SlideShare una empresa de Scribd logo

2FA w bankowosci (Bartosz Nowak)

msobiegraj
msobiegraj

Bartosz Nowak

1 de 20
2FA w bankowości Bartosz Nowak b.nowak@securityinfo.pl
Co chronimy? Na czym zależy klientom? pieniądze, pieniądze, pieniądze. Główne kanały: ”okienko”, bankowość elektroniczna, karty płatnicze.
Jak chronimy? Uwierzytelnianie osób/transakcji: wiem, mam, jestem. Priorytety: wygoda klienta, koszty, bezpieczeństwo.
Silne uwierzytelnianie  wykorzystanie dwóch czynników uwierzytelniania, brak przesyłu stałych elementów uwierzytelniających.
Okienko”  Mam – dokumenty tożsamości, jestem – dokument ze zdjęciem, podpis, systemy biometryczne (biometryka w skarbcach), ciekawostka – Szwajcarski Pictet pierwszym bankiem na świecie całkowicie polagającym na biometryce (2Q 2007) – analiza twarzy klienta zaraz po wejściu do Banku.
Kanał Internetowy/WAP Wiem – hasła statyczne – razem z identyfikatorem używane powszechnie jako podstawowa metoda uwierzytelnienia w serwisie. Również możliwa metoda autoryzacji transakcji w BOŚ, Invest Bank, Kredyt Bank, Millenium, Polbank. wygodne w użyciu, niskie koszty, niskie bezpieczeństwo.
Kanał Internetowy/WAP Mam – lista haseł jendnorazowych – powszechnie stosowane przy autoryzacji transakcji. Również możliwa metoda uwierzytelnienia w serwisie (Nordea). uciążliwe w stosowaniu, niskie koszty, podwyższone bezpieczeństwo (niepodatne na kompromitacje pojedynczego hasła przy użyciu).
Kanał Internetowy/WAP Mam – urządzenia typu token (synchroniczne, asynchroniczne, programowe) – często stosowane przy autoryzacji transakcji (BOŚ, BZWBK, Kredyt Bank, Nordea, Lukas). Rónież możliwa metoda uwierzytelniania w serwisie (BOŚ, BZWBK, Kredyt Bank, Nordea), duże koszty zakupu, ograniczona wygoda przez dodatkowe urządzenie, przy mechanizmach niechronionych hasłem kompromitacja przy kradzieży urządzenia, ciągle brak odporności na MITM, phishing.
Kanał Internetowy/WAP Przyszłość? coraz popularniejsze tokeny programowe – ale czy bezpieczniejsze? (np.w telefonach komórkowych – bank o korzeniach francuskich), tokeny zabezpieczone pinem, zintegrowane z kartą płatnicza – Innovative Card Technologies, eMue Technologies, uwierzytelnianie kodami jednorazowymi – karta „chipowa”+czytnik – MasterCard Chip Authentication Program, VISA Dynamic Passcode Authentication.
Kanał Internetowy/WAP Mam – smsKod – przesyłanie haseł jednorazowych na predefiniowany numer – często stosowane przy autoryzacji transakcji (BPH, BZWBK, City, ING, mBank, Multibank). niskie koszty zakupu (popularność telefonii komórkowej) – wyższe użytkowania, wygoda stosowania (brak dodatkowych urządzeń), bezpieczeństwo: •kod nie jest generowany lokalnie, •zazwyczaj brak blokady hasłem, •należy zadbać o ograniczenia czasowe kodów, •wirusy, •ale... podaje dane o zleconej transakcji na ekranie – znacznie utrudnia najpopularniejszy atak – phishing (drugi kanał transmisji).
Kanał Internetowy/WAP Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie poprzez zainstalowanie certyfikatu w przeglądarce WWW (Fortis), niskie koszty, mała wygoda (mobilność rozwiązania), wysokie bezpieczeństwo. Autoryzacja transakcji – klucz prywatny z hasłem przechowywany na lokalnym dowolnym nośniku (Fortis, BPH, ING) bądź serwerze banku! (BPH, ING), niskie koszty, niższa wygoda przy pełnym kontrolowaniu klucza, wysokie bezpieczeństwo przy pełnym kontrolowaniu klucza (wada – dystrybucja online)
