Upload
dejan-jeremic
View
52
Download
1
Embed Size (px)
Citation preview
Problemi autentifikacije i bezbednosni aspekti eBanking i mBanking sistema
ICT Security 2015Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković [email protected]
rs.linkedin.com/in/lukamilinkovic
Elektronsko i mobilno bankarstvo
• Od 2010. do 2014. vrednost transakcija preko mobilnih uređaja se povećala 7 puta
• eBanking
• mBanking
• mPay
2Hotel Aquastar Danube, KladovoICT Security 2015
eBanking i mBanking
• Bolja evidencija i analiza troškova
• Nema provizije
• Nema čekanja u redu
• Plaćanje iz inostranstva
• Plaćanje u bilo kom trenutku (i sa bilo koje lokacije)
3Hotel Aquastar Danube, KladovoICT Security 2015
eBanking
• Podnošenje zahteva u ekspozituri
• Korisničko ime se šalje na e-mail
• Lozinka se preuzima u ekspozituri, a poželjno ju je promeniti• Drofaktorska autentifikacija pomoću kartice ili USB flash memorije
sa sertifikatom
• Postoji lista odobrenih računa uz mogućnost dodavanja novih – SMS ili mToken potvrda
4Hotel Aquastar Danube, KladovoICT Security 2015
mBanking
• Podnošenje zahteva u ekspozituri
• U SMS poruci stiže link za aplikaciju ili se može preuzeti iz ovlašćene internet prodavnice (Apple, Google)
• U novoj SMS poruci stiže aktivacioni kod
• Nakon instalacije i unošenja aktivacionog koda sami birate PIN ili lozinku
5Hotel Aquastar Danube, KladovoICT Security 2015
mBanking
• Po instalaciji formira se privatni ključ za kriptovanje komunikacije (IPsec protokol) između mobilnog telefona i banke
• Privatni ključ se štiti PIN-om ili lozinkom
• Sve informacije o radu u aplikaciji se brišu nakon izlaska iz nje
• Automatski izlazak nakon definisanog vremena neaktivnosti
6Hotel Aquastar Danube, KladovoICT Security 2015
mBanking
• Nakon 3 pogrešna unosa lozinke aplikacija se zaključava
• Potrebno je ceo proces ponoviti, kako bi se ovaj servis ponovo uspostavio
• Postoji lista odobrenih računa uz mogućnost dodavanja novih – SMS ili mToken potvrda
7Hotel Aquastar Danube, KladovoICT Security 2015
Autentifikacija
• Nešto što znam• Lozinka, PIN
• Nešto što imam• Mobilni uređaj, token• Kartica, USB flash memorija
• Nešto što jesam• Biometrijski podaci (otisak prsta, ona dužica, glas)
8Hotel Aquastar Danube, KladovoICT Security 2015
Nešto što znam
• PIN – kratak, samo cifre
• Pitanja na koja treba dati tačan odgovor
• Lozinka
9Hotel Aquastar Danube, KladovoICT Security 2015
Nešto što imam
• Identifikacione kartice
• Platne kartice• Kartice koje se mogu koristiti na internetu• PIN ili potpis
• Mobilni telefon za slanje verifikacionih kodova
• Token i USB flash memorija
10Hotel Aquastar Danube, KladovoICT Security 2015
Nešto što jesam
• Smatra se da su pojedini biometrijski podaci jedinstveni
• Autentifikacija pomoću kartice i otiska prsta
• Hakovanje pomoću fotografija• Jan Krissler, Ursula von der Leyer• Lepljive trake
• Nisu zamenljivi
11Hotel Aquastar Danube, KladovoICT Security 2015
12Hotel Aquastar Danube, KladovoICT Security 2015
Lozinke
Lozinke
• Često je uslov korišćenje karaktera iz minimum 3 grupe
• Vrste napada• Krađa otvorenih lozinki• Pogađanje• Krađa šifrovanih lozinki
13Hotel Aquastar Danube, KladovoICT Security 2015
PasswordHash
UsernameH(P)
Napad rečnikom
• Najčešće korišćene lozinke• 12345678 mypassword sifrasifra
• Poznate reči i najčešće korišćene fraze• mathematics telecommunication iloveyou letmein
• Kombinacija malih slova (reči) i cifara i/ili simbola• mathematics*+ book4%computer abcd45ppp
• Sva 4 skupa• Book4%computer Mathematics1. ABCD45ppp.
