[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Fri May 14 12:30:35 EDT 2010


On 2010-05-14 18:05, Tomasz Dudzisz wrote:
>> Inna sprawa, że uznawanie tokenu challenge-response w telefonie za
>> rozwiązanie lepsze niż kody SMS jest, przynajmniej dla mnie,
>> kontrowersyjne. To tak odnośnie kryteriów "lepszości".

> Rozwiniesz myśl? Albo uzasadnisz?

W przypadku kodu SMS użytkownik dostaje informacje na temat realizowanej
operacji przy pomocy innego kanału komunikacji, którego atakujący
najprawdopodobniej nie kontroluje. Ma więc szansę sprawdzić, czy
operacja, która dotarła do serwera jest rzeczywiście tą, którą wpisał w
przeglądarce. Być może malware skutecznie podmienił jej parametry, a to,
co widzi na stronach, to tylko fikcja stworzona przez malware (patrz:
URLZone).

W przypadku tych rozwiązań challenge-response, z którymi miałem bliższy
kontakt, takiego niezależnego kanału komunikacji (zwykle) nie ma.
Umieszczanie informacji w challenge też jest problematyczne ze względu
na używalność takiego rozwiązania. Klient musi przepisać challenge,
jeśli będzie za długie, wygoda całości spadnie i (...).

Kolejne zagadnienie - ile cyfr identyfikuje rachunek bankowy? Które są
to cyfry? Czy można stworzyć "kolizję"? Można
(http://wampir.mroczna-zaloga.org/archives/821-co-identyfikuje-rachunek-czyli-ile-cyfr-niewystarczy.html).
To dotyczy zarówno SMS jak i ewentualnego umieszczania w challenge
parametrów transakcji. Niektóre banki przesyłają mniej informacji w SMS,
inne więcej. Co prawda te rozważania mogą być trochę akademickie, bo
spora część użytkowników nie patrzy na dane przesłane w SMS...

Możemy dyskutować dalej i rozpatrywać na przykład niezaprzeczalność. Tu
token może być lepszy niż SMS, który w praktyce jest "shared secret".
Tylko trzeba się też zastanowić co jest ważniejsze. Czy lepiej jest w
niezaprzeczalny sposób potwierdzić w praktyce nieznaną transakcję, czy
też autoryzować konkretną transakcję o znanych parametrach w sposób,
którego niezaprzeczalność można podważyć.

I tak dalej, i tak dalej... :)

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list