Vícefaktorová autentizace - odpověď na phishing
Před rokem vznikla pracovní skupina
APWG. Kromě osvěty pro veřejnost a to i tu odbornou publikuje informace o trendech a pořádá semináře. Nutno podotknout, že problémem podvodných mailů jsou nejvíce postiženy banky v anglicky mluvících zemích. Potom služby jako
PayPal a
eBay. Společně se
Citibank jsou mezi rhybáři nejoblíbenější. A samozřejmě jsou postiženi jejich klienti. Problém podvodných mailů přináší různé názory na řešení. Nejdůležitější jsou samozřejmě osvícení uživatelé, kteří spoléhají na zdravý rozum. Ne všichni jsou takoví. Potom se nabízí technická opatření.
První oblastí obrany je blokování serverů. Jednak webovských serverů, na kterých jsou věrohodně podvrženy stránky s formulářem pro zadání čísla konta, čísla karty, PINu. Banky si mohou objednat
sledování webu a zachytit čerstvě podvržené stránky. Jednak
poštovních serverů, ze kterých jsou rozesílány podvržené maily.
Lze využít i anti-spamových prostředků. Phishing je totiž podmnožinou spamu. U reklamní navyžádané pošty přicházejí uživatelé také někdy o peníze, ale to jsou drobné ve srovnání s vybíleným bankovním účtem.
Nejúčinější metodou je vylepšit autentizační metodu. Místo klasického tajemství (statického hesla) přidat ještě jeden faktor - token. To je malý předmět, který musí mít klient v držení, aby se mohl přihlásit do své internetové banky. Tokenem může být čipová karta, USB token, mobilní telefon. Využívají se certifikáty, jednorázová hesla. Evropské i naše banky se skutečně snaží dvoufaktorovou autentizaci klientům nabízet. Jinak je to v USA. Uvedu několik argumentů proti tokenům, které se objevili v diskuzi na
APWG.
- Masivní ekonomická a logistická zátěž, kdy se musí vybavit tokenem milióny uživatelů. PayPal - 50M uživatelů. Citigroup - 200M zákazníků ve 100 zemích světa. Americký bankovní sektor zaplavuje svoje klienty nabídkami "free" produktů. Do toho nezapadají měsíční poplatky za bezpečnost, které by zákonitě přišly.
- Uživatel by musel nosit několik tokenů, tak jako musí nosit víc platebních karet. Jednotné řešení a standardizace chybí.
- Některé tokeny jsou také zranitelné vůči rafinovaným metodám. Trojské koně a datový odposlech mohou číhat na nepřipravené uživatele.
- Tokeny, stejně jako peněženky nebo klíčenky se často ztrácí, kradou nebo se jen někam založí.
- Zdá se, že základní internetové technologie směřují ke sbližování prostředků, ke konvergenci. Tokeny reprezentují divergenci, rozdělení komunikačních prostředků.
I vy používáte vícefaktorovou autentizaci ve vaší internetové bance? Tolerovali byste přihlášení pomocí statického hesla?