Elektronsko bančništvo na daljavo je ena najprivlačnejših tarč za kiberkriminalce, zato je potrebno zagotoviti cenovno učinkovite in delujoče varnostne rešitve za avtentikacijo uporabnikov ob vstopu v storitev ter verifikacijo vsebine transakcij, ki jih uporabniki izvajajo.

Avtentikacija + uporabnikov

Uporabnik se mora ob vstopu v storitev avtenticirati. Za avtentikacijo uporabnikov »tveganih« storitev, kot je elektronsko bančništvo, priporočamo napredne avtentikacijske metode:

• SSL/TLS vzajemna avtentikacija odjemalca in strežnika z digitalnimi potrdili in s pripadajočimi ključi
• različna gesla za enkratno uporabo

Hranjenje skrivnih podatkov, kot so zasebni in tajni kriptografski ključi, v programskih shrambah na računalnikih se je v praksi zaradi ranljivosti splošnih računalnikov izkazalo za manj primerno pri dejavnostih, kot je e-bančništvo. To velja tako za digitalna potrdila (certifikate) na disku računalnika kot za programske generatorje enkratnih gesel na računalnikih in mobilnih telefonih.

Pametne PKI kartice lahko odenemo v privlačno grafično podobo

Za hrambo skrivnih ključev in izvajanje kriptografskih operacij priporočamo uporabo namenskih strojnih naprav, kot na primer pametne kartice in PKI USB ključki, ter namenske varne strojne generatorje enkratnih gesel.

Strojni generator enkratnih gesel

Ko dosežemo močno avtentikacijo uporabnika, njeno nadgrajevanje ne prinaša več bistvenega povečanja varnosti storitve, napadalec pa še vedno lahko zlorabi ranljivosti na uporabnikovem računalniku tako, da vdre vanj in v avtentično uporabnikovo sejo vrine nepooblaščeno transakcijo ali uporabnikovo transakcijo nepooblaščeno spremeni. Od tu naprej se je smiselno osredotočiti na varovanje transakcije.

Verifikacija transakcij

Kakovostni preskok na višji varnostni nivo pomeni verifikacija transakcije. To je mehanizem, ki preprečuje, da bi transakcija »ušla« v sistem mimo uporabnikove potrditve, pa tudi, da bi napadalec nepooblaščeno spremenil uporabnikovo avtentično transakcijo, na primer zamenjal ciljni račun in znesek plačilnega naloga.

SMS informacija o transakciji

Tudi pri verifikaciji transakcije želimo biti neodvisni od računalnika, na katerem uporabnik izvaja transakcije. To dosežemo z uporabo neodvisnih kanalov za verifikacijo transakcij. Primeri vključujejo:

• EMV CAP podpis transakcije s čitalcem, opremljenim s tipkovnico in malim prikazovalnikom: uporabnik transakcijo vnese v računalnik in vstavi kartico za bančni avtomat v neodvisen, nepovezan čitalec, kamor vtipka PIN in nato ključne parametre transakcije (npr. znesek, ciljni račun pri plačilnem nalogu); kartica iz teh podatkov in notranjega števca transakcij generira enkratno potrditveno kodo, ki jo čitalec prikaže, uporabnik pa potrditveno kodo vtipka v aplikacijo
• optični čitalec predstavlja variacijo zgornjega postopka, le da si tu lahko prihranimo nadležno ponovno tipkanje podrobnosti transakcije v čitalec , saj se podatki samodejno prenesejo z računalnika na čitalec prek zaslona in optičnega vmesnika na čitalcu
• varen elektronski podpis transakcije s kvalificiranim digitalnim potrdilom na pametni kartici: PIN za dostop do kartice tipkamo na tipkovnici na čitalcu, prikazovalnik na čitalcu pa nam tudi prikaže ključne parametre podpisane transakcije
• SMS verifikacija transakcije: uporabnik vnese transakcijo v računalnik, nato se podrobnosti transakcije in potrditvena koda pošljejo uporabniku prek SMS na telefonsko številko, ki jo je uporabnik registriral v storitev na preverjeno varen način; ko uporabnik preveri podrobnosti transakcije, vnese potrditveno kodo v računalnik in s tem potrdi transakcijo
• klic iz klicnega centra ali avtomatske klicne naprave: način je podoben kot pri SMS verifikaciji, le da je uporabljena glasovna komunikacija, ki ni omejena na mobilne telefone kot SMS.

Kartice in čitalci EMV CAP se v bančnem svetu vse bolj uveljavljajo. Ponujajo tri osnovne funkcije: generiranje enkratnega gesla za avtentikacijo uporabnika, generiranje odzivne kode po vnosu izziva (angl. challenge response) za avtentikacijo uporabnika v kontekstu veljavne izzivne kode, generiranje podpisne kode po vnosu podatkov za podpis (npr. znesek in ciljni račun transakcije).

EMV CAP čitalnik in kartica

Predstavljene rešitve lahko uporabimo tudi za avtentikacijo uporabnikov v informacijsko-komunikacijskih sistemih organizacije in potrjevanje transakcij v internih ter zunanjih aplikacijah.

Želite izvedeti več? Pišite nam na bancna_podpora@hermes-softlab.com.