7.11.04
Vícefaktorová autentizace - odpověