrycznym sposobem uwierzytelniania.
  • 15. Kanał SMS Najczęściej używany sposób autoryzacji: wiem – hasło, mam – telefon.
  • 16. Karty płatnicze Transakcje „fizyczne” kartą – uwierzytelnianie w POS/bankomacie poprzez parę mam (karta) i wiem (PIN) lub jestem (podpis), brak kosztów (dodatkowych), duża wygoda, niskie bezpieczeństwo: skimming, PayWave/PayPass (brak 2FA). Poprawa bezpieczeństwa: EMV (Europay, Mastercard, VISA) – chip & PIN (znaczny spadek ilości zagubień i kradzieży, fałszowania oraz kart niedostarczonych). Problem – ciągle pasek magnetyczny dla kompatybilności. 100% kart „chipowych”: BZWBK.
  • 17. Karty płatnicze Transakcje CNP (Card Not Present) – uwierzytelnianie jednym czynnikiem – wiem (numer karty, data ważności, CVV2) brak kosztów, duża wygoda, niskie bezpieczeństwo, do czasu wprowadzenia CVV2 również istniał problem skimmingu. Poprawa bezpieczeństwa – drugi czynnik: 3DSecure – Verified by Visa, MasterCard SecureCode, koszty uzależnione od rodzaju mechanizmu uwierzytelniającego.
  • 18. Karty płatnicze Przyszłość? Biometria: kolumbijski BanCafe i chilijskie Baco Falabella stosują bankomaty z uwierzytelnianiem na odcisk palca, japoński Suruga uwierzytelnia na podstawie układu żył na dłoniach, kanadyjski Royal Bank na podstawie siatkówki. koszt niski, duża wygoda (zindywidualizowane odczucia?), bezpieczeństwo wysokie, problem: spory narzut na transmisje – przyszłość w połączeniu z EMV?
  • 19. Co dalej Bankowość elektroniczna w Polsce stoi na wysokim poziomie pod  względem bezpieczeństwa, Forum Technologii Bankowych przy Związku Banków Polskich – badania nad technologiami oraz przygotowanie standardów technologiczych i prawnych: podpis elektroniczny zapisywany na karcie SIM + dedykowane oprogramowanie – strona zaufana zamiast centrów certyfikacji to operatorzy lub banki, 26.02.2008 konferencja dotycząca zastosowania biometrii.
  • 20. 2FA w bankowości Dziękuję za uwagę! Bartosz Nowak b.nowak@securityinfo.pl