Luka Milinkovic, ICT Security 2015, Kladovo, Komercijalna banka

1. Problemi autentifikacije i
bezbednosni aspekti
eBanking i mBanking sistema
ICT Security 2015
Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković
lukaui@yahoo.com
rs.linkedin.com/in/lukamilinkovic

2. Elektronsko i mobilno bankarstvo
• Od 2010. do 2014. vrednost transakcija preko
mobilnih uređaja se povećala 7 puta
• eBanking
• mBanking
• mPay
2Hotel Aquastar Danube, KladovoICT Security 2015

3. eBanking i mBanking
• Bolja evidencija i analiza troškova
• Nema provizije
• Nema čekanja u redu
• Plaćanje iz inostranstva
• Plaćanje u bilo kom trenutku (i sa bilo koje
lokacije)
3Hotel Aquastar Danube, KladovoICT Security 2015

4. eBanking
• Podnošenje zahteva u ekspozituri
• Korisničko ime se šalje na e-mail
• Lozinka se preuzima u ekspozituri, a poželjno ju
je promeniti
• Drofaktorska autentifikacija pomoću kartice ili USB flash memorije
sa sertifikatom
• Postoji lista odobrenih računa uz mogućnost
dodavanja novih – SMS ili mToken potvrda
4Hotel Aquastar Danube, KladovoICT Security 2015

5. mBanking
• Podnošenje zahteva u ekspozituri
• U SMS poruci stiže link za aplikaciju ili se može
preuzeti iz ovlašćene internet prodavnice (Apple,
Google)
• U novoj SMS poruci stiže aktivacioni kod
• Nakon instalacije i unošenja aktivacionog koda
sami birate PIN ili lozinku
5Hotel Aquastar Danube, KladovoICT Security 2015

6. mBanking
• Po instalaciji formira se privatni ključ za
kriptovanje komunikacije (IPsec protokol) između
mobilnog telefona i banke
• Privatni ključ se štiti PIN-om ili lozinkom
• Sve informacije o radu u aplikaciji se brišu nakon
izlaska iz nje
• Automatski izlazak nakon definisanog vremena
neaktivnosti
6Hotel Aquastar Danube, KladovoICT Security 2015

7. mBanking
• Nakon 3 pogrešna unosa lozinke aplikacija se
zaključava
• Potrebno je ceo proces ponoviti, kako bi se ovaj
servis ponovo uspostavio
• Postoji lista odobrenih računa uz mogućnost
dodavanja novih – SMS ili mToken potvrda
7Hotel Aquastar Danube, KladovoICT Security 2015

8. Autentifikacija
• Nešto što znam
• Lozinka, PIN
• Nešto što imam
• Mobilni uređaj, token
• Kartica, USB flash memorija
• Nešto što jesam
• Biometrijski podaci (otisak prsta, ona dužica, glas)
8Hotel Aquastar Danube, KladovoICT Security 2015

9. Nešto što znam
• PIN – kratak, samo cifre
• Pitanja na koja treba dati tačan odgovor
• Lozinka
9Hotel Aquastar Danube, KladovoICT Security 2015

10. Nešto što imam
• Identifikacione kartice
• Platne kartice
• Kartice koje se mogu koristiti na internetu
• PIN ili potpis
• Mobilni telefon za slanje verifikacionih kodova
• Token i USB flash memorija
10Hotel Aquastar Danube, KladovoICT Security 2015

11. Nešto što jesam
• Smatra se da su pojedini biometrijski podaci
jedinstveni
• Autentifikacija pomoću kartice i otiska prsta
• Hakovanje pomoću fotografija
• Jan Krissler, Ursula von der Leyer
• Lepljive trake
• Nisu zamenljivi
11Hotel Aquastar Danube, KladovoICT Security 2015

12. 12Hotel Aquastar Danube, KladovoICT Security 2015
Lozinke

13. Lozinke
• Često je uslov korišćenje karaktera iz minimum 3
grupe
• Vrste napada
• Krađa otvorenih lozinki
• Pogađanje
• Krađa šifrovanih lozinki
13Hotel Aquastar Danube, KladovoICT Security 2015
Password
Hash
Username
H(P)

14. Napad rečnikom
• Najčešće korišćene lozinke
• 12345678 mypassword sifrasifra
• Poznate reči i najčešće korišćene fraze
• mathematics telecommunication iloveyou letmein
• Kombinacija malih slova (reči) i cifara i/ili simbola
• mathematics*+ book4%computer abcd45ppp
• Sva 4 skupa
• Book4%computer Mathematics1. ABCD45ppp.
14Hotel Aquastar Danube, KladovoICT Security 2015

15. Napad rečnikom
• Slova zamenjena sa ciframa i simbolima
• P@$$w0rd (Password) 10z1nk@ (lozinka)
• Lanac karaktera sa tastature
• qwertyuio asdfvbnm 1q2w3e4r5t
15Hotel Aquastar Danube, KladovoICT Security 2015

16. Napad na šifrovane lozinke
• Napad grubom silom
• Napad rečnikom
• Veoma čest napad
• 12 do15 karaktera
Wi – reč i
H(Wi) – heš reči i
H(P) – heš lozinke
16Hotel Aquastar Danube, KladovoICT Security 2015
Dictionary
Hash
X
Wi
H(Wi)
i=1
i++
H(P)
False
True
P = Wi

17. Analiza kombinacije skupova
• 15 kombinacija, a 11 različitih
17Hotel Aquastar Danube, KladovoICT Security 2015
1
Nl
Nu
Nd
Ns
2
Nl+Nu
Nl+Nd
Nl+Ns
Nu+Nd
Nu+Ns
Nd+Ns
3
Nl+Nu+Nd
Nl+Nu+Ns
Nl+Nd+Ns
Nu+Nd+Ns
4
Nl+Nu+Nd+Ns

18. Analiza kombinacije skupova
18Hotel Aquastar Danube, KladovoICT Security 2015

19. Predlog bezbednih lozinki
19Hotel Aquastar Danube, KladovoICT Security 2015
Lozinke otporne na napad rečnikom Dužina
Kaspersky
procena
Kako ih
pamtite?
Kraće lozinke sastavljene od nasumično
izabranih karaktera iz sva 4 skupa
≥10
>10k vekova
>30 godina
Teško
Kraće lozinke sastavljene od nasumično
izabranih karaktera najmanje 3 skupa
≥12
>10k vekova
>31 godina
Teško
Dugačke lozinke sa karakterima iz 2 skupa,
npr. danas/je+radni-dan*
≥17
>10k vekova
>2815 vekova
Lako
Dugačke lozinke sa karekterima iz istog skupa,
ali ne cifre, npr. prekosutraidemnapecanje
≥22
>10k vekova
>324 veka
Lako
Dugačke lozinke kao niz karakatera sa
tastature, npr. ,lp-0okmnji98uhbvgy76tfcxdr5
≥26
>10k vekova
>10 m
Lako
Dugačke lozinke sa karekterima iz skupa cifara ≥30 1s–10k vekova Lako/Teško

20. Kako postići bezbednost?
• Dvofaktorska (višefaktorska) autentifikacija
• Duže lozinke su lakše za pamćenje
• Obavezno zaključavanje mobilnih uređaja i desktop računara
• Komunikacija preko IPsec protokola, uz primenu
najnovijih algoritama za kriptovanje
• AES, SHA-3…
• Budućnost: jednokratne lozinke?
20Hotel Aquastar Danube, KladovoICT Security 2015

21. Kako postići bezbednost?
• SMS ili e-mail obaveštenja
• Promena stanja na računu
• Slanje aktivacionog koda, korisničkog imena
• Kompromis – bezbednost i jednostavnost
Nikada bezbednost ne može biti 100%, niti rizik
od pretnji 0%. Ipak, može se nastojati da se
poveća stepen bezbednosti, a smanji rizik.
21Hotel Aquastar Danube, KladovoICT Security 2015

22. Hvala.
ICT Security 2015
Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković
lukaui@yahoo.com
rs.linkedin.com/in/lukamilinkovic