IT@BANK 2014: Mity dwuskładnikowego uwierzytelniania

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

bank.2014.11.foto.054.150xWiele banków chroni dane uwierzytelniające zwykłym identyfikatorem i hasłem. Wpisanie tych dwóch informacji często daje dostęp do firmowych baz danych, kont pocztowych i innych informacji poufnych. A przecież hasła są uznane za jeden z najmniej bezpiecznych sposobów zabezpieczeń. Wielu użytkowników wybiera proste hasła, które mogą być łatwo złamane lub odgadnięte.

Marcin Spychała
Security Strategist IBM Software

Jednym z praktycznych sposobów uzupełnienia procesu uwierzytelniania jest dodanie kolejnego elementu weryfikacyjnego po sekwencji użytkownik/ hasło. Skoro hasło to czynnik, który użytkownik zna, często przyjmuje się, że dodanie czynnika, który użytkownik posiada, pomoże kontrolować proces logowania i zapewni ochronę nawet przy słabym haśle.

Dla europejskich banków dwuskładnikowe uwierzytelnianie stało się sposobem na bezpieczne logowanie. Wiele instytucji dodało je do swojej strategii dla bankowości elektronicznej. Niezależnie czy są to tokeny haseł jednorazowych, tokeny USB, karty – zdrapki, SMS-y z hasłami jednorazowymi – dwuskładnikowe uwierzytelnienie stało się najbardziej popularną formą ochrony wśród europejskich banków.

W ostatnich latach, wraz z rozwojem technologii, coraz częściej okazuje się, że ten sposób zabezpieczeń nie jest już wystarczający. Problemy z dwuskładnikowym uwierzytelnianiem zostały uwidocznione podczas ostatnich kilku miesięcy w serii ataków na europejskie banki. Takie zabezpieczenie nie chroni przed phishingiem, nie przeciwdziała utracie tożsamości i jest wątpliwe z perspektywy doświadczeń klientów.

Problemy z dwuskładnikowym uwierzytelnieniem

● Dwuskładnikowe uwierzytelnienie a ataki typu Man-in- -the-Middle

Jedną z zaawansowanych metod ataku, podczas którego atakujący jest w stanie zmodyfikować dane pomiędzy zainfekowanym komputerem PC a systemem bankowym, nazywamy Man-in-the-Middle. Przestępca podstawia fałszywą stronę bankową i często przy użyciu socjotechnik namawia nieświadomego użytkownika do jej odwiedzenia. Ten wpisuje na niej swoje hasło, a przestępcy mogą za jego pomocą zalogować się na właściwą stronę banku. Zwykle schemat ataku wygląda następująco:

  • Użytkownik otrzymuje e-maila z linkiem do fałszywej strony.
  • Użytkownik klika na link i jest przekierowywany do fałszywej strony logowania, gdzie wpisuje swoje dane i często również jednorazowe hasło.
  • Fałszywy serwer przekierowuje te informacje do właściwej strony logowania i za ich pomocą loguje się jako klient w systemie bankowym.
  • Fałszywy serwer weryfikuje, czy logowanie się powiodło. Jeśli logowanie się udało, fałszywy serwer często wyświetla informację w rodzaju „usługa tymczasowo niedostępna” – chodzi wszak o to, by użytkownik przez chwilę nie był aktywny. W tym samym czasie przestępca ma dostęp do naszych pieniędzy i może dokonywać autoryzowanych transakcji.

● Dwuskładnikowe uwierzytelnianie a phishing

Inną metodą na obejście dwuskładnikowego uwierzytelniania jest bardziej zaawansowany phishing, gdzie ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI