Autorizace transakce v internetovém bankovnictví jednorázovým heslem
V tomto příspěvku se zamyslíme nad tím, jak bezpečně potvrdit transakci v internetovém bankovnictví.
V minulém příspěvku jsme se zabývali otázkou, zda je jednorázové heslo (One Time Password, zkr. OTP) používané v rámci autentizace bezpečné. OTP však nemusí být vždy použito jen pro autentizaci. Např. v internetovém bankovnictví se OTP dost často používá pro autorizaci transakce, kdy uživatel musí každou transakci potvrdit jednorázovým heslem, nazývaným TAN (Transaction Authentication Number) případně mTAN (mobile Transaction Authentication Number) pokud je toto OTP zasíláno na mobilní zařízení klienta ve formě SMS.
Problém je, že pokud počítač nebo mobilní telefon uživatele není prost malwaru, tak i tento TAN resp. mTAN může být útočníkem snadno odchycen a zneužit, viz např. útoky na uživatele internetového bankovnictví za použití specializovaného bankovního trojana nazývaného Zitmo (Zeus in the mobile), který je schopen přeposlat útočníkovi mTAN zasílané na mobilní zařízení uživatele ve formě SMS. Tento případ jasně ukázal, že ani doručení OTP jiným kanálem (Out-Of-Band, zkr. OOB), jak je doporučováno v dodatku k příručce Authentication in an Internet Banking Environment vydané FFIEC, nemusí vždy stačit.
Pokud se bude uživatel hlásit z počítače, který je prost malwaru a ISP (Internet Service Provider) i daný server bude využívat DNSSEC, nemusí se uživatel internetového bankovnictví MITM nebo MITB útoku obávat. Jenže uživatel si v podstatě nemůže být nikdy jist, že jeho počítač nebo smartphone je prost malwaru. Dokonce i v případě, že je v SMS uvedeno číslo cílového účtu a částka, tak to na celé záležitosti nic nemění, protože OTP lze získat i jiným způsobem. (Mimochodem, některé banky v SMS tyto informace stále neuvádí, takže klient v podstatě neví, co vlastně potvrzuje.)
Řešením by mohlo být generovat OTP metodou challenge-response. Uživatel by do zařízení sloužícího ke generování OTP přepsal kritické hodnoty z formuláře a z těch a ze sdíleného tajemství by bylo vygenerováno OTP, které by uživatel následně přepsal do webového formuláře. Pokud namítáte, že uživatele by přepisování oněch kritických hodnot obtěžovalo, a že by je nemusel přepsat správně, a vůbec že se jedná o velice nepřívětivé řešení, tak máte pravdu.
Co kdyby ale uživatel nemusel žádné hodnoty z formuláře do zařízení přepisovat. Co kdyby byl generátor OTP vybaven jednoduchým snímačem QR kódu, který by byl umístěn na dané stránce a na displeji by následně zobrazoval ony kritické hodnoty a po stisknutí tlačítka by vygeneroval odpovídající OTP, které jediné by uživatel musel přepsat. Co, že by to bylo moc drahé? Ale jděte, záleží jen na tom, u koho si to necháte vyrobit.
Říkáte, že uživatel sebou nechce žádné další zařízení nosit a ještě dávat pozor, aby ho neztratil. Dobře, ale co kdyby se jednalo o aplikaci, kterou by si jednoduše nahrál do svého smartphonu, ten sebou nosí přeci stejně ne? Myslím, že vaši klienti by mohli být spokojeni a vy zase ušetříte, neboť nebudete muset distribuovat žádné HW tokeny, ani posílat drahé SMS. Nebylo by tohle dobré řešení z pohledu bezpečnosti, použitelnosti i nákladů?
ČERMÁK, Miroslav, 2011. Autorizace transakce v internetovém bankovnictví jednorázovým heslem. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/autorizace-transakce-v-internetovem-bankovnictvi-jednorazovym-heslem/. [citováno 08.12.2024].
Štítky: autentizace, internetové bankovnictví, OTP
K článku “Autorizace transakce v internetovém bankovnictví jednorázovým heslem” se zde nachází 3 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
A co když útočník unese session pomocí nějaké slabiny ve webové aplikaci a na mobilu oběti bude mít malware posílající vygenerované OTP? Pak je to jen o rychlosti? V tu chvíli přináší největší bezpečnost speciální token.
Tuhle reakci jsem očekával a říkal jsem si, kdo se ozve jako první. Ano, je to tak, pokud bude mít útočník pod kontrolou oba kanály, tak jediným bezpečným řešením je opravdu speciální HW token, který se nepřipojuje k počítači. To dodávám proto, aby si ti, co používají čipovou kartu, kterou strkají do čtečky připojené k počítači, nemysleli, že je jejich řešení bůhvíjak bezpečné, není.
Položme si však otázku, jak vysoké je riziko vámi naznačeného útoku. Jednak by aplikace musela obsahovat danou zranitelnost nebo by musel útočník malwarem instalovaným na počítači zjistit přihlašovací údaje klienta do internetového bankovnictví, a dále by musel útočník nakazit smartphone klienta malwarem, který by mu byl schopen přeposlat OTP, které je generováno v aplikaci běžící v sandboxu (nepočítám s tím, že by se jednalo o řešení pro všechny smartphony) a následně zobrazeno na displeji (Zitmo nic takového dělat nemusel, tomu opravdu stačilo jen přeposlat SMS). V neposlední řadě by útočník musel zjistit, pro jakou transakci bylo dané OTP vygenerováno, neboť se dá přepokládat, že současně připojených klientů bude více, ale to by nebyl až takový problém.
Jenže jen přeposlat OTP v tomto případě nestačí, protože OTP je generováno ze vstupu, kterým je číslo účtu a částka, takže útočník by musel aplikaci generující OTP podstrčit jiné číslo učtu nebo částku (QR kód by musel, pokud by byla použita tato varianta, obsahovat jak původní tak i podvodné číslo účtu a částku) a malware by musel na displeji zároveň zobrazit to správné číslo účtu a částku zadané na webu klientem, protože klient by jinak okamžitě pojal podezření, když by se mu na displeji smartphonu zobrazilo jiné číslo účtu nebo částka než očekával.
Ano, útok tohoto typu již je velmi sofistikovaný a chvíli potrvá, než se někomu vyplatí. Zatím útočníci budou používat jednodušší a přímější cesty. Navíc jsem někde četl, že útoky na privátní bankovnictví přestávají být „cool“ a že trendem jsou APT útoky na know-how a obchodní tajemství. Na běžné uživatele bude ještě nějakou dobu stačit phishing a rogue software.