[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Jabłoński, Paweł PJablonski at ivmx.pl
Sat May 15 09:38:16 EDT 2010


Cześć. Z chęcią przyłączę się do dyskusji, gdyż akurat programuję w zespole 
implementującym nowy sposób uwierzytelniania i autoryzacji transakcji dla jednych 
z banków, objętych rankingiem. Integrujemy rozwiązanie wspierające właśnie 
mobile/hardware OTP, CR, MAC, MDS, TDS, etc.

> Jeśli response jest wyliczany na podstawie przykładowo 8
> znaków challenge, to nie ma takiej możliwości, by zakodować na nich dane
> jednoznacznie identyfikujące transakcję.

Tak, ale jak pewnie wiesz standardem jest obecnie wzbogacanie response.

Przykładowy scenariusz dla transakcji (z numerem rachunku):
1. Klient wprowadza w komórce challenge widoczny na ekranie transakcji
2. Soft na kom. generuje np. 7-cyfrowy ciąg znaków (określone dane transakcji)
3. Soft na kom. wyświetla monit o podanie kwoty przelewu
4. Soft prezentuje finalny 7-cyfrowy response
5. Klient wprowadza response na ekranie transakcji
6. Ekran prezentuje jakie dane zawiera response i pyta o dane dodatkowe:
a) W zależności od typu transakcji np. 2 pier. i 5 ost. cyfr rach., oraz kwotę.

> Proste założenie - aplikacja CR na komórkę jest lepsza niż kody
> przesyłane przez SMS jest nieuzasadnione.
> A teraz poproszę o argumenty wyższości CR nad SMS.

Ja myślę, że oba te sposoby mają plusy i minusy, także ciężko szufladkować.
CR wymaga większej interakcji z Klientem, stąd większe prawdopodobieństwo,
że Klient czyta co jest napisane, rozumuje, wie co robi i wie co się stanie.

Pozdrawiam,
Paweł Jabłoński


More information about the Owasp-poland mailing list