1.1.2014. na snagu stupa Odluka o minimalnim standardima upravljanja informacionim sistemom finansijske institucije koju je donela NBS. Pitanje problematike ove odluke i njen uticaj na korisničko iskustvo pokrenuli su na društvenim mrežama korisnici banke Intesa kojima je banka 27. decembra poslala sledeći e-mail: printscreen.
U ovom tekstu analiziraćemo odluku Narodne banke i diskutovati o značaju dvofaktorske autentifikacije za online sigurnost. Šta ćemo raditi nakon kucanja korisničkog imena i lozinke?

Photo credit: newerabank.com
Šta je dvofaktorska autentifikacija po NBS-u?
Na trećoj strani odluke (tačka 26) definisana je autentifikacija:
Dalje, u tački 50 (18. strana), gde se govori o elektronskom bankarstvu kaže se:
Banka je dužna da, pri izvršavanju platnih transakcija u okviru elektronskog bankarstva, obezbedi da autentifikacija korisnika tog bankarstva uključi kombinaciju najmanje dva elementa za potvrđivanje korisničkog identiteta.
Sama definicija nije baš najpreciznija pogotovo ukoliko imamo u vidu da je ovo obavezujuća odluka koja će uticati na sve banke u Srbiji i milione njihovih korisnika. Pominju se tokeni, čip kartice, kriptografski ključevi. U pitanju su skupi sistemi, a neki pomenuti u ovoj odluci polako izlaze iz upotrebe. Pretpostavljam da je među bankama nastala pometnja jer se recimo nigde ne spominje SMS kod, koji određene banke koriste kao drugi stepen u verifikaciji. Da li znate da SMS kod u određenim situacijama može biti sigurniji od, recimo, čip kartice ili sertifikata na CD-u?
Takođe u odluci se spominje i biometrija kao vid autentifikacije čiji sam velki protivnik. Biometrija, u konkretnoj sutaciji (govorimo o online bankarstvu za fizička lica), koštaće mnogo, ubiće UX i dodatno zakomplikovati sistem, negativno će uticati na privatnost korisnika a za uzvrat ćemo dobiti stepen sigurnosti koji nam u ovoj sutuaciji nije potreban. Ne pokušavamo da lansiramo nuklearnu raketu, želimo samo da platimo račun za struju.
Ja zastupam teoriju da je svaki sistem hakabilan i moguće ga je kompromitovati. Jedini 100% siguran sistem je onaj koji ne funkcioniše. U odluci NBS-a potpuno su zanemareni mobilni uređaji koji danas imaju moć da na jako ekonomičan način pruže korisnicima dodatnu zaštitu.
Online bankarstvo je tu da nam olakša novčane transakcije i uštedi vreme.
Ipak, potreba za dvofaktorskom autentifikacijom u online bankarstvu zaista je opravdana, čak i za obične korisnike. Zbog toga je jako važno šta ćemo i kako odabrati u našem sistemu zaštite. Kako onda da taj sistem učinimo sigurnijim? Kako da nam sigurnost ne bude ubica korisničkog iskustva?
Šta stvarno treba da bude dvofaktorska autentifikacija i šta smeta korisnicima banke Intesa?
Sigurna dvofaktorska autentificakcija treba da podrazumeva suštinsku odvojenost dva faktora autentifikacije. Jedino na taj način može opravdati svoje postojanje. Takav sistem omogućen vam je na Twitter-u, Facebook-u i Google-u ali ne i uvek i online bankarstvu.
Pojasniću primerima šta želim da kažem. Da bi se neko ulogovao na vaš Google nalog koji je zaštićen dvofaktorskom autentifikacijom mora da poseduje vaše korisničko ime i lozinku (faktor 1), mora da ima pristup vašem telefonu na koji je google poslao jednokratni kod za logovanje (faktor 2). Ako ste bili meta phishing napada i ukradena vam je lozinka vaš nalog i dalje ostaje siguran i nekompromitovan.
Pređimo sada na online bankarstvo i pojednostavljenu situaciju gde haker kontroliše vaš računar pomoću nekog malicioznog RAT softvera. Namerno spominjem RAT jer ga za napade mogu koristiti i tehnički nenapredna lica. Na primer, DarkComet RAT ima vrlo jednostavan interfejs i vrlo lako se podešava. Potrebno je samo uz malo društvenog inženjeringa naterati žrtvu da instalira softver. Tada napadač ima potpunu kontrolu nad vašim računarom.
Kako vas od ovakvog napada štiti SMS kao drugi faktor autentifikacije plaćanja?
U ovoj situaciji napadač bi samo mogao da vas posmatra kako vršite novčane transakcije. Sam ne bi mogao da izvrši nijednu transakciju jer nema u posedu vaš telefon i ne može da dođe do SMS koda koji je potreban da bi se potvrdilo plaćanje.
Kao vas od ovakvog napada štiti CD koji koristi Intesa?
Zbog zastarelosti tehnologije i činjenice da sve više računara ne koristi CD rom u Intesi su dozvolili kopiranje sertifikata na USB ili hard disk. Samim tim drugi faktor autentifikacije gotovo da gubi smisao u ovakvim vrstama napada. Napadač bi vas posmatrao i gledao kako vršite prvo plaćanje (ili bi pustio key logger da odradi taj deo posla). Pošto vam se drugi autentifikacioni faktor nalazi na samom računaru napadač ne bi imao prepreku da sam obavi transfer novca na bilo koji račun.
U ovom primeru vidljiva je razlika u sigurnosti. Uporedimo sada ova dva sistema sa stanovišta korisničkog iskustva. Ovde lepo možemo videti kako komplikovaniji sistem (sertifikat vezan sa vaš nalog vs. SMS kod) ne znači uvek više sigurnosti.
Zašto dolazi od ove razlike? Jednostavno, suštinska odvojenost dva faktora autentifikacije, u najvećem broju situacija, zahtevaće od potencijalnog napadača da hakuje dva sistema što je moguće, ali mnogo manje verovatno i znatno teže.
Sa druge strane, kada vršimo sigurnosne procene i razvijamo nove sisteme neodgovorno je razmišljati samo o sigurnosti. Cilj profesionalaca koji se bave sigurnošću nije da naprave siguran sistem već da naprave siguran sistem koji može da se koristi.
Slazem se sa celim clankom, ali bih dodao jos par stvari.
Naprimer, 2 step verification nije toliko siguran, kao ni ostale metode. I kao sto si sam rekao, svu su hackable, no, sta hocu da kazem.
Kada dodjete u situaciju da vas neko prati (zarazio Vas virusom. u ovom slucaju RAT). Moze dobiti sve informacije.
Opste je poznato, da se 2 step verification kodovi ponavljaju. Tj. da korisnik ima odedjen broj dodeljenih kodova koji se non stop ponavljaju.
Uzecemo u obzir Facebook. Ako Vas hacker prati danima, pokupice sve kodove i ova metoda „sigurnosti“ nece biti toliko korisna.
Druga stvar, ukoliko korisnik, kao sto vecina radi, snimi svoj racunar. Tj. stiklira opciju „dont ask me anymore for this computer“, opet dolazi u opasnost jer se te stvari smestaju na komp i moguce je ukrasti ih.
Te ispada da ni ova metoda nije toliko sigurna, cak sta vise spada u istu kategoriju sigurnosti kao i kopija sa USB-a, CD-a itd.
Jedina sigurnosna metoda koju bih ja uveo je SMS Verification. Sta to znaci?
Ukoliko vrsite neku transakciju od banke dobijete Temp PIN kod koji morate vratiti SMSom kako bi potvrdili transakciju.
Ova metoda je mnogo sigurnija od 2 step verifikacije, i jednostavija je, jer svi koristimo telefone i znamo da odgovorimo na poruku. A poruka stize direktno korisniku, te je nemoguce, iako je korisnik hakovan, da ne ko sazna PIN osim njega (osim ako mu ne ukradu i telefon:)).
Hvala na komentaru. Kao što sam napisao, a to izgleda mnogi previde, suština za 2 step je što veća odvojenost dva faktora to veća sigurnost.
Tvoj primer za SMS gađa taj deo jako dobro. Odličan i za sigurnost i za UX. Ne gledaš u telefon pa prekucavaš na računar već sve završiš na telefonu.
Ovo što si napomenuo za ponavljanje kodova, sa tim nisam upoznat. To je prilično problematična stvar. Imaš neki link da podeliš?
[…] softver. Jako interesantna i nedovoljno obrađena tema koje sam se, delimično, dotakao u jednom od prethodnih postova. Uskoro ću sa vama podeliti više detalja a kompletan rad biće prezentovan na Zlatiboru. U […]