Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.

Autentizační prvky a metody pod drobnohledem

Autentizační prvky a metody pod drobnohledem
Znáte všechny metody autentizace, které používáme například při komunikaci s bankou pomocí elektronických kanálů? Probereme jeden po druhém a vysvětlíme si, jaké jsou jejich slabiny a přednosti a zároveň které jsou nejvíce a naopak nejméně bezpečné.

V dnešní době je stále více citlivých údajů v počítačích než na papíře, přičemž tento trend pokračuje a nabývá na rychlosti. Stále palčivější se pak stává otázka zabezpečení těchto dat. S ohledem na případy podobné tomu, kdy byl opilému zaměstnanci BIS v restauraci ukraden notebook s citlivými daty, je nutné si uvědomit, co nebo spíš kdo je nejslabším bezpečnostním článkem současných systémů.

Co je autentizace?

Autentizace je proces ověřující, že uživatel je opravdu tím, za koho se vydává. K autentizaci se používají níže zmíněné a popsané metody a jejich kombinace. Má-li být autentizace skutečně kvalitní, je nutné použít autentizaci vícefaktorovou, může být jedno-, dvou- či třífaktorová. Z názvů je zřejmé kolik faktorů musí být u jednotlivých typů použito.
Příkladem jednofaktorové je autentizace jménem a heslem. Dvoufaktorová je například autentizace předmětem, kde je vyžadována znalost PINu. K úspěšnému přihlášení je třeba něco, co uživatel má (token, viz dále) a něco, co zná (PIN). Nejvyšší stupeň bezpečnosti pak zajišťuje autentizace třífaktorová, která k dvoufaktorové přidává ještě nějakou uživatelovu vlastnost, např. charakteristiky oční sítnice.

Jaké autentizační metody vlastně existují? Pro uživatelskou přívětivost jsme je seřadili podle úrovně poskytované bezpečnosti, a to od těch nejméně bezpečných k těm, které zajišťují nejvyšší stupeň ochrany.

Jméno a heslo

Jedná se patrně o nejrozšířenější metodu zabezpečení, která se však už dnes přežila. Bohužel je nutné konstatovat, že pro některé účely, jako je například přihlášení do sítě je to stále metoda nejrozšířenější. Jméno a heslo není obtížné odpozorovat a naučit se to může snad opravdu každý. U šikovnějších uživatelů není odpozorování zcela triviální, ale pro trénovaného útočníka také není nemožné.
Dalším důležitým faktorem je fakt, že šikovný útočník dokáže odpozorovat heslo a při tom to vypadá, že se dívá někam úplně jinam, a nepředstavuje tak žádné nebezpečí. Jedním ze způsobů, jak zjistit uživatelovo heslo, je nainstalovat na jeho počítač program určený k "odposlechu" stisku klávesnice. Tyto programy jsou již hotové a jejich použití je velmi jednoduché. Naopak nevýhodou metody je skutečnost, že jsou třeba administrátorská práva a fyzický přístup k jeho stanici. Elegantnější a jednodušší variantou je "přinutit" uživatele, aby se přihlásil na počítači útočníka, kde je zmíněný software nainstalován.

Významné riziko přináší i rozvoj techniky, tedy skutečnost, že minikameru lze umístit prakticky na jakékoli místo, aniž by si toho někdo všiml. Podobné případy se objevily například v souvislosti s napadením bankomatů. Bezpečnost této metody trpí i tím, že člověk je od přírody pohodlný. Abychom tedy zamezili notoricky známým žlutým lepícím papírkům na monitoru či spodní straně klávesnice, je nutné přijmout odpovídající bezpečnostní politiku, vynucovat její dodržování a zároveň provádět osvětu. V neposlední řadě již nízkou úroveň bezpečnosti této metody snižují sami administrátoři, byť s dobrými úmysly. Je-li uživatel nucen jednou za tři týdny měnit heslo, které je minimálně dvanáctiznakové a obsahuje písmena, čísla a speciální znaky a zároveň systém nedovoluje použít posledních dvanáct hesel, pak je nad síly běžného uživatele si takové heslo vůbec pamatovat. Logicky pak hesla končí na již zmíněných a notoricky známých místech. Argument, že znalost hesla je užitečná pouze po dobu jeho platnosti, nemůže obstát. Jestliže útočník jednou zná heslo, byť třeba jeden den, pak veškerá data, ke kterým má uživatel s tímto heslem přístup, již není možné považovat za tajná, ale musíme s nimi zacházet jako by byla veřejná. Jestliže se uživatel nedozví, že jeho heslo má k dispozici někdo jiný a okamžitě nepřistoupí k přeinstalování celé stanice, je velmi pravděpodobné, že si útočník vytvořil pro přístup do systému zadní vrátka a ani zmíněná pravidelná změna hesla nic neřeší.

