Autentizace v internetovém bankovnictví

Tento příspěvek se zabývá doporučením ohledně autentizace v internetovém bankovnictví, které před několika lety vydal FFIEC (Federal Financial Institutions Examination Council).

V dokumentu Guidance on Authentication in an Internet Banking Environment se uvádí, že finanční instituce by měly efektivně ověřovat identitu svých klientů a že finanční podvody a krádeže identit jsou často výsledkem používání jednofaktorové autentizace (ID a hesla), kterou FFIEC považuje za nevhodnou.

„The agencies consider single-factor authentication, as the only control mechanism, to be inadequate for high-risk transactions involving access to customer information or the movement of funds to other parties.“

V dokumentu se dále dozvíte, že finanční instituce by měly provést hodnocení rizik, které by jim mělo přinést odpověď na otázku, jakou autentizační metodu by měly zvolit a jaké by měly implementovat opatření.

Vzhledem k množícím se dotazům sepsal FFIEC ještě odpovědi na nejčastěji kladené otázky a 15. srpna 2006 je uvolnil v podobě FAQ. Oba dokumenty mají jen několik málo stran a jsou psány jednoduchou a srozumitelnou angličtinou, takže doporučuji si je přečíst. Například se zde uvádí, co je to vícefaktorová autentizace:

By definition true multifactor authentication requires the use of solutions from two or more of the three categories of factors. Using multiple solutions from the same category at different points in the process may be part of a layered security or other compensating control approach, but it would not constitute multifactor authentication.

Je zajímavé, že když v roce 2007 společnosti Sestus Data Company a BearingPoint provedly studii, aby zjistily, jak jsou na tom americké banky, tak dospěly k překvapujícímu zjištění a to, že 96% bank princip dvoufaktorové autentizace vůbec nepochopilo nebo ho zcela ignorovalo. Studie přitom vyhodnocovala pouze 100 bank, které na svých webech uváděly, že jsou ve shodě s FFIEC doporučením.

Podle této studie 64% bank umožňuje svým klientům se autentizovat pouze pomocí jména a hesla. A pokud doposud vyžadovaly jen to, tak od zveřejnění FFIEC Guidance on Authentication in an Internet Banking Environment požadují po svých klientech dodatečné informace. Jinými slovy, položí jim kontrolní otázku. Očividně věří, že když se zeptají na více údajů, tak budou ve shodě s požadavkem na vícefaktorovou autentizaci.

26% bank se snaží tento požadavek uspokojit tím, že se kromě ID a hesla spoléhají na cookie a tvrdí, že cookie je právě ten druhý faktor, kdy uživatel „něco má“.

6% bank nabízí svým klientům vícefaktorovou autentizaci jako volitelnou metodu, kterou ale nemusí používat.

No a konečně pouhá 4% bank vyžadují vícefaktorovou autentizaci.

Docela by mě zajímalo, jak v těchto bankách probíhalo hodnocení rizik a kdo o nasazení dané autentizační metody a na základě čeho rozhodoval.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,

  1. zeaza

    Tak ta informace o využití cookie jako druhého faktoru mě opravdu pobavila. :) Jinak díky za odkaz na zajímavý dokument.

  2. admin

    Tak jsme se po několika dlouhých letech dočkali dodatku k příručce „Guidance on Authentication in an Internet Banking Environment“. Nic převratného v něm není, nicméně je dobré o něm vědět. Pokusil jsem se ho stručně okomentovat, viz příspěvek Autentizace v internetovém bankovnictví – dodatek.


K článku “Autentizace v internetovém bankovnictví” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: