[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Tomasz Dudzisz mem at unnameden.com
Tue May 18 07:14:58 EDT 2010


On 2010-05-15 00:51, Paweł Goleń wrote:

 > Mówię o bezpieczeństwie i używalności. Bezpieczeństwo i używalność są ze
 > sobą związane, konkretnie stoją w opozycji. Konieczne jest odpowiednie
 > wyważenie używalności i bezpieczeństwa. Zwracam uwagę, że implementacje
 > tokenów CR, które w challenge przekazywałyby do tokena podobną ilość
 > informacji, jaką użytkownik otrzymuje wraz z kodem SMS, byłyby
 > niewygodne w użytkowaniu.

I to chyba jedyny minus tokentów CR na ten moment - ale tak jak pisałem 
wcześniej, kwestia czasu by powstał wygodny sposób przekazywania 
informacji do urządzenia zewnętrznego przeprowadzającego procedurę C-R.
Moim zdaniem niezależne urządzenie generujące kody response daje wysoki 
poziom gwarancji, że nie pojawi się tutaj np atak mitm - tego w 
przypadku SMSów w tym momencie nie ma (SMSy nawet nie są szyfrowane, z 
tego co mi wiadomo) i raczej nie będzie - czyli pewność, że to co 
widzimy na ekranie jest tym co powinniśmy widzieć i tym co chcemy 
podpisać. Owszem, targetowane ataki są trudniejsze i bardziej złożone, 
ale będą coraz tańsze i nie można ich ignorować (tak jak kiedyś trudno 
było sobie wyobrazić targetowane reklamy na stronach internetowych, 
teraz jest to normą).

 > Moja nokia E51 sobie na przykład nie specjalnie radzi z kodami QR, bo
 > aparat stosunkowo słaby, a i zakurzony już niemiłosiernie...

Za dwa lata E51 będzie zabytkiem :)

 > Proste założenie - aplikacja CR na komórkę jest lepsza niż kody
 > przesyłane przez SMS jest nieuzasadnione.
 >
 > A teraz poproszę o argumenty wyższości CR nad SMS.

Generalnie zdanie mamy podobne co do przyszłości tokenów CR. Z tym, że 
nie widzę zupełnie przyszłości dla SMSów... Wady SMSów na tę chwilę:

- koszt (w przypadku banków trudno pomijalny, gwarancja dostarczenia 
SMSa kosztuje dodatkowo)
- zawodność (np brak zasięgu, przeciążenia sieci, w przypadku zwykłych 
SMSów brak gwarancji dostarczenia)

Prawdopodobieństwo tego, że ktoś w locie podmieni wektory składające się 
na kod challenge (nr konta, nr transakcji, typ transakcji, czas, zmienne 
przypisane do konta itp) by dały taki sam output w postaci kodu 
response, który zaakceptuje bank jest dość małe. No i tokeny CR to chyba 
jedyna metoda zabezpieczenia przed phishingiem w tym momencie (a raczej 
jego skutkami) - w przypadku SMS tego chyba nie ma?

-- 
TD


More information about the Owasp-poland mailing list