úterý 11. února 2014

Kam kráčí elektronické bankovnictví?

V posledních dvou letech lze pozorovat nárůst útoků na internetová bankovnictví po celém světě. Vektory útoků i jejich dokonalost se pomalu ale jistě zdokonalují a čím dál tím více personalizují. Banky se snaží nedávat tento problém moc najevo, protože by to mohlo v očích veřejnosti poškodit to nejcennější, co mají, jejich důvěryhodnost. Celý trh tak řeší zásadní problém – jak zabránit útočníkům obelhat klienty a na jejich úkor se obohatit. SMS kanál je s příchodem úžasně chytrých smartphonů naprosto kompromitován a nelze ho považovat za spolehlivý. Některé banky dokonce blokují přístup do svých internetových bankovnictví z mobilních zařízení. Co se totiž asi stane, pokud se nakažené zařízení napojí na stránky bankovnictví, provede platbu, přijme tajně zaslanou SMS a kód z ní potvrdí?

Co lze ale v této oblasti nabídnout? Kalkulačky na transakce zůstaly v minulém století, dnes již toto řešení žádní zákazníci nepřijmou. Komu by se chtělo zdlouhavě ťukat transakce… Jaké jsou ale další možnosti, kde hledat ten svatý grál v autorizaci plateb? Dlouho jsem si říkal, že možnost není, útočníci mají navrch a není s tím možné nic moc dělat. Tokeny jsou pro management moc drahé a jinou metodu lze napadnout. Tento víkend se ale situace změnila, na konferenci NMI jsem dostal zajímavý nápad.

Máme-li tu BYOD – Bring Your Own Device, proč bychom tu nemohli mít BYOT – Bring Your Own Token? Je totiž také v zájmu uživatelů, aby byli partnerem své bance při zabezpečení, ale ta jim za tuto službu musí samozřejmě oplátkou něco nabídnout. Začněme třeba tím nejtěžším – to sice tím, že si banky ujasní mezi sebou standardy tak, aby nebylo potřeba kupovat při přechodu od jedné banky k druhé nový token. Uživatel by jen přehrál certifikáty a fungoval by dál. Dalším vstřícným krokem by mohla být sleva na poplatcích, třeba ve výši ceny tokenu.

Co by měl takový token umět, aby si ho chtěl uživatel koupit? Určitě by měl mít Bluetooth. Co nemá Bluetooth, není cool a jakoby nebylo. Dalším bonusem může být NFC, které se plíživě rozšiřuje v zařízeních kolem nás. Posledním must-have technologickým požadavkem by měl být USB port – když dojde baterie, nebo prostě jen nemáte žádnou bluetooth-NFC čtečku, použijete USB, které má dnes i můj vysavač. Token do něj vložíte a jednoduše si konto vyluxujete.

Ale vážně, posledním a nejdůležitějším prvkem celého tokenu je magické tlačítko. Proč magické? Tímto tlačítkem a jen ním se token přiměje k tomu, aby poslal informaci o autorizaci. Hlavním důvodem jsou různé remote útoky, které čekají na zapomenutou kartu s certifikáty ve čtečce. Tlačítko je elegantní a levná varianta, jak tento útok znemožnit. Vítaným doplňkem tokenu by byla čtečka mikro SIM karet s certifikáty, nebo čtečka otisků prstů, čímž by se vlastně z dvoufaktorové autentizace stala rovnou třífaktorová.

Kolik by ale tento token musel stát, aby si ho lidé pořídili? Z mého pohledu je 1000 kč hranice pro rozhodnutí. Pokud by mi token nabídl bezpečný přístup do banky, možnost přihlášení do počítače, držel by mé certifikáty k serverům a nabídl třeba i nějaké zajímavé služby navíc, uvažoval bych i o 1500 kč. Obávám se ale, že to je cena, na kterou se uvedený token nikdy nedostane, ač jsem si našel několik zajímavých – odkazy jsou pod článkem. Navíc jsem trochu fanda do nových technologií, většina populace bude mít finanční práh výrazně níže.

Firma Inmite se na konci loňského roku pochlubila svým tokenem Airbond, který by měl být za zajímavou cenu, bohužel však má ze všeho výše uvedeného jen Bluetooth. To je sice cool, ale použití to velice omezuje a to je škoda. Třeba se k nim má myšlenka dostane a ještě svůj pohled na věc přehodnotí a dočkáme se skutečně použitelného zařízení. Vycházím z veřejně dostupných informací o tom, jak přívěsek bude fungovat, tedy že bude zajišťovat bezpečné přihlášení do mobilního bankovnictví.

Když už jsem v tom kopání do firem, jsem velice zvědav na to, co vypadne z renomovaných konzultačních firem z velké čtyřky, které se v současné době podílí na projektech hledání grálu, promiňte, autorizačního mechanismu pro přímé kanály, ve většině bank.

Zajímavé tokeny, bohužel většina bez ceny:

https://store.yubico.com/store/catalog/product_info.php?products_id=72&osCsid=9t9o28fn2qbg4ktpgu4l6enao4

http://www.nfcworld.com/2013/08/14/325483/certgate-and-reiner-sct-team-up-for-nfc-bluetooth-and-se-token/

http://www.amphion.biz/Privaris_PlusID_75-details.aspx

Žádné komentáře: