[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Fri May 14 11:50:55 EDT 2010


On 2010-05-14 17:33, Paweł Krawczyk wrote:

> Najprościej zacząć od tego, kto jakie zna cele biznesowe
> uwierzytelnienia i autoryzacji w bankach bo to nie jest wcale takie
> oczywiste.

A myślisz, że w bankach jest duże zrozumienie celów biznesowych
uwierzytelnienia i autoryzacji przez "właścicieli" systemów bankowości
internetowej? Moje doświadczenia z dawnych czasów wskazują na to, że
mechanizmy te są postrzegane przez nich jako utrudnienie odstraszające
klientów i najchętniej by z nich zrezygnowali. Trochę się od tego czasu
zmieniło, jednak było kilka głośnych przypadków wyprowadzenia sporych
kwot pieniędzy i bezpieczeństwo zaczęto postrzegać jako przewagę
konkurencyjną. Inna sprawa, że dalej podejście bazuje na otrzymaniu
systemu podobnego do (tu wstawić lidera rynku), a nie wyboru
rzeczywiście najlepszej metody uwierzytelnienia po uwzględnieniu jakiejś
analizy ryzyka oraz sprawdzenia jej "używalności".

W sumie chętnie usłyszę wypowiedzi ludzi z banków, tylko nie Przemka (or
compatible) z przyczyn oczywistych :)

> Raport PCWK jest faktycznie dość słaby a przede wszystkim dlatego, że
> wrzuca do jednego worka bankowość korporacyjną i masową. A one mają
> dość odmienne potrzeby jeśli chodzi o bezpieczeństwo (np. 
> niezaprzeczalność).

Fakt. Może na razie ograniczmy się do bankowości detalicznej?
Rzeczywiście bankowość korporacyjna ma sporo specyficznych usług albo
scenariuszy użycia...

> Oceny są także wystawiane bez zdefiniowania kryterium "lepszości". Co
> z tego, że podpis elektroniczny jest "najbezpieczniejszy", skoro 
> przez lata w Fortisie korzystało z niego zaledwie kilkuset klientów 
> bo jest za to bezpieczeństwo płaci się bardzo niską używalnością?

Ten temat akurat znam bliżej. Tam poza kosztami bezpieczeństwa były
jeszcze spore problemy wynikające z wybranej technologii, co skutecznie
utrudniało wygodne korzystanie z systemu. Dość ciekawie określił to
pewien klient, którego wypowiedzi jednak z czystej przyzwoitości
przytoczyć nie mogę.

Inna sprawa, że uznawanie tokenu challenge-response w telefonie za
rozwiązanie lepsze niż kody SMS jest, przynajmniej dla mnie,
kontrowersyjne. To tak odnośnie kryteriów "lepszości".

Według mnie sens ma określenie obszarów, które będą oceniane. Następnie
można zastanowić się nad tym co w konkretnym obszarze oceniać.

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list