14Hotel Aquastar Danube, KladovoICT Security 2015
Napad rečnikom
• Slova zamenjena sa ciframa i simbolima• P@$$w0rd (Password) 10z1nk@ (lozinka)
• Lanac karaktera sa tastature• qwertyuio asdfvbnm 1q2w3e4r5t
15Hotel Aquastar Danube, KladovoICT Security 2015
Napad na šifrovane lozinke
• Napad grubom silom
• Napad rečnikom• Veoma čest napad• 12 do15 karaktera
Wi – reč i
H(Wi) – heš reči i
H(P) – heš lozinke
16Hotel Aquastar Danube, KladovoICT Security 2015
Dictionary
Hash
X
Wi
H(Wi)
i=1i++
H(P)False
True
P = Wi
Analiza kombinacije skupova
• 15 kombinacija, a 11 različitih
17Hotel Aquastar Danube, KladovoICT Security 2015
1
Nl
Nu
Nd
Ns
2
Nl+Nu
Nl+Nd
Nl+Ns
Nu+Nd
Nu+Ns
Nd+Ns
3
Nl+Nu+Nd
Nl+Nu+Ns
Nl+Nd+Ns
Nu+Nd+Ns
4
Nl+Nu+Nd+Ns
Analiza kombinacije skupova
18Hotel Aquastar Danube, KladovoICT Security 2015
Predlog bezbednih lozinki
19Hotel Aquastar Danube, KladovoICT Security 2015
Lozinke otporne na napad rečnikom Dužina Kaspersky procena
Kako ih pamtite?
Kraće lozinke sastavljene od nasumično izabranih karaktera iz sva 4 skupa ≥10 >10k vekova
>30 godina Teško
Kraće lozinke sastavljene od nasumično izabranih karaktera najmanje 3 skupa ≥12 >10k vekova
>31 godina Teško
Dugačke lozinke sa karakterima iz 2 skupa, npr. danas/je+radni-dan* ≥17 >10k vekova
>2815 vekova Lako
Dugačke lozinke sa karekterima iz istog skupa, ali ne cifre, npr. prekosutraidemnapecanje ≥22 >10k vekova
>324 veka Lako
Dugačke lozinke kao niz karakatera sa tastature, npr. ,lp-0okmnji98uhbvgy76tfcxdr5 ≥26 >10k vekova
>10 m Lako
Dugačke lozinke sa karekterima iz skupa cifara ≥30 1s–10k vekova Lako/Teško
Kako postići bezbednost?
• Dvofaktorska (višefaktorska) autentifikacija
• Duže lozinke su lakše za pamćenje• Obavezno zaključavanje mobilnih uređaja i desktop računara
• Komunikacija preko IPsec protokola, uz primenu najnovijih algoritama za kriptovanje• AES, SHA-3…
• Budućnost: jednokratne lozinke?
20Hotel Aquastar Danube, KladovoICT Security 2015
Kako postići bezbednost?
• SMS ili e-mail obaveštenja• Promena stanja na računu• Slanje aktivacionog koda, korisničkog imena
• Kompromis – bezbednost i jednostavnost
Nikada bezbednost ne može biti 100%, niti rizik od pretnji 0%. Ipak, može se nastojati da se poveća stepen bezbednosti, a smanji rizik.
21Hotel Aquastar Danube, KladovoICT Security 2015
Hvala.
ICT Security 2015Hotel Aquastar Danube, Kladovo,14-16.5.2014.
Luka Milinković [email protected]
rs.linkedin.com/in/lukamilinkovic