[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Tomasz Dudzisz mem at unnameden.com
Fri May 14 12:56:38 EDT 2010


On Fri, 14 May 2010 18:30:35 +0200, Paweł Goleń
<pawlłel.golen at gmailze.com>
wrote:

> W przypadku kodu SMS użytkownik dostaje informacje na temat realizowanej
> operacji przy pomocy innego kanału komunikacji, którego atakujący
> najprawdopodobniej nie kontroluje. Ma więc szansę sprawdzić, czy
> operacja, która dotarła do serwera jest rzeczywiście tą, którą wpisał w
> przeglądarce. Być może malware skutecznie podmienił jej parametry, a to,
> co widzi na stronach, to tylko fikcja stworzona przez malware (patrz:
> URLZone).

Bylo sporo o atakach na SMSy - nie jest to takie trudne (chociazby
wyrobienie sobie duplikatu karty SIM ofiary).

> W przypadku tych rozwiązań challenge-response, z którymi miałem bliższy
> kontakt, takiego niezależnego kanału komunikacji (zwykle) nie ma.
> Umieszczanie informacji w challenge też jest problematyczne ze względu
> na używalność takiego rozwiązania. Klient musi przepisać challenge,
> jeśli będzie za długie, wygoda całości spadnie i (...).

No tak - ale Ty mówisz o używalności, a ranking porównywał bezpieczeństwo
i dlatego zapytałem. Być może dotychczasowe rozwiązania zrzucenia 
przeprowadzenia operacji CR na klienta są niezbyt wygodne - wierzę, że
da się to zrobić lepiej (np odczytanie kodu aztec telefonem z ekranu
komputera czy coś równie mechanicznie prostego) - ale w kontekście 
bezpieczeństwa trudno mi uznać SMSy za lepsze czy równie dobre jak 
tokeny CR.

-- 
TD


More information about the Owasp-poland mailing list