Kanał Internetowy/WAP Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie oraz autoryzacja transakcji poprzez certyfikat i pare kluczy zapisanych na SmartCard (BZWBK), duże koszty zakupu, zmniejszona wygoda (dodatkowe urządzenie), wysokie bezpieczeństwo, duże możliwości rozwoju – zastosowanie podpisu kwalifikowanego, wprowadzającego nowe funkcjonalności.
Kanał Internetowy/WAP podpis elektroniczny – w myśl ustawy każda elektroniczna identyfikacja osób fizycznych (w tym podpis cyfrowy, PIN, token) jeśli jest wykorzystana do zawarcia umowy czy potwierdzenia dyspozycji (nie są nim dane wykorzystywane do uwierzytelnienia wobec urządzenia lub serwera), ustawa o podpisie elektronicznym zapewnia jeden z korzystniejszych w Europie poziomów bezpieczeństwa prawnego w szczególności odbiorcy (zrównanie z podpisem tradycyjnym, domniemanie autorstwa), kwalifikowany podpis elektroniczny – węższa definicja, większe bezpieczeństwo – wyłączenie ograniczenia odpowiedzialności klienta do 150E (ustawa o elektronicznych instrumentach płatniczych), umożliwia nowe funkcjonalności jak podpisywanie umów, ciekawostka – definicja podpisu kwalifikowanego nie obejmuje  możliwości potwierdzenia autentyczności danych. Wada ustawy?
Kanał głosowy - IVR Wiem: zbiór ”trudnych” pytań, stałe hasło (maskowane/niemaskowane), hasła jednorazowe. Mam: token. Jestem: rozpoznawanie głosu. Amerykańskie Morgan Stanley i Lehman Brothers – uwierzytelnianie głosowe pracowników przy telekonferencjach. W Polsce jeden bank pod holenderską i jeden pod irlandzką banderą prowadzą badania nad tym biometrycznym sposobem uwierzytelniania.
Kanał SMS Najczęściej używany sposób autoryzacji: wiem – hasło, mam – telefon.
Karty płatnicze Transakcje „fizyczne” kartą – uwierzytelnianie w POS/bankomacie poprzez parę mam (karta) i wiem (PIN) lub jestem (podpis), brak kosztów (dodatkowych), duża wygoda, niskie bezpieczeństwo: skimming, PayWave/PayPass (brak 2FA). Poprawa bezpieczeństwa: EMV (Europay, Mastercard, VISA) – chip & PIN (znaczny spadek ilości zagubień i kradzieży, fałszowania oraz kart niedostarczonych). Problem – ciągle pasek magnetyczny dla kompatybilności. 100% kart „chipowych”: BZWBK.
Karty płatnicze Transakcje CNP (Card Not Present) – uwierzytelnianie jednym czynnikiem – wiem (numer karty, data ważności, CVV2) brak kosztów, duża wygoda, niskie bezpieczeństwo, do czasu wprowadzenia CVV2 również istniał problem skimmingu. Poprawa bezpieczeństwa – drugi czynnik: 3DSecure – Verified by Visa, MasterCard SecureCode, koszty uzależnione od rodzaju mechanizmu uwierzytelniającego.
Karty płatnicze Przyszłość? Biometria: kolumbijski BanCafe i chilijskie Baco Falabella stosują bankomaty z uwierzytelnianiem na odcisk palca, japoński Suruga uwierzytelnia na podstawie układu żył na dłoniach, kanadyjski Royal Bank na podstawie siatkówki. koszt niski, duża wygoda (zindywidualizowane odczucia?), bezpieczeństwo wysokie, problem: spory narzut na transmisje – przyszłość w połączeniu z EMV?
Co dalej Bankowość elektroniczna w Polsce stoi na wysokim poziomie pod  względem bezpieczeństwa, Forum Technologii Bankowych przy Związku Banków Polskich – badania nad technologiami oraz przygotowanie standardów technologiczych i prawnych: podpis elektroniczny zapisywany na karcie SIM + dedykowane oprogramowanie – strona zaufana zamiast centrów certyfikacji to operatorzy lub banki, 26.02.2008 konferencja dotycząca zastosowania biometrii.
2FA w bankowości Dziękuję za uwagę! Bartosz Nowak b.nowak@securityinfo.pl

