Autentizační prvky a metody pod drobnohledem

Autentizační prvky a metody pod drobnohledem
Znáte všechny metody autentizace, které používáme například při komunikaci s bankou pomocí elektronických kanálů? Probereme jeden po druhém a vysvětlíme si, jaké jsou jejich slabiny a přednosti a zároveň které jsou nejvíce a naopak nejméně bezpečné.

V dnešní době je stále více citlivých údajů v počítačích než na papíře, přičemž tento trend pokračuje a nabývá na rychlosti. Stále palčivější se pak stává otázka zabezpečení těchto dat. S ohledem na případy podobné tomu, kdy byl opilému zaměstnanci BIS v restauraci ukraden notebook s citlivými daty, je nutné si uvědomit, co nebo spíš kdo je nejslabším bezpečnostním článkem současných systémů.

Co je autentizace?

Autentizace je proces ověřující, že uživatel je opravdu tím, za koho se vydává. K autentizaci se používají níže zmíněné a popsané metody a jejich kombinace. Má-li být autentizace skutečně kvalitní, je nutné použít autentizaci vícefaktorovou, může být jedno-, dvou- či třífaktorová. Z názvů je zřejmé kolik faktorů musí být u jednotlivých typů použito.
Příkladem jednofaktorové je autentizace jménem a heslem. Dvoufaktorová je například autentizace předmětem, kde je vyžadována znalost PINu. K úspěšnému přihlášení je třeba něco, co uživatel má (token, viz dále) a něco, co zná (PIN). Nejvyšší stupeň bezpečnosti pak zajišťuje autentizace třífaktorová, která k dvoufaktorové přidává ještě nějakou uživatelovu vlastnost, např. charakteristiky oční sítnice.

Jaké autentizační metody vlastně existují? Pro uživatelskou přívětivost jsme je seřadili podle úrovně poskytované bezpečnosti, a to od těch nejméně bezpečných k těm, které zajišťují nejvyšší stupeň ochrany.

Jméno a heslo

Jedná se patrně o nejrozšířenější metodu zabezpečení, která se však už dnes přežila. Bohužel je nutné konstatovat, že pro některé účely, jako je například přihlášení do sítě je to stále metoda nejrozšířenější. Jméno a heslo není obtížné odpozorovat a naučit se to může snad opravdu každý. U šikovnějších uživatelů není odpozorování zcela triviální, ale pro trénovaného útočníka také není nemožné.
Dalším důležitým faktorem je fakt, že šikovný útočník dokáže odpozorovat heslo a při tom to vypadá, že se dívá někam úplně jinam, a nepředstavuje tak žádné nebezpečí. Jedním ze způsobů, jak zjistit uživatelovo heslo, je nainstalovat na jeho počítač program určený k "odposlechu" stisku klávesnice. Tyto programy jsou již hotové a jejich použití je velmi jednoduché. Naopak nevýhodou metody je skutečnost, že jsou třeba administrátorská práva a fyzický přístup k jeho stanici. Elegantnější a jednodušší variantou je "přinutit" uživatele, aby se přihlásil na počítači útočníka, kde je zmíněný software nainstalován.

Významné riziko přináší i rozvoj techniky, tedy skutečnost, že minikameru lze umístit prakticky na jakékoli místo, aniž by si toho někdo všiml. Podobné případy se objevily například v souvislosti s napadením bankomatů. Bezpečnost této metody trpí i tím, že člověk je od přírody pohodlný. Abychom tedy zamezili notoricky známým žlutým lepícím papírkům na monitoru či spodní straně klávesnice, je nutné přijmout odpovídající bezpečnostní politiku, vynucovat její dodržování a zároveň provádět osvětu. V neposlední řadě již nízkou úroveň bezpečnosti této metody snižují sami administrátoři, byť s dobrými úmysly. Je-li uživatel nucen jednou za tři týdny měnit heslo, které je minimálně dvanáctiznakové a obsahuje písmena, čísla a speciální znaky a zároveň systém nedovoluje použít posledních dvanáct hesel, pak je nad síly běžného uživatele si takové heslo vůbec pamatovat. Logicky pak hesla končí na již zmíněných a notoricky známých místech. Argument, že znalost hesla je užitečná pouze po dobu jeho platnosti, nemůže obstát. Jestliže útočník jednou zná heslo, byť třeba jeden den, pak veškerá data, ke kterým má uživatel s tímto heslem přístup, již není možné považovat za tajná, ale musíme s nimi zacházet jako by byla veřejná. Jestliže se uživatel nedozví, že jeho heslo má k dispozici někdo jiný a okamžitě nepřistoupí k přeinstalování celé stanice, je velmi pravděpodobné, že si útočník vytvořil pro přístup do systému zadní vrátka a ani zmíněná pravidelná změna hesla nic neřeší.

Autentizace po telefonu

S rozvojem tzv. telefonního bankovnictví se dá hovořit i o vzniku další metody autentizace. České banky přitom poskytují hned několik různých variant autentizace. V té nejméně bezpečné variantě, na kterou jsem narazil, má uživatel klientské číslo a heslo. Klientské číslo zadává uživatel celé a z šestimístného hesla zadává tři pozice. U této varianty stačí, když se uživatel přihlašuje do systému například v kanceláři, kde jeho kolegovi stačí "odposlechnout" 4,2 relace. Je jasné, že toto číslo je velmi nízké a tato metoda zabezpečení tak rozhodně není dostatečná. Je však třeba říci, že banky nabízejí bezpečnější alternativy a je pouze na uživateli, zda si vybere bezpečnější, nebo pohodlnější, ale méně bezpečnou, variantu. Pokud si ale vybere pohodlnější a méně bezpečnou variantu, pak není možné z případného zneužití vinit banku, neboť ta nemá prostředek, jak by tomu zamezila, pokud nebudeme brát v úvahu zcela absurdní možnost, že by banka tuto službu nenabízela.

Certifikát na nechráněném médiu

Jedná se o řešení, které je v našich zeměpisných šířkách jednoznačně nejrozšířenější pro autentizaci v prostředí internetového bankovnictví. Toto řešení rozhodně neposkytuje požadovanou úroveň bezpečnosti, už jen z důvodů nechráněného ukládání certifikátu na pevných discích nebo ještě hůře disketách, které jsou následně vkládány do nedůvěryhodných počítačů. Většina uživatelů se navíc neřídí radami bank a svůj počítač nijak nezabezpečují (např. personálním firewallem). Banky přitom mají na svých webech popsán i postup jak počítač zabezpečit včetně odkazů na doporučený software. Z uvedeného je zřejmé, že obviňovat banky z nedostatečného zabezpečení je poněkud scestné.
Chovat se v rozporu se všemi doporučeními, které banky uživatelům dávají v praxi, může znamenat, že umožníte napadení svého účtu. Navíc je nutné připomenout, že většina bank nabízí také variantu čipové karty, která je o třídu bezpečnější. Tuto možnost většina uživatelů neakceptuje, protože se zde projevuje stará známá pravda, že se každé zvýšení bezpečnosti děje na úkor pohodlí. Kritika bank pak ovšem pokud jde o zabezpečení internetového bankovnictví není zcela na místě. Mimochodem úroveň zabezpečení nabízená většinou tuzemských finančních ústavů převyšuje často bezpečnost tohoto produktu v zemích, které jsou nám často dávány za vzor, tedy v těch ležících na západ od našich hranic.

Dokončení textu najdete na tomto místě, věnujeme se v něm např. autentizačním kalkulátorům či tokenům.

Autor působí ve společnosti Asknet.

Myslíte si, že je úroveň zabezpečení vaší komunikace s bankou nebo počítačem dostatečně vysoká? Upřednostňujete bezpečnost nebo pohodlí? Jak často vám správci změní z důvodu bezpečnosti heslo a jak se vám to líbí?

Držíte se udržitelnosti?

Držíte se udržitelnosti?

Generali Česká pořádá soutěž SME EnterPRIZE, která oceňuje udržitelné podnikání. Přihlásit se můžete do 5. dubna.

Sdílejte článek, než ho smažem

Líbil se vám článek?

0
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 39 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

29. 7. 2004 10:34

Zdravim.

System CS se (kupodivu :-) ) vyvijel a jestli si to dobre pamatuju, tak je k dispozici historie vsech transakci, jestli to bylo zpocatku jinak uz nevim.

Lze aktivovat zasilani SMS zpravy po zadani/zmene prikazu. Operaci je mozne behem nejake doby telefonicky zrusit, takze jakysi pokus o zabezpeceni je implementovan. SMSky jsou zdarma.

Prihlasovani zadanim 10-ti mistneho cisla, ktery si nemuzu zmenit je peknej opruz, pokud jsem to nepouzival casto (jako ze ne), vetsinou jsem ho po nejake dobe zase zapomnel :-(

Pepa.

Zobrazit celé vlákno

+28
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

2. 8. 2004 11:41

Autor, který píše o autentizačních metodách v bankách, by grid karty (případně podobné tabulky kódů) měl znát, jinak jeho článek působí docela amatérsky. V určitých bankovních službách (například ověřování příkazů zaslaných faxem) to byla a možná ještě je (pokud ji nenahradily tokeny s PIN) nejčastější metoda..

Zobrazit celé vlákno

-10
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (39 komentářů) příspěvků.

Nejlevnější aplikace na trhu. Zpracujte si daňové přiznání pro fyzické osoby v roce 2024 v jednoduché online aplikaci. Pro naše čtenáře exkluzivní sleva 10 %.

DníHodinMinutVteřin
Slevový kód: PENIZE1O
Vyplnit přiznání

Pokud chcete řešit daně po staru, máme pro vás chytré formuláře.

A tohle už jste četli?

Pozor na nové Maxkarty

20. 7. 2004 | Petr Šafránek

Pozor na nové Maxkarty

Poštovní spořitelna od května vydává nové Maxkarty. Jejich bezpečnost je však nižší než u předchůdkyň, soudí klienti. A co na to říkají zástupci banky?

Vyzrajte na svízelné zahraniční platby

18. 6. 2004 | Kristýna Havligerová

Vyzrajte na svízelné zahraniční platby

Pro zadávání zahraničních plateb je dobré držet se několika doporučení. Nejdůležitějším je zadávání čísla účtu ve formátu IBAN a také swiftové adresy banky.

Internetbanking: vylučuje bezpečnost pohodlí?

29. 4. 2004 | Kristýna Havligerová

Internetbanking: vylučuje bezpečnost pohodlí?

Zabezpečení internetového bankovnictví je důležité. Každá banka volí jiný systém, rozhoduje se mezi stupněm bezpečí a pohodlí. Jaké jsou přednosti a nedostatky jednotlivých variant? celý článek

Nechceš internetbanking? Zaplať!

2. 4. 2004 | Vendula Hilkovičová

Nechceš internetbanking? Zaplať!

Internetové bankovnictví je jistě pohodlným způsobem jak ovládat svůj účet. Navíc, jak se nás banky snaží přesvědčit, i finančně výhodný. U tří našich bank vás ale čeká nemilé překvapení... celý článek

Počet příznivců přímého bankovnictví roste

11. 12. 2003 | Kristýna Havligerová

Počet příznivců přímého bankovnictví roste

"Lidé jsou zvyklí chodit si pro peníze do banky, mít hotovost v ruce, ovládání účtu přes internet příliš nedůvěřují." Takové tvrzení už dávno není pravda. Potvrzuje to téměř dvojnásobný... celý článek

Partners Financial Services