Autentizace po telefonu

S rozvojem tzv. telefonního bankovnictví se dá hovořit i o vzniku další metody autentizace. České banky přitom poskytují hned několik různých variant autentizace. V té nejméně bezpečné variantě, na kterou jsem narazil, má uživatel klientské číslo a heslo. Klientské číslo zadává uživatel celé a z šestimístného hesla zadává tři pozice. U této varianty stačí, když se uživatel přihlašuje do systému například v kanceláři, kde jeho kolegovi stačí "odposlechnout" 4,2 relace. Je jasné, že toto číslo je velmi nízké a tato metoda zabezpečení tak rozhodně není dostatečná. Je však třeba říci, že banky nabízejí bezpečnější alternativy a je pouze na uživateli, zda si vybere bezpečnější, nebo pohodlnější, ale méně bezpečnou, variantu. Pokud si ale vybere pohodlnější a méně bezpečnou variantu, pak není možné z případného zneužití vinit banku, neboť ta nemá prostředek, jak by tomu zamezila, pokud nebudeme brát v úvahu zcela absurdní možnost, že by banka tuto službu nenabízela.

Certifikát na nechráněném médiu

Jedná se o řešení, které je v našich zeměpisných šířkách jednoznačně nejrozšířenější pro autentizaci v prostředí internetového bankovnictví. Toto řešení rozhodně neposkytuje požadovanou úroveň bezpečnosti, už jen z důvodů nechráněného ukládání certifikátu na pevných discích nebo ještě hůře disketách, které jsou následně vkládány do nedůvěryhodných počítačů. Většina uživatelů se navíc neřídí radami bank a svůj počítač nijak nezabezpečují (např. personálním firewallem). Banky přitom mají na svých webech popsán i postup jak počítač zabezpečit včetně odkazů na doporučený software. Z uvedeného je zřejmé, že obviňovat banky z nedostatečného zabezpečení je poněkud scestné.
Chovat se v rozporu se všemi doporučeními, které banky uživatelům dávají v praxi, může znamenat, že umožníte napadení svého účtu. Navíc je nutné připomenout, že většina bank nabízí také variantu čipové karty, která je o třídu bezpečnější. Tuto možnost většina uživatelů neakceptuje, protože se zde projevuje stará známá pravda, že se každé zvýšení bezpečnosti děje na úkor pohodlí. Kritika bank pak ovšem pokud jde o zabezpečení internetového bankovnictví není zcela na místě. Mimochodem úroveň zabezpečení nabízená většinou tuzemských finančních ústavů převyšuje často bezpečnost tohoto produktu v zemích, které jsou nám často dávány za vzor, tedy v těch ležících na západ od našich hranic.

Dokončení textu najdete na tomto místě, věnujeme se v něm např. autentizačním kalkulátorům či tokenům.

Autor působí ve společnosti Asknet.

Myslíte si, že je úroveň zabezpečení vaší komunikace s bankou nebo počítačem dostatečně vysoká? Upřednostňujete bezpečnost nebo pohodlí? Jak často vám správci změní z důvodu bezpečnosti heslo a jak se vám to líbí?

  • RSS
  • Kindle
  • Poslat e-mailem
  • Vytisknout

Líbil se vám článek?

-1
Ano
Ne

Diskuze

Příspěvek s nejvíce kladnými hlasy

29. 7. 2004 10:34

Zdravim.

System CS se (kupodivu :-) ) vyvijel a jestli si to dobre pamatuju, tak je k dispozici historie vsech transakci, jestli to bylo zpocatku jinak uz nevim.

Lze aktivovat zasilani SMS zpravy po zadani/zmene prikazu. Operaci je mozne behem nejake doby telefonicky zrusit, takze jakysi pokus o zabezpeceni je implementovan. SMSky jsou zdarma.

