Autentizace v internetovém bankovnictví – dodatek

FFIEC (Federal Financial Institutions Examination Council) vydal dodatek ke své příručce Authentication in an Internet Banking Environment.

dodatku je uvedeno několik opatření, jako je hodnocení rizik (risk assessments), budování vícevrstvé bezpečnosti (layered security), nasazení systému na detekci podvodů (Fraud Detection System), identifikace zařízení klienta (client device identification), autorizace transakcí (authorization), používání kontrolních otázek (challenge questions) a poučení klientů o možných rizicích (awareness).

Risk Assessments 

Finanční instituce by měly pravidelně, tj. nejméně jednou ročně, a dále při každé významné změně, provádět hodnocení rizik, vyhodnocovat nové hrozby a zavádět odpovídající opatření vedoucí ke snížení těchto rizik.

Layred security

Finanční instituce by měly budovat vícevrstvou bezpečnost, což by v konečném důsledku mělo vést k zamezení úniku citlivých informací o klientovi, snížení rizika krádeže identity, získání přístupu k účtu a k následné finanční škodě.

Fraud Detection System

Finanční instituce by měly nasadit systém na detekci podvodů (Fraud Detection System, zkr. FDS), který bude vyhodnocovat transakce a operace, které klient v elektronickém bankovnictví provádí a bude pak schopen z historických dat poznat, zda je daná transakce nebo operace prováděna samotným klientem či útočníkem a v případě podezření ji nerealizovat. Aplikován může být též whitelist (seznam účtů, na které platba může odejít) nebo blacklist (seznam účtů, na které platba nesmí odejít).

Complex Device Identification

Pokud je vyhodnocováno, zda se klient hlásí nebo provádí transakci ze svého zařízení, není možné se v žádném případě spoléhat jen na prostou identifikaci zařízení (Simple Device Identification, zkr. SDI) v minulosti založené často jen na pouhém vlastnictví cookie (může být zkopírována) nebo použité IP adrese (může být podvrhnuta), nýbrž je nutné nasadit komplexní identifikaci zařízení (Complex Device Identification, zkr. CDI), kde se vyhodnocuje podstatě více charakteristik.

Challenge questions

Pokud se používají kontrolní otázky (challenge questions), měla by se používat sada důmyslných kontrolních otázek, na něž nelze odpovědi dohledat na internetu (v originále „out of wallet“) a v jednom sezení by neměly být použity všechny, ale jen některé z nich a měla by se mezi nimi nacházet i jedna zavádějící (v originále „red herring“), která útočníka zmate, ale klient bude vědět, že se jedná o otázku, která je nesmyslná.

Authorization

Autorizace transakce by měla proběhnout nezávislým kanálem (out-of-band), protože samotné zařízení, ze kterého je transakce iniciována, může být kompromitováno. To znamená, že jestliže je realizována z počítače přes internet, k potvrzení by mělo dojít třeba přes telefon.

Awareness

Finanční instituce by se měly věnovat osvětě (awareness) a vysvětlit klientovi, proč zavedly, či nezavedly jednotlivá opatření, před jakými útoky se ho snaží chránit a dále v jakém případě ho budou kontaktovat a jakou formou. Měly by ho upozornit, jakému riziku je vystaven a jak se může bránit a kde se může dozvědět více informací a kam může podezření na podvodné jednání hlásit.

Appendix

V poslední kapitole dodatku je řečeno, že klient by si měl dát pozor na keyloggery, který si může stáhnout do svého počítače prostou návštěvou nějaké infikované webové stránky, kliknutím na reklamní banner v mailu nebo na webu. Dále že keylogger může mít i podobu HW, který bude připojen k jeho počítači. Jako další hrozba je zmíněn MIM (Man In the Middle) a MIB (Man In the Browser), před kterými klienta neochrání ani silná autentizace, za kterou se obecně považuje např. jednorázové heslo (One Time Password, zkr. OTP), byť by k jeho zneužití vzhledem k doporučené době životnosti (30-60 sekund) muselo dojít v reálném čase. Z tohoto důvodu by si měl klient nainstalovat nějaký antimalware prostředek, který by ho měl ochránit před zavlečením keloggeru a MIM a MIB. Rada je to jistě dobrá, ale před MIM ho zcela jistě neochrání.

Závěr: Zatímco příručka Authentication in an Internet Banking Environment, byla zaměřena především na to, jak by se měl klient bezpečně autentizovat do internetového bankovnictví, tak dodatek zmiňuje i některá další opatření, která by finanční instituce měly zavést.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Autentizace v internetovém bankovnictví – dodatek” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: