Techniczne metody zapewniające bezpieczeństwo banku
1. Szyfrowanie transmisji danych:
4. Podpis elektroniczny
Do innych metod podnoszących bezpieczeństwo możemy zaliczyć:
1. Firewall - zabezpieczenie przed niedozwolonymi sposobami komunikacji z serwerem (nie pozwala na komunikację przez inne porty TCP/IP, niż dozwolone);
2. Rejestracja aktywności użytkownika oraz operacji przez niego wykonywanych (np. próby logowania do systemu, odczyt historii konta, wykonywane przelewy itp.) oraz jego adres IP;
3. Blokowanie konta w przypadku kilkukrotnego podania złych danych przy logowaniu;
4. Automatyczne wylogowanie z systemu, jeśli użytkownik nie wykonał żadnych czynności przez jakiś czas.
Proste uwierzytelnianie:
Oparte na podejściu: co znasz (np. hasło, PIN). Podstawowa wada: możliwość stosunkowo łatwego wykradnięcia hasła.
Silne uwierzytelnianie:
Oparte na podejściu: co masz. Do tej kategorii zaliczamy:
urządzenia elektroniczne (tokeny, karty elektroniczne)
mechanizmy cyfrowe (certyfikaty cyfrowe, klucze kryptograficzne)
Silne uwierzytelnianie zwykle połączone jest dodatkowo z hasłem, co podnosi poziom bezpieczeństwa. Do wad należy zaliczyć: znaczne koszty zakupu, mniejszą wygodę użytkowania w porównaniu do haseł.
Token
Jest to urządzenie wielkości małego kalkulatora lub breloczka do kluczy. Token potwierdza operacje wykonywane przez użytkownika. Zawiera algorytmy kryptograficzne oraz klucze kryptograficzne. Generuje on ciąg cyfr w oparciu o: prywatny klucz, czas (zsynchronizowany z serwerem) oraz ewentualnie inny ciąg cyfr wcześniej wprowadzony. System komputerowy, znając klucz prywatny tokena oraz stosowany przez niego algorytm, potrafi stwierdzić, czy ciąg cyfr podany przez użytkownika jest czy nie jest prawidłowy. Ciąg cyfr jest następnie wprowadzany do systemu (przez WWW, telefon itp.). Jeśli token działa z uwzględnieniem czasu, wygenerowany ciąg cyfr zachowuje ważność np. tylko przez minutę.
Secure Socket Layer - SSL:
Jest to protokół sieciowy opracowany przez firmę Netscape. SSL realizuje szyfrowanie, uwierzytelnienie serwera (ewentualnie użytkownika również) i zapewnienie integralności oraz poufności przesyłanych informacji. W momencie nawiązania połączenia z bezpieczną (stosującą protokół SSL) stroną WWW następuje ustalenie algorytmów oraz kluczy szyfrujących, stosowanych następnie przy przekazywaniu danych między przeglądarką a serwerem WWW.
Dodatkowe informacje nt. SSL i certyfikatów SSL znajdziesz na stronie: http://www.ebanki.pl/technika/ssl.html
Wireless Transport Layer Security - WTLS:
Protokół służący do szyfrowania danych podczas połączenia z Internetem przez WAP. Został opracowany przez WAP Forum.
Komunikacja między użytkownikiem telefonu komórkowego a serwerami, na których umieszczone są poszczególne serwisy (np. WBK24), odbywa się poprzez sieci GSM i Internet, które łączy ze sobą tzw. WAP-gateway zwykle należący do operatora sieci GSM. Szyfrowanie WTLS obsługiwane jest na drodze od telefonu do gateway-a, a na drodze od gateway-a do serwera banku jest stosowane szyfrowanie SSL.
Podpis cyfrowy:
Podpis cyfrowy powinien:
być trudny (niemożliwy) do podrobienia;
umożliwiać weryfikację autentyczności dokumentu;
na trwałe łączyć się z dokumentem;
uniemożliwiać podszywanie się pod inną osobę i wyparcie się podpisu przez autora;
zapewniać wykrywalność wszystkich zmian w danych transakcji (zapewnienie jej integralności).
Definicja podpisu cyfrowego wg PN-I-02000:
"Przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę."
Podstawowe sposoby dostępu do konta:
Dostęp aktywny - możliwość przeglądania informacji o swoim koncie oraz wykonywania operacji zmieniających stan konta (przelewy na dowolne rachunki)
Dostęp pół-aktywny - możliwość przeglądania informacji o swoim koncie oraz wykonywania operacji zmieniające stan konta (funkcja ograniczona np. do wcześniej zdefiniowanych przelewów)
Dostęp pasywny - możliwość przeglądania informacji o koncie (np. historii transakcji)
Ocena bezpieczeństwa w dostępie aktywnym:
Ocena bezpieczeństwa |
Zastosowane metody |
słabe |
szyfrowanie + proste uwierzytelnianie |
niewystarczające |
szyfrowanie + proste uwierzytelnianie + silne uwierzytelnianie (stosowane nieidealnie) |
wystarczające |
szyfrowanie + proste uwierzytelnianie + silne uwierzytelnianie (stosowane bez zastrzeżeń) |
wzorowe |
wystarczające + podpis cyfrowy |
Ocena bezpieczeństwa w dostępie pół-aktywnym:
Ocena bezpieczeństwa |
Zastosowane metody |
słabe |
proste uwierzytelnianie |
niewystarczające |
szyfrowanie + proste uwierzytelnianie (stosowane nieidealnie) |
wystarczające |
szyfrowanie + proste uwierzytelnianie (stosowane bez zastrzeżeń) |
wzorowe |
wszystkie cztery metody zastosowane bez zastrzeżeń |
Ocena bezpieczeństwa w dostępie pasywnym:
Ocena bezpieczeństwa |
Zastosowane metody |
słabe |
brak zabezpieczeń |
niewystarczające |
proste uwierzytelnianie |
wystarczające |
szyfrowanie + proste uwierzytelnianie |
wzorowe |
szyfrowanie + proste uwierzytelnianie + silne uwierzytelnianie (stosowane bez zastrzeżeń) |