Prihlasovani zadanim 10-ti mistneho cisla, ktery si nemuzu zmenit je peknej opruz, pokud jsem to nepouzival casto (jako ze ne), vetsinou jsem ho po nejake dobe zase zapomnel :-(

Pepa.

Reagovat

 

+28
Líbí
Nelíbí

Zobrazit komentovanou zprávu (Jan Kolda von Žampach ( řečený Pancíř ) 28. 07. 2004 11:33)

Příspěvek s nejvíce zápornými hlasy

2. 8. 2004 11:41

Autor, který píše o autentizačních metodách v bankách, by grid karty (případně podobné tabulky kódů) měl znát, jinak jeho článek působí docela amatérsky. V určitých bankovních službách (například ověřování příkazů zaslaných faxem) to byla a možná ještě je (pokud ji nenahradily tokeny s PIN) nejčastější metoda..

Reagovat

 

-10
Líbí
Nelíbí

Zobrazit komentovanou zprávu ( 29. 07. 2004 15:31)

Další příspěvky v diskuzi (39 komentářů)

9. 8. 2004 | 9:21

Domnívám se, že máte plnou pravdu v popisu chování většiny lidí (bohužel). Samozřejmě, že ani čipovka nic nevyřší když si na ní klient napíše PIN a pak mu ji někdo ukradne ze stolu, kde ji nechá volně ležet když jde na oběd....více

9. 8. 2004 | 4:11 | Uživatel služeb PB

Domnívám se, že každému vyhovuje jiný způsob přihlašování do služeb PB. Někomu vyhovuje kalkulátor, jinému čipovka a dalšímu zase SMSklíč. Důležité je však to, že když půjdu do banky, měl bych obdržet kompletní informaci...více

9. 8. 2004 | 4:11 | Uživatel služeb PB

Domnívám se, že každému vyhovuje jiný způsob přihlašování do služeb PB. Někomu vyhovuje kalkulátor, jinému čipovka a dalšímu zase SMSklíč. Důležité je však to, že když půjdu do banky, měl bych obdržet kompletní informaci...více

9. 8. 2004 | 4:11 | Uživatel služeb PB

Domnívám se, že každému vyhovuje jiný způsob přihlašování do služeb PB. Někomu vyhovuje kalkulátor, jinému čipovka a dalšímu zase SMSklíč. Důležité je však to, že když půjdu do banky, měl bych obdržet kompletní informaci...více

9. 8. 2004 | 4:10 | Uživatel služeb PB

Domnívám se, že každému vyhovuje jiný způsob přihlašování do služeb PB. Někomu vyhovuje kalkulátor, jinému čipovka a dalšímu zase SMSklíč. Důležité je však to, že když půjdu do banky, měl bych obdržet kompletní informaci...více

Naposledy navštívené

Články

Produkty a instituce

Kalkulačky

Poradna

Finanční subjekty

Nabídky práce

Obchodní rejstřík

Osoby v obchodním rejstříku

Části obce

Městské části

Obce

Okresy

Témata

Vládní pokladniční poukázka, Index cen výrobců, Odkup leasingových pohledávek, andrej babiš, eet, petr fiala, unicredit, petr mach, principy obchodování , marie mocková, pomazánkové máslo, HOMR. OSMD, Juraj Rektor, vkladní knížka, Student na míru, pojištění denních dávek odškodného, jaromír novák, Greenmail

5E38014, 2L00467, 5A27025, 5C07078, 4AI3267

Přihlášení

Jméno

Nemáte registraci? Zaregistrujte se zde!

Všechny materiály © 2000 - 2016 Peníze.CZ a dodavatelé. Všechna práva vyhrazena.

ISSN 1213-2217. Doslovné ani částečné přebírání materiálů není povoleno bez uvedení zdroje a předchozího písemného svolení.
Peníze.CZ vydává společnost Partners media, s.r.o.
Člen SPIR - Sdružení pro internetovou reklamu. Člen SVIT - Sdružení vydavatelů internetových titulů při UVDT.

Při poskytování služeb nám pomáhají soubory cookie. Používáním našich služeb nám k tomu udělujete souhlas. Další informace.OK