REKLAMA
WAKACJE NA GIEŁDZIE

Jak banki dbają o bezpieczeństwo danych

2011-07-16 16:00
publikacja
2011-07-16 16:00
Umożliwienie klientom dostępu do konta za pomocą telefonu komórkowego jest już standardem. Kanał mobilny znacznie rzadziej jest celem ataków hakerów, jednak może się to zmienić wraz ze wzrostem rynku. Telefon komórkowy w coraz większym stopniu technologicznie i funkcjonalnie upodabnia się do komputera. Zagrożenia, przed jakimi stoi użytkownik bankowości mobilnej są analogiczne do zagrożeń w bankowości elektronicznej.

Pomimo, że współczesne telefony komórkowe oferują szereg zabezpieczeń, odpowiedzialność za poufność oraz bezpieczeństwo danych wrażliwych i operacji wykonywanych przez użytkownika, spoczywa na dostawcy aplikacji. Wachlarz zabezpieczeń jest szeroki, obejmuje m.in. różnorodne sposoby uwierzytelniania użytkownika, autoryzacji transakcji bankowych oraz szyfrowanie danych poufnych i finansowych na urządzeniu oraz transmisji danych pomiędzy aplikacją, a systemem bankowym.

Zabezpieczenia są różne

Klasycznym rozwiązaniem jest zastosowanie haseł maskowanych - system wymaga podania wybranych znaków z hasła, co zabezpiecza przed przechwyceniem go przez programy szpiegujące, w związku z tym nawet jeśli ktoś podejrzy wpisywane przez Ciebie znaki i tak nie uda mu się zalogować na Twoje konto, bo system za każdym razem wymaga innych znaków. Podczas logowania w kolejne aktywne pola należy wpisać odpowiadające im znaki z hasła do logowania. Dodatkowym elementem stosowanym do autoryzacji pojedynczych zlecanych operacji są hasła jednorazowe SMS oraz hasła jednorazowe – przesyłane przez bank w postaci nieaktywnej listy haseł, która przed użyciem musi zostać aktywowana.

Co należy sprawdzać

  • Otrzymując przesyłkę z hasłami jednorazowymi upewnij się, że jest w nienaruszonym stanie
  • otrzymane listy haseł jednorazowych przechowuj w bezpiecznym miejscu i nie udostępniaj innym osobom
  • hasła jednorazowe są wymagane w internetowym serwisie transakcyjnym oraz aplikacji mobilnej, żaden bank nie prosi o podawanie haseł jednorazowych operatorowi lub konsultantowi w placówce
  • w przypadku zagubienia lub podejrzenia, że Twoja lista z hasłami jednorazowymi mogła być przez kogoś poznana (np. skopiowana) natychmiast zablokuj listę,
  • hasła jednorazowe służą wyłącznie do zatwierdzania pojedynczych dyspozycji w internetowym serwisie transakcyjnym oraz podczas korzystania z kanału mobilnego – hasła nie są wymagane podczas logowania do serwisu transakcyjnego, przeglądania historii operacji na rachunku oraz zatwierdzania jakichkolwiek operacji w serwisie, których nie byłeś inicjatorem

Jeśli wymagany jest najwyższy stopień bezpieczeństwa transakcji i poufności danych, możliwe jest też wprowadzenie rozwiązań sprzętowo programowych w postaci kryptograficznych kart SIM lub kryptograficznych kart MicroSD, które zapewniają najwyższy możliwy poziom bezpieczeństwa danych poprzez ich szyfrowanie i podpisywanie podpisem elektronicznym. W tym przypadku wszelkie operacje związane z bezpieczeństwem danych, tj. operacje kryptograficzne, prowadzone są w procesorze kryptograficznym specjalnych kart SIM lub MicroSD przy użyciu umieszczonego w nich  klucza kryptograficznego.

 „Co ciekawe, podpis dokumentu elektronicznego lub transakcji wykonany przy użyciu telefonu komórkowego, może nieść za sobą skutki prawne identyczne z podpisem odręcznym dokumentu papierowego. Istnieją więc rozwiązania techniczno-prawne pozwalające na bezpieczne podpisywanie umów bankowych np. o otwarcie konta, wydanie karty kredytowej czy kredyt gotówkowy w kanale mobilnym” – mówi Krzysztof Cetnarowski wiceprezes Mobile Experts sp. z o.o.

