Savremeni trendovi i kvalitet u upravljanju ljudskim resursima
Problemi autentifikacije i bezbednosni aspekti e banking i mbanking sistema
1. Problemi autentifikacije i
bezbednosni aspekti
eBanking i mBanking sistema
ICT Security 2015
Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković
lukaui@yahoo.com
rs.linkedin.com/in/lukamilinkovic
2. Elektronsko i mobilno bankarstvo
• Od 2010. do 2014. vrednost transakcija preko
mobilnih uređaja se povećala 7 puta
• eBanking
• mBanking
• mPay
2Hotel Aquastar Danube, KladovoICT Security 2015
3. eBanking i mBanking
• Bolja evidencija i analiza troškova
• Nema provizije
• Nema čekanja u redu
• Plaćanje iz inostranstva
• Plaćanje u bilo kom trenutku (i sa bilo koje
lokacije)
3Hotel Aquastar Danube, KladovoICT Security 2015
4. eBanking
• Podnošenje zahteva u ekspozituri
• Korisničko ime se šalje na e-mail
• Lozinka se preuzima u ekspozituri, a poželjno ju
je promeniti
• Drofaktorska autentifikacija pomoću kartice ili USB flash memorije
sa sertifikatom
• Postoji lista odobrenih računa uz mogućnost
dodavanja novih – SMS ili mToken potvrda
4Hotel Aquastar Danube, KladovoICT Security 2015
5. mBanking
• Podnošenje zahteva u ekspozituri
• U SMS poruci stiže link za aplikaciju ili se može
preuzeti iz ovlašćene internet prodavnice (Apple,
Google)
• U novoj SMS poruci stiže aktivacioni kod
• Nakon instalacije i unošenja aktivacionog koda
sami birate PIN ili lozinku
5Hotel Aquastar Danube, KladovoICT Security 2015
6. mBanking
• Po instalaciji formira se privatni ključ za
kriptovanje komunikacije (IPsec protokol) između
mobilnog telefona i banke
• Privatni ključ se štiti PIN-om ili lozinkom
• Sve informacije o radu u aplikaciji se brišu nakon
izlaska iz nje
• Automatski izlazak nakon definisanog vremena
neaktivnosti
6Hotel Aquastar Danube, KladovoICT Security 2015
7. mBanking
• Nakon 3 pogrešna unosa lozinke aplikacija se
zaključava
• Potrebno je ceo proces ponoviti, kako bi se ovaj
servis ponovo uspostavio
• Postoji lista odobrenih računa uz mogućnost
dodavanja novih – SMS ili mToken potvrda
7Hotel Aquastar Danube, KladovoICT Security 2015
8. Autentifikacija
• Nešto što znam
• Lozinka, PIN
• Nešto što imam
• Mobilni uređaj, token
• Kartica, USB flash memorija
• Nešto što jesam
• Biometrijski podaci (otisak prsta, ona dužica, glas)
8Hotel Aquastar Danube, KladovoICT Security 2015
9. Nešto što znam
• PIN – kratak, samo cifre
• Pitanja na koja treba dati tačan odgovor
• Lozinka
9Hotel Aquastar Danube, KladovoICT Security 2015
10. Nešto što imam
• Identifikacione kartice
• Platne kartice
• Kartice koje se mogu koristiti na internetu
• PIN ili potpis
• Mobilni telefon za slanje verifikacionih kodova
• Token i USB flash memorija
10Hotel Aquastar Danube, KladovoICT Security 2015
11. Nešto što jesam
• Smatra se da su pojedini biometrijski podaci
jedinstveni
• Autentifikacija pomoću kartice i otiska prsta
• Hakovanje pomoću fotografija
• Jan Krissler, Ursula von der Leyer
• Lepljive trake
• Nisu zamenljivi
11Hotel Aquastar Danube, KladovoICT Security 2015
13. Lozinke
• Često je uslov korišćenje karaktera iz minimum 3
grupe
• Vrste napada
• Krađa otvorenih lozinki
• Pogađanje
• Krađa šifrovanih lozinki
13Hotel Aquastar Danube, KladovoICT Security 2015
Password
Hash
Username
H(P)
14. Napad rečnikom
• Najčešće korišćene lozinke
• 12345678 mypassword sifrasifra
• Poznate reči i najčešće korišćene fraze
• mathematics telecommunication iloveyou letmein
• Kombinacija malih slova (reči) i cifara i/ili simbola
• mathematics*+ book4%computer abcd45ppp
• Sva 4 skupa
• Book4%computer Mathematics1. ABCD45ppp.
14Hotel Aquastar Danube, KladovoICT Security 2015
15. Napad rečnikom
• Slova zamenjena sa ciframa i simbolima
• P@$$w0rd (Password) 10z1nk@ (lozinka)
• Lanac karaktera sa tastature
• qwertyuio asdfvbnm 1q2w3e4r5t
15Hotel Aquastar Danube, KladovoICT Security 2015
16. Napad na šifrovane lozinke
• Napad grubom silom
• Napad rečnikom
• Veoma čest napad
• 12 do15 karaktera
Wi – reč i
H(Wi) – heš reči i
H(P) – heš lozinke
16Hotel Aquastar Danube, KladovoICT Security 2015
Dictionary
Hash
X
Wi
H(Wi)
i=1
i++
H(P)
False
True
P = Wi
19. Predlog bezbednih lozinki
19Hotel Aquastar Danube, KladovoICT Security 2015
Lozinke otporne na napad rečnikom Dužina
Kaspersky
procena
Kako ih
pamtite?
Kraće lozinke sastavljene od nasumično
izabranih karaktera iz sva 4 skupa
≥10
>10k vekova
>30 godina
Teško
Kraće lozinke sastavljene od nasumično
izabranih karaktera najmanje 3 skupa
≥12
>10k vekova
>31 godina
Teško
Dugačke lozinke sa karakterima iz 2 skupa,
npr. danas/je+radni-dan*
≥17
>10k vekova
>2815 vekova
Lako
Dugačke lozinke sa karekterima iz istog skupa,
ali ne cifre, npr. prekosutraidemnapecanje
≥22
>10k vekova
>324 veka
Lako
Dugačke lozinke kao niz karakatera sa
tastature, npr. ,lp-0okmnji98uhbvgy76tfcxdr5
≥26
>10k vekova
>10 m
Lako
Dugačke lozinke sa karekterima iz skupa cifara ≥30 1s–10k vekova Lako/Teško
20. Kako postići bezbednost?
• Dvofaktorska (višefaktorska) autentifikacija
• Duže lozinke su lakše za pamćenje
• Obavezno zaključavanje mobilnih uređaja i desktop računara
• Komunikacija preko IPsec protokola, uz primenu
najnovijih algoritama za kriptovanje
• AES, SHA-3…
• Budućnost: jednokratne lozinke?
20Hotel Aquastar Danube, KladovoICT Security 2015
21. Kako postići bezbednost?
• SMS ili e-mail obaveštenja
• Promena stanja na računu
• Slanje aktivacionog koda, korisničkog imena
• Kompromis – bezbednost i jednostavnost
Nikada bezbednost ne može biti 100%, niti rizik
od pretnji 0%. Ipak, može se nastojati da se
poveća stepen bezbednosti, a smanji rizik.
21Hotel Aquastar Danube, KladovoICT Security 2015
22. Hvala.
ICT Security 2015
Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković
lukaui@yahoo.com
rs.linkedin.com/in/lukamilinkovic