Recomendados

UC Nursing CESDEV 4 A Swm
UC Nursing CESDEV 4 A SwmUC Nursing CESDEV 4 A Swm
UC Nursing CESDEV 4 A Swmucnursingcesdev
 
UC Nursing CESDEV Feeding Program
UC Nursing CESDEV Feeding ProgramUC Nursing CESDEV Feeding Program
UC Nursing CESDEV Feeding Programucnursingcesdev
 
2 Geography
2 Geography2 Geography
2 Geographymslim
 
UC Nursing CESDEV Cpr Module
UC Nursing CESDEV Cpr ModuleUC Nursing CESDEV Cpr Module
UC Nursing CESDEV Cpr Moduleucnursingcesdev
 
UC Nursing CESDEV 3 Q Kalunasan Swm
UC Nursing CESDEV 3 Q Kalunasan SwmUC Nursing CESDEV 3 Q Kalunasan Swm
UC Nursing CESDEV 3 Q Kalunasan Swmucnursingcesdev
 
UC CESDEV 2 A Kalunasan Swm
UC CESDEV 2 A Kalunasan SwmUC CESDEV 2 A Kalunasan Swm
UC CESDEV 2 A Kalunasan Swmucnursingcesdev
 
UC Nursing CESDEV Kalunasan Sites
UC Nursing CESDEV Kalunasan SitesUC Nursing CESDEV Kalunasan Sites
UC Nursing CESDEV Kalunasan Sitesucnursingcesdev
 
[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 

Recomendados

UC Nursing CESDEV 4 A Swm
UC Nursing CESDEV 4 A SwmUC Nursing CESDEV 4 A Swm
UC Nursing CESDEV 4 A Swmucnursingcesdev
 
UC Nursing CESDEV Feeding Program
UC Nursing CESDEV Feeding ProgramUC Nursing CESDEV Feeding Program
UC Nursing CESDEV Feeding Programucnursingcesdev
 
2 Geography
2 Geography2 Geography
2 Geographymslim
 
UC Nursing CESDEV Cpr Module
UC Nursing CESDEV Cpr ModuleUC Nursing CESDEV Cpr Module
UC Nursing CESDEV Cpr Moduleucnursingcesdev
 
UC Nursing CESDEV 3 Q Kalunasan Swm
UC Nursing CESDEV 3 Q Kalunasan SwmUC Nursing CESDEV 3 Q Kalunasan Swm
UC Nursing CESDEV 3 Q Kalunasan Swmucnursingcesdev
 
UC CESDEV 2 A Kalunasan Swm
UC CESDEV 2 A Kalunasan SwmUC CESDEV 2 A Kalunasan Swm
UC CESDEV 2 A Kalunasan Swmucnursingcesdev
 
UC Nursing CESDEV Kalunasan Sites
UC Nursing CESDEV Kalunasan SitesUC Nursing CESDEV Kalunasan Sites
UC Nursing CESDEV Kalunasan Sitesucnursingcesdev
 
[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 
[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDSmsobiegraj
 
[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewallmsobiegraj
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responcemsobiegraj
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)msobiegraj
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portalsmsobiegraj
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacjamsobiegraj
 
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjiWeb Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjimsobiegraj
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkumsobiegraj
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Studymsobiegraj
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki ubocznemsobiegraj
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemmsobiegraj
 

Más contenido relacionado

Más de msobiegraj

[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewallmsobiegraj
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responcemsobiegraj
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)msobiegraj
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portalsmsobiegraj
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacjamsobiegraj
 
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjiWeb Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjimsobiegraj
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkumsobiegraj
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Studymsobiegraj
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki ubocznemsobiegraj
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemmsobiegraj
 

Más de msobiegraj (11)

[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDS
 
[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall
 
[ISSA] Incident Responce
[ISSA] Incident Responce[ISSA] Incident Responce
[ISSA] Incident Responce
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portals
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacja
 
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjiWeb Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
 

2FA w bankowosci (Bartosz Nowak)

  • 1. 2FA w bankowości Bartosz Nowak b.nowak@securityinfo.pl
  • 2. Co chronimy? Na czym zależy klientom? pieniądze, pieniądze, pieniądze. Główne kanały: ”okienko”, bankowość elektroniczna, karty płatnicze.
  • 3. Jak chronimy? Uwierzytelnianie osób/transakcji: wiem, mam, jestem. Priorytety: wygoda klienta, koszty, bezpieczeństwo.
  • 4. Silne uwierzytelnianie  wykorzystanie dwóch czynników uwierzytelniania, brak przesyłu stałych elementów uwierzytelniających.
  • 5. Okienko”  Mam – dokumenty tożsamości, jestem – dokument ze zdjęciem, podpis, systemy biometryczne (biometryka w skarbcach), ciekawostka – Szwajcarski Pictet pierwszym bankiem na świecie całkowicie polagającym na biometryce (2Q 2007) – analiza twarzy klienta zaraz po wejściu do Banku.
  • 6. Kanał Internetowy/WAP Wiem – hasła statyczne – razem z identyfikatorem używane powszechnie jako podstawowa metoda uwierzytelnienia w serwisie. Również możliwa metoda autoryzacji transakcji w BOŚ, Invest Bank, Kredyt Bank, Millenium, Polbank. wygodne w użyciu, niskie koszty, niskie bezpieczeństwo.
  • 7. Kanał Internetowy/WAP Mam – lista haseł jendnorazowych – powszechnie stosowane przy autoryzacji transakcji. Również możliwa metoda uwierzytelnienia w serwisie (Nordea). uciążliwe w stosowaniu, niskie koszty, podwyższone bezpieczeństwo (niepodatne na kompromitacje pojedynczego hasła przy użyciu).
  • 8. Kanał Internetowy/WAP Mam – urządzenia typu token (synchroniczne, asynchroniczne, programowe) – często stosowane przy autoryzacji transakcji (BOŚ, BZWBK, Kredyt Bank, Nordea, Lukas). Rónież możliwa metoda uwierzytelniania w serwisie (BOŚ, BZWBK, Kredyt Bank, Nordea), duże koszty zakupu, ograniczona wygoda przez dodatkowe urządzenie, przy mechanizmach niechronionych hasłem kompromitacja przy kradzieży urządzenia, ciągle brak odporności na MITM, phishing.
  • 9. Kanał Internetowy/WAP Przyszłość? coraz popularniejsze tokeny programowe – ale czy bezpieczniejsze? (np.w telefonach komórkowych – bank o korzeniach francuskich), tokeny zabezpieczone pinem, zintegrowane z kartą płatnicza – Innovative Card Technologies, eMue Technologies, uwierzytelnianie kodami jednorazowymi – karta „chipowa”+czytnik – MasterCard Chip Authentication Program, VISA Dynamic Passcode Authentication.
  • 10. Kanał Internetowy/WAP Mam – smsKod – przesyłanie haseł jednorazowych na predefiniowany numer – często stosowane przy autoryzacji transakcji (BPH, BZWBK, City, ING, mBank, Multibank). niskie koszty zakupu (popularność telefonii komórkowej) – wyższe użytkowania, wygoda stosowania (brak dodatkowych urządzeń), bezpieczeństwo: •kod nie jest generowany lokalnie, •zazwyczaj brak blokady hasłem, •należy zadbać o ograniczenia czasowe kodów, •wirusy, •ale... podaje dane o zleconej transakcji na ekranie – znacznie utrudnia najpopularniejszy atak – phishing (drugi kanał transmisji).
  • 11. Kanał Internetowy/WAP Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie poprzez zainstalowanie certyfikatu w przeglądarce WWW (Fortis), niskie koszty, mała wygoda (mobilność rozwiązania), wysokie bezpieczeństwo. Autoryzacja transakcji – klucz prywatny z hasłem przechowywany na lokalnym dowolnym nośniku (Fortis, BPH, ING) bądź serwerze banku! (BPH, ING), niskie koszty, niższa wygoda przy pełnym kontrolowaniu klucza, wysokie bezpieczeństwo przy pełnym kontrolowaniu klucza (wada – dystrybucja online)
