Menu

wnp.pl - portal gospodarczy

Szukaj

Słabe i mocne strony autoryzacji transakcji internetowych

Autor: wnp.pl (WGK)
13-11-2014 05:33

Systemy autoryzacji transakcji w bankowości internetowej i mobilnej nie są idealne, żaden nie zapewnia 100-procentowego bezpieczeństwa. Do najbezpieczniejszych rozwiązań należą hasła SMS, jednak skuteczność jest różna w różnych krajach. Najsłabszym ogniwem systemów autoryzacji transakcji jest zwykle ich użytkownik.

Z różnych metod autoryzacji transakcji internetowych i mobilnych korzysta w Polsce ponad 8 milionów klientów banków. W większości nie są świadomi poziomu ich bezpieczeństwa, choć sami stanowią najsłabsze ogniwo - często to właśnie na nich spoczywa ciężar ostatecznej weryfikacji prawdziwości wykonywanej transakcji.
Przechwycenie danych użytkowników przez cyberprzestępców prowadzi do możliwości m.in. modyfikacji numeru rachunku „zaufanego” przelewu, samodzielnego przeprowadzenia operacji lub powtórzenia już wykonanej, czy dowolnej modyfikacji informacji wyświetlanej w interfejsie bankowości z ukryciem przed użytkownikiem dokonanych modyfikacji.

Zdrapki, tokeny i podpis cyfrowy

Według ekspertów z firmy Wheel Systems i analizy Pawła Golenia, IT Risk & Specialist w UBS, właściwie żadna z popularnych metod autoryzacji nie jest pozbawiona wad. Część banków wciąż stosuje karty TAN (karty zdrapki z hasłami jednorazowymi), jednak jest to metoda nie dostosowana do dzisiejszych zagrożeń, gdyż hasła z karty TAN nie są w żaden sposób powiązane z operacją, którą potwierdzają. Innym rozwiązaniem jest token sprzętowy generujący zmienne hasła z upływem czasu, często z dodatkowym wymogiem potwierdzenia operacji kodem PIN. Ale jak w poprzednim przypadku wygenerowane hasło nie jest powiązane z potwierdzaną operacją. Po jego przechwyceniu można nim potwierdzić dowolną inną operację. Jeśli na komputerze klienta działa złośliwe oprogramowanie, może ono np. podmienić numer konta w wykonywanym przelewie.

Do bezpieczniejszych rozwiązań należy podpis cyfrowy wymagający podłączenia do komputera lub telefonu czytnika i wsunięcie do niego odpowiedniej karty z kluczem prywatnym. Klucz ten, po podaniu kodu PIN, jest wykorzystywany do podpisania określonych danych autoryzujących konkretną transakcję. Jednak jeśli urządzenie jest zainfekowane złośliwym oprogramowaniem, przestępca może modyfikować proces autoryzacji. Jeśli dodatkowo karta tkwi w czytniku, istnieje ryzyko nadużycia ze strony złośliwego oprogramowania i autoryzację operacji bez fizycznego udziału i poza świadomością użytkownika.

KOMENTARZE (0)

Artykuł nie posiada jeszcze komentarzy! Twój może być pierwszy. Wypowiedz się!



SUBSKRYBUJ WNP.PL

NEWSLETTER

Najważniejsze informacje portalu wnp.pl prosto do Twojej skrzynki pocztowej

Wnp.pl: polub nas na Facebooku


Wnp.pl: dołącz do nas na Google+


43 570 ofert w bazie

POLECANE OFERTY

1 048 524 ofert w bazie

POLECANE OFERTY

5 763 ofert w bazie

2 782 331 ofert w bazie


397 664 ofert w bazie

GORĄCE KOMUNIKATY

Wyszukiwanie zaawansowane
  • parking
  • bankiet
  • catering
  • spa
  • klub
  • usługi
  • rekreacja
  • restauracja
467 ofert w bazie

POLECAMY W SERWISACH GRUPY PTWP