Problemi autentifikacije i bezbednosni aspekti e banking i mbanking sistema

Problemi autentifikacije i bezbednosni aspekti eBanking i mBanking sistema

ICT Security 2015Hotel Aquastar Danube, Kladovo,14-16.5.2014.

Luka Milinković [email protected]

rs.linkedin.com/in/lukamilinkovic

mailto:[email protected]

https://www.linkedin.com/in/lukamilinkovic

Elektronsko i mobilno bankarstvo

• Od 2010. do 2014. vrednost transakcija preko mobilnih uređaja se povećala 7 puta

• eBanking

• mBanking

• mPay

2Hotel Aquastar Danube, KladovoICT Security 2015

eBanking i mBanking

• Bolja evidencija i analiza troškova

• Nema provizije

• Nema čekanja u redu

• Plaćanje iz inostranstva

• Plaćanje u bilo kom trenutku (i sa bilo koje lokacije)


eBanking

• Podnošenje zahteva u ekspozituri

• Korisničko ime se šalje na e-mail

• Lozinka se preuzima u ekspozituri, a poželjno ju je promeniti• Drofaktorska autentifikacija pomoću kartice ili USB flash memorije

sa sertifikatom

• Postoji lista odobrenih računa uz mogućnost dodavanja novih – SMS ili mToken potvrda


mBanking

• Podnošenje zahteva u ekspozituri

• U SMS poruci stiže link za aplikaciju ili se može preuzeti iz ovlašćene internet prodavnice (Apple, Google)

• U novoj SMS poruci stiže aktivacioni kod

• Nakon instalacije i unošenja aktivacionog koda sami birate PIN ili lozinku


mBanking

• Po instalaciji formira se privatni ključ za kriptovanje komunikacije (IPsec protokol) između mobilnog telefona i banke

• Privatni ključ se štiti PIN-om ili lozinkom

• Sve informacije o radu u aplikaciji se brišu nakon izlaska iz nje

• Automatski izlazak nakon definisanog vremena neaktivnosti


mBanking

• Nakon 3 pogrešna unosa lozinke aplikacija se zaključava

• Potrebno je ceo proces ponoviti, kako bi se ovaj servis ponovo uspostavio

• Postoji lista odobrenih računa uz mogućnost dodavanja novih – SMS ili mToken potvrda


Autentifikacija

• Nešto što znam• Lozinka, PIN

• Nešto što imam• Mobilni uređaj, token• Kartica, USB flash memorija

• Nešto što jesam• Biometrijski podaci (otisak prsta, ona dužica, glas)


Nešto što znam

• PIN – kratak, samo cifre

• Pitanja na koja treba dati tačan odgovor

• Lozinka


Nešto što imam

• Identifikacione kartice

• Platne kartice• Kartice koje se mogu koristiti na internetu• PIN ili potpis

• Mobilni telefon za slanje verifikacionih kodova

• Token i USB flash memorija


Nešto što jesam

• Smatra se da su pojedini biometrijski podaci jedinstveni

• Autentifikacija pomoću kartice i otiska prsta

• Hakovanje pomoću fotografija• Jan Krissler, Ursula von der Leyer• Lepljive trake

• Nisu zamenljivi



Lozinke

Lozinke

• Često je uslov korišćenje karaktera iz minimum 3 grupe

• Vrste napada• Krađa otvorenih lozinki• Pogađanje• Krađa šifrovanih lozinki


PasswordHash

UsernameH(P)

Napad rečnikom

• Najčešće korišćene lozinke• 12345678 mypassword sifrasifra

• Poznate reči i najčešće korišćene fraze• mathematics telecommunication iloveyou letmein

• Kombinacija malih slova (reči) i cifara i/ili simbola• mathematics*+ book4%computer abcd45ppp

• Sva 4 skupa• Book4%computer Mathematics1. ABCD45ppp.


Napad rečnikom

• Slova zamenjena sa ciframa i simbolima• P@$$w0rd (Password) 10z1nk@ (lozinka)

• Lanac karaktera sa tastature• qwertyuio asdfvbnm 1q2w3e4r5t


Napad na šifrovane lozinke

• Napad grubom silom

• Napad rečnikom• Veoma čest napad• 12 do15 karaktera

Wi – reč i

H(Wi) – heš reči i

H(P) – heš lozinke


Dictionary

Hash

X

Wi

H(Wi)

i=1i++

H(P)False

True

P = Wi

Analiza kombinacije skupova

• 15 kombinacija, a 11 različitih


1

Nl

Nu

Nd

Ns

2

Nl+Nu

Nl+Nd

Nl+Ns

Nu+Nd

Nu+Ns

Nd+Ns

3

Nl+Nu+Nd

Nl+Nu+Ns

Nl+Nd+Ns

Nu+Nd+Ns

4

Nl+Nu+Nd+Ns

Analiza kombinacije skupova


Predlog bezbednih lozinki


Lozinke otporne na napad rečnikom Dužina Kaspersky procena

Kako ih pamtite?

Kraće lozinke sastavljene od nasumično izabranih karaktera iz sva 4 skupa ≥10 >10k vekova

>30 godina Teško

Kraće lozinke sastavljene od nasumično izabranih karaktera najmanje 3 skupa ≥12 >10k vekova

>31 godina Teško

Dugačke lozinke sa karakterima iz 2 skupa, npr. danas/je+radni-dan* ≥17 >10k vekova

>2815 vekova Lako

Dugačke lozinke sa karekterima iz istog skupa, ali ne cifre, npr. prekosutraidemnapecanje ≥22 >10k vekova

>324 veka Lako

Dugačke lozinke kao niz karakatera sa tastature, npr. ,lp-0okmnji98uhbvgy76tfcxdr5 ≥26 >10k vekova

>10 m Lako

Dugačke lozinke sa karekterima iz skupa cifara ≥30 1s–10k vekova Lako/Teško

Kako postići bezbednost?

• Dvofaktorska (višefaktorska) autentifikacija

• Duže lozinke su lakše za pamćenje• Obavezno zaključavanje mobilnih uređaja i desktop računara

• Komunikacija preko IPsec protokola, uz primenu najnovijih algoritama za kriptovanje• AES, SHA-3…

• Budućnost: jednokratne lozinke?


Kako postići bezbednost?

• SMS ili e-mail obaveštenja• Promena stanja na računu• Slanje aktivacionog koda, korisničkog imena

• Kompromis – bezbednost i jednostavnost

Nikada bezbednost ne može biti 100%, niti rizik od pretnji 0%. Ipak, može se nastojati da se poveća stepen bezbednosti, a smanji rizik.


Hvala.

ICT Security 2015Hotel Aquastar Danube, Kladovo,14-16.5.2014.

Luka Milinković [email protected]

rs.linkedin.com/in/lukamilinkovic

mailto:[email protected]

https://www.linkedin.com/in/lukamilinkovic

Economy & Finance

Problemi autentifikacije i bezbednosni aspekti e banking i mbanking sistema