Sejf na skobel?

Kiedy po raz pierwszy pisaliśmy w CHIP-ie o rachunkach bankowych w Internecie (patrz: CHIP 10/2000), na polskim rynku było niewiele takich ofert. Po półtora roku trudno spotkać bank, który nie zapewnia swoim klientom dostępu do rachunku przez Sieć lub WAP. Rosnąca konkurencja zmusiła spóźnialskich do działania i dziś elektronicznym dostępem chwalą się prawie wszyscy. Ale czy jednakowo zadbali o bezpieczeństwo tej usługi?
archiwum
16.04.2002|Przeczytasz w 4 minuty

W czym problem?

W każdej placówce można uzyskać podobne zapewnienia – “tak, oczywiście, nasz system internetowy jest bezpieczny”. Rzeczywiście, danych przesyłanych podczas transakcji praktycznie nie da się podejrzeć. Jednak jaką bank ma pewność, że to właśnie my dokonujemy przelewu? Pobieżny przegląd stosowanych metod autoryzacji zawarliśmy w artykule o e-bankach (patrz: CHIP 12/2001 str. 170). Pomysł kolejnego tekstu na ten temat zrodził się z potrzeby uzupełnienia i uporządkowania zawartych tam informacji. Postaram się teraz prześledzić używane metody autoryzacji i uwierzytelniania oraz pokazać, co wpływa na ich bezpieczeństwo. Oczywiście przy określonych założeniach każdy system jest bezpieczny. Na przykład, jeżeli jesteśmy pewni naszego programu antywirusowego, możemy się nie bać koni trojańskich. A co, jeśli musimy dokonać przelewu z komputera kolegi, który nie używa “antywirów”? Im więcej warunków do spełnienia, tym jest to trudniejsze. Dlatego nie wszystkie metody zabezpieczania transakcji są całkowicie pewne.

Co za łatwo, to niezdrowo

Przegląd zacznę od najprostszego sposobu kontroli dostępu do konta – za pomocą identyfikatora i hasła. Placówki, które zdecydowały się tylko na taką metodę (Citibank i LG Petro Bank), postawiły na wygodę użytkownika, rezygnując z bezpieczeństwa. W tych bankach po podaniu dwóch ciągów znaków uzyskujemy dostęp do rachunku i możliwość dokonywania wszystkich operacji. Czy możemy polegać jedynie na takim sposobie autoryzacji? Zdobycie hasła oraz nazwy użytkownika przy użyciu np. konia trojańskiego jest bardzo łatwe. Jeszcze prostsze jest zwykłe podglądanie przez ramię lub wykorzystanie mechanizmu autouzupełniania dla formularzy w przeglądarce WWW.

Citibank wprowadził w styczniu możliwość zamiany czterocyfrowgo PIN-u na i-PIN, który może mieć do dwunastu znaków. Jednak zmiana mająca poprawić bezpieczeństwo moim zdaniem jeszcze bardziej je obniżyła, gdyż nowy, dłuższy i-PIN tylko prowokuje do jego zapisywania. W systemie Citibank Online funkcję identyfikatora pełni numer karty kredytowej. Dodatkowo Citibank pozwala zdefiniować przyjazną nazwę użytkownika, zastępującą ten numer. Nawet jeżeli założymy, że zdobycie lub zapamiętanie informacji o karcie nie jest zadaniem bardzo łatwym, to z nazwą użytkownika może być już o wiele prościej.

Niestety, w obu przypadkach (Citibanku i LG Petro Banku) to klient jest odpowiedzialny za wszystkie operacje i dyspozycje składane w systemie po użyciu identyfikatora i hasła. O tym, że ktoś zdobył nasze dane, przekonamy się najwcześniej, gdy z naszego rachunku znikną pierwsze pieniądze. Niewielkim pocieszeniem będzie wówczas możliwość zablokowania opróżnionego już konta. Dlatego w powyższych przypadkach najlepiej określić dość niski dzienny limit transakcji. Jeżeli jednocześnie będziemy często kontrolowali stan rachunku, mamy szansę ustrzec się przed większymi stratami.

Niezbędne minimum

To, na czym Citibank i LG Petro Bank kończą proces uwierzytelniania, w pozostałych bankach jest dopiero początkiem. Tam, oprócz identyfikatora i hasła, używane są dodatkowe metody zabezpieczania operacji.

Bank BPH i Bank Śląski stosują przy wejściu do systemu hasło maskowane, a do cyfrowego podpisywania transakcji – klucz prywatny zabezpieczony kodem. Jednak jeżeli będziemy przechowywali klucz na serwrze bankowym, to nie zwiększymy bezpie-

czeństwa. Rachunek będzie chroniony po prostu jeszcze jednym ciągiem znaków, który złodziej będzie mógł zdobyć podobnie jak nazwę użytkownika.

Znając jedynie identyfikator i hasło, można przeglądać stan i inne dane konta. Dlatego jedyną zaletą systemów Banku BPH i Banku Śląskiego jest wykorzystanie haseł maskowanych do zalogowania się w systemie. Ponieważ przy każdym wchodzeniu do systemu proszeni jesteśmy o losowo wybrane litery z całego kodu (w BSK spośród 32 znaków, a w BPH spośród od 8 do 70 znaków), potencjalny intruz potrzebuje więcej czasu na podejrzenie całego hasła. Jest jednak w stanie to zrobić!

Przeniesienie klucza prywatnego na dysk lokalny komputera znacznie zwiększa poziom bezpieczeństwa – o ile nie udostępnimy nikomu naszej maszyny. Zapłacimy za to koniecznością dokonywania operacji zawsze z tego samego miejsca, co czasami może być niewygodne. Wciąż możliwe będzie jednak “oczyszczenie” naszego konta przez kogoś, komu uda się przejąć kontrolę nad maszyną – czy to siadając przy niej, czy też zdalnie, za pomocą konia trojańskiego. Bezpieczeństwo podnosi znacznie dopiero umieszczenie klucza np. na dyskietce. Wówczas nasze oszczędności będą chronione tak dobrze, jak my sami będziemy dbali o ten nośnik. Pamiętajmy przy tym, że źle pilnowaną dyskietkę można skopiować. W takim wypadku nasz rachunek bankowy stanie przed rabusiami otworem, o czym możemy się dowiedzieć dopiero po jego opróżnieniu.

Więcej:bezcatnews
UdostępnijTwitter