Zaujíma ma dianie okolo bezpečnosti prístupu na internetbanking a okolo platobných kariet a tak podobne. Zaujímajú ma názory expertov, kritické pohľady na jednotlivé formy autorizácie, prosto uplatnenie kritického myslenia v jednej úzkej oblasti používania internetu. Hlavne ako užívateľa služieb ma zaujíma, ako sú moje peniaze chránené pred prístupom nepovolaných osôb. A za tie roky som dospel k jednoznačnému záveru: Bezpečnostní experti nechcú poskytnúť najlepšie riešenia svojej doby.
Pritom máme konečnú množinu prostriedkov: token, mobilné SMS, grid karta, sled jednorázových hesiel, PIN a isto doplníte niekoľko ďalších, ktoré banky používajú na overenie pasívnych a aktívnych operácii. Tak by sa konečne patrilo, aby páni experti, konečne jasne napísali, čo je bezpečné a čo nie je bezpečné z toho čo je v tejto chvíli dostupné na trhu. A v prípade použitia bezpečných nástroje, ako z nich dokáže banka urobiť nástroje nebezpečné. Inak je to bohapusté tliachanie do vetra a vyvaľovanie sa na hnojisku cudzích nevedomostí spojené s opíjaním sa pocitom nadradenosti, ktorý je pančovaný sebastrednou úvahou: Veď my vieme.
Aby som bol konkrétnejší a dal pánom expertom malé odporúčania. Naozaj nejde o to urobiť test existujúcich riešení. Nie! Zdrbať cudzí nápad vychádzajúci z kompromisu možného do ktorých naozaj nevidíte, je otázka hodinky dobrého rozmaru nad klávesnicou. To je úloha pre betatesterov, to je nástroj subjektívneho pohľadu náhodného okoloidúceho na ulici, či na blogu.
Moja hodená rukavica
Navrhnite zabezpečenie pasívnych operácii a zabezpečenie aktívnych operácii pomocou dnes dostupných technických prostriedkov tak, aby ste vy, páni experti mali pocit, že sú vaše peniaze v bezpečí pred zneužitím hrubou silou, mužom uprostred a krádežou prístupových nástrojov. Bonusom, kladnými bodmi bude ochrana pred sociálnym inžinierstvom. A nejaký ten moment spätnej väzby by bola tortička na čerešničke vášho riešenia. Oblasť: internetbanking, platba kartou cez internet, platba kartou u obchodníka,
Musí ísť o úplné, uzavreté, nekompromisné a relizovateľné riešenie, ktoré môže zajtra dostať do rúk zákazník. Riešenie, ktoré na strane banky jasne definuje jej nutné prostriedky.
Napríklad: Najlepší spôsobom v septembri 2008 na vstup do inetrnetbankingu (pasívne operácie) je zaslanie jednorázového hesla na mobil + zadanie PIN kódu. Heslo je zasielané formou šifrovanej SMS na číslo, ktoré je možné zmeniť len pri návšteve pobočky, PIN je jedinečný a nezávislý na iných PIN kódoch (napríklad ku karte) tak ďalej a tak podobne… (Uvedený príklad si neberie za cieľ byť riešením zadania!)
Vznikol by tak konečne muster, oproti ktorému by ste, páni experti, mohli porovnávať existujúce riešenia a skutočne tak tie banky reálne kritizovať. Vzniklo by tak vzorové riešenie, ktoré by ste medzi sebou, páni experti, mohli rozporovať a vylepšovať.
Tvorba, páni experti, to je to čo sa od experta v danej oblasti očakáva. Testy, recenzie, analýzy, to sú len šeplety v portfóliu a patria emeritným expertom.
ta problematika je sirsia a suvisi AJ s toleranciou klienta podla prikladu:
pre mna je hranica „bezpecnosti“ dajme tomu 10 tisic. Cize pokial sa podari neopravnene manipulovat s ciastkou pod touto hodnotou, tak je to prijatelne riziko.
Iny clovek ma toleranciu inu.
Z toho vyplyva aj to, ake prostriedky na zabezpecenie pouzijem.
Cize zhrnute: je to individualna vec a nemozne z pohladu banky nanutit „jednotne“ zabezpecenie pretoze plati: cim bezpecnejsie tym vacsia narocnost na komfort obsluhy.
Napr. tebou propagovane SMSky narazaju na jeden problem – co ak SMSky meskaju? Ako pouzijem takyto sposob ak som v zahranici a skutocne je problem SMS dorucit? Proste KAZDE riesenie ma svoj problem. Nehovoriac napr. o tom, ze tu musi banka spolupracovat s GSM operatormi, cize je zavisla na dalsom subjekte.
Token je napr. nezavisle riesenie pricom nevyhoda je nutnost ho mat so sebou. Moze nutit cloveka pretukavat udaje resp. sa pouzije ako generator retazca znakov, ktory sa iba pretuka do formu na webe.
Osobne za dnes najhorsi system povazujem pevny system ako je napr. grid. Jeho nevyhoda je jeho lahka reprodukcia a to, ze „vidim“ aj udaje, ktore pre danu operaciu nepotrebujem (vyberam si z nich ten, ktory mi formular „povie“, ze mam najst).
takze je to skor na osobnej tolerancii klienta, ktore riesenie je schopny akceptovat s jeho danymi rizikami.
Dalsi uhol pohladu je implementacia rieseni – tam samozrejme musia byt dodrzane nejake povinnosti.
A este dalsi pohlad: banky pouzivaju nie „najlepsie“ riesenia v zmysle „najnovsie vysledky vyskumov“ ale skor take, ktore povazuju za „trendove“. Neviem, ci to spravne popisujem ale napr. pred viac rokmi sa ibankingy stavali ako JAVA aplikacie, pretoze vtedy bola JAVA trendom. GRIDky sa tiez pred casom stali doslova otravnou modou a pokial ju niektora banka nemala, musela ju rychlo zacat pouzivat, pretoze „laicka spolocnost“ ich absenciu v ponuke povazovala za minus a to aj v pripade, ze banka mu ponukala trebars token (co je v sucasnosti nadalej LEPSIE riesenie ako grid). Takze progresivnejsie banky (ktore grid nezahrnuli do ponuky) sa museli nakoniec vzdat v prospech nazoru „verejnosti“, ze GRID musi mat.
Dnes napr. „verejnost“ tlaci na „SMS autorizaciu“ ako nutnu vybavu ibankingu, pricom castokrat vidia len malu cast celej problematiky a obcas sa mi zda, ze sa jej vyznam precenuje v prospech „trendovosti“.
Ak by som mal nieco skusit predvidat, tak podla mna to, ze by sa „tokeny“ integrovali do mobilov.
napr. malokto vie, ze niektore tokeny vedia preniest udaje priamo z PC, dokonca BEZ akehokolvek HW – namierenim na obrazovku.
nie je technicky problem, ak by autorizacne zariadenie bolo „internetovym“ klientom, ktory vypomaha pri praci s ib na pocitaci ako „nahrada“ tokenu.
Treba si iba uvedomit, co vlastne tokeny, gridy a SMSky riesia z principu.
Onko: pre teba by bolo najlepsie, keby si sa pozrel do SIM toolkitu svojho mobilu a robil prevody tadial.
To splna tvoje poziadavky 🙂 v zmysle, ze najviac podmienok a uz to existuje.
Samozrejme najlepsi token, uz som pisal, by bol TEN zabudovany v mobile.
Pani, uz to niekde bolo napisane, a stotoznujem sa s tym, prvoradou ulohou expertov je posunut zodpovednost za prevody cez internet banking na klienta.
Paranoidne ?
Kto bude viac chraneny operaciou „poistenou“ vysledkom z tokenu, banka alebo klient v pripade chyby v bankovej aplikacii ?