  • 12. Kanał Internetowy/WAP Mam – certyfikat elektroniczny – uwierzytelnianie w serwisie oraz autoryzacja transakcji poprzez certyfikat i pare kluczy zapisanych na SmartCard (BZWBK), duże koszty zakupu, zmniejszona wygoda (dodatkowe urządzenie), wysokie bezpieczeństwo, duże możliwości rozwoju – zastosowanie podpisu kwalifikowanego, wprowadzającego nowe funkcjonalności.
  • 13. Kanał Internetowy/WAP podpis elektroniczny – w myśl ustawy każda elektroniczna identyfikacja osób fizycznych (w tym podpis cyfrowy, PIN, token) jeśli jest wykorzystana do zawarcia umowy czy potwierdzenia dyspozycji (nie są nim dane wykorzystywane do uwierzytelnienia wobec urządzenia lub serwera), ustawa o podpisie elektronicznym zapewnia jeden z korzystniejszych w Europie poziomów bezpieczeństwa prawnego w szczególności odbiorcy (zrównanie z podpisem tradycyjnym, domniemanie autorstwa), kwalifikowany podpis elektroniczny – węższa definicja, większe bezpieczeństwo – wyłączenie ograniczenia odpowiedzialności klienta do 150E (ustawa o elektronicznych instrumentach płatniczych), umożliwia nowe funkcjonalności jak podpisywanie umów, ciekawostka – definicja podpisu kwalifikowanego nie obejmuje  możliwości potwierdzenia autentyczności danych. Wada ustawy?
  • 14. Kanał głosowy - IVR Wiem: zbiór ”trudnych” pytań, stałe hasło (maskowane/niemaskowane), hasła jednorazowe. Mam: token. Jestem: rozpoznawanie głosu. Amerykańskie Morgan Stanley i Lehman Brothers – uwierzytelnianie głosowe pracowników przy telekonferencjach. W Polsce jeden bank pod holenderską i jeden pod irlandzką banderą prowadzą badania nad tym biometrycznym sposobem uwierzytelniania.
  • 15. Kanał SMS Najczęściej używany sposób autoryzacji: wiem – hasło, mam – telefon.
  • 16. Karty płatnicze Transakcje „fizyczne” kartą – uwierzytelnianie w POS/bankomacie poprzez parę mam (karta) i wiem (PIN) lub jestem (podpis), brak kosztów (dodatkowych), duża wygoda, niskie bezpieczeństwo: skimming, PayWave/PayPass (brak 2FA). Poprawa bezpieczeństwa: EMV (Europay, Mastercard, VISA) – chip & PIN (znaczny spadek ilości zagubień i kradzieży, fałszowania oraz kart niedostarczonych). Problem – ciągle pasek magnetyczny dla kompatybilności. 100% kart „chipowych”: BZWBK.
  • 17. Karty płatnicze Transakcje CNP (Card Not Present) – uwierzytelnianie jednym czynnikiem – wiem (numer karty, data ważności, CVV2) brak kosztów, duża wygoda, niskie bezpieczeństwo, do czasu wprowadzenia CVV2 również istniał problem skimmingu. Poprawa bezpieczeństwa – drugi czynnik: 3DSecure – Verified by Visa, MasterCard SecureCode, koszty uzależnione od rodzaju mechanizmu uwierzytelniającego.
  • 18. Karty płatnicze Przyszłość? Biometria: kolumbijski BanCafe i chilijskie Baco Falabella stosują bankomaty z uwierzytelnianiem na odcisk palca, japoński Suruga uwierzytelnia na podstawie układu żył na dłoniach, kanadyjski Royal Bank na podstawie siatkówki. koszt niski, duża wygoda (zindywidualizowane odczucia?), bezpieczeństwo wysokie, problem: spory narzut na transmisje – przyszłość w połączeniu z EMV?
  • 19. Co dalej Bankowość elektroniczna w Polsce stoi na wysokim poziomie pod  względem bezpieczeństwa, Forum Technologii Bankowych przy Związku Banków Polskich – badania nad technologiami oraz przygotowanie standardów technologiczych i prawnych: podpis elektroniczny zapisywany na karcie SIM + dedykowane oprogramowanie – strona zaufana zamiast centrów certyfikacji to operatorzy lub banki, 26.02.2008 konferencja dotycząca zastosowania biometrii.
  • 20. 2FA w bankowości Dziękuję za uwagę! Bartosz Nowak b.nowak@securityinfo.pl