Token mobilny

Innym ciekawym rozwiązaniem dostępnym na telefonach komórkowych jest mobilny token. mTOKEN jest dedykowanym systemem pozwalającym na silne uwierzytelnianie użytkowników za pomocą kodów jednorazowych generowanych przez aplikację J2ME (JavaPhone) instalowaną bezpośrednio w telefonie komórkowym. Aplikacja dzięki użyciu zaawansowanych algorytmów kryptograficznych pozwala na jednoznaczną i niezaprzeczalną identyfikację użytkownika. Oferuje on poziom bezpieczeństwa analogiczny do używanych przez banki tokenów sprzętowych, jednak bez konieczności noszenia przy sobie dodatkowego urządzenia. W celu osiągnięcia maksymalnego stopnia bezpieczeństwa, tu również mogą być zastosowane rozwiązania sprzętowo-programowe z zastosowaniem kryptograficznych kart SIM lub MicroSD.

Wygrają aplikacje specjalne dla bankowości mobilnej

Banki coraz częściej odchodzą od rozwiązań przeglądarkowych dostosowanych do urządzeń mobilnych na rzecz dedykowanych aplikacji bankowości elektronicznej. Aplikacje oferują lepszą wygodę dostępu do bankowości mobilnej jednocześnie zapewniając znacznie wyższy stopień bezpieczeństwa i odporności na ataki. W przypadku bankowości mobilnej  w wersji aplikacyjnej istnieje też możliwość nadzoru nad kanałem dystrybucji aplikacji, tj. drogą dostarczenia jej od zaufanego źródła do telefonu użytkownika. Możliwe jest też zastosowanie w samej aplikacji znacznie szerszego wachlarza mechanizmów bezpieczeństwa, jak silne uwierzytelnienie użytkownika i silne szyfrowanie i bezpieczny podpis transakcji.

 

 



Informacja prasowa/E2H
Źródło:
Tematy
Nie tylko 0 zł za konto. Sprawdź, które rachunki firmowe naprawdę się opłacają
Nie tylko 0 zł za konto. Sprawdź, które rachunki firmowe naprawdę się opłacają

Komentarze (2)

dodaj komentarz
~leszcz
Nie tak do końca, ponieważ logowanie wymaga podania loginu, hasła i jednorazowego kodu wygenerowanego przez token (np. eurobank). Fakt, że można zdobyć login i hasło, ale kody już nie tak prosto.
~marcinek
odniosę się do ostatniej części artykułu tj. do aplikacji na telefon; obecnie w różnego rodzaju marketach aplikacji do systemow urządzeń mobilnych (pochodzących od apple, google, samsung, etc.) istnieje masa programów, których autorzy nie są do końca zweryfikowani a co najważniejsze skąpilowane pliki instalowane na naszym urządzeniu odniosę się do ostatniej części artykułu tj. do aplikacji na telefon; obecnie w różnego rodzaju marketach aplikacji do systemow urządzeń mobilnych (pochodzących od apple, google, samsung, etc.) istnieje masa programów, których autorzy nie są do końca zweryfikowani a co najważniejsze skąpilowane pliki instalowane na naszym urządzeniu nie podlegają lustracji pod względem ich funkcjonowania mając na uwadze aspekt bezpieczeństwa; bez (większego) problemu można dodać swoją aplikację do tych sklepów online i nakłonić Kowalskiego do jej pobrania w opisie dając szereg korzyści np: nazwa aplikacji to SecureBANK_xxx_online a w opisie podkreślenie, że to oficjalny produkt banku _xxx_, dzięki któremu możemy BEZPIECZNIE korzystać z systemu platności i takie tam.

Co niektóre banki ostrzegają, iż nie należy pobierać żadnych aplikacji na telefon komórkowy, ale to wkrotce się zmieni i wtedy użytkownik będzie przekonany, że jego działanie jest w 100% bezpieczne a tu niemiła niespodzianka: uruchamia aplikacje, loguje się podając login i hasło, co dalej zrobi to już nie ważne, jakich dodatkowych zabezpieczeń używa do potwierdzania operacji to już nie istotna sprawa -- zły czlowiek ma najważniejsze, login i haslo (po kilku logowaniach napewno będzie mial pelne hasło) a na pozostale zabezpieczenia ma czas, aby je obejść, gdyż z czasem napewno to komuś się uda.

to tylko skromna opinia przedstawiająca realny scenariusz z życia -- już tysiące ludzi stało się ofiarami to i tu mamy kolejną niebezpieczną ścieżkę

Powiązane: Nowe technologie

Polecane

Najnowsze

Popularne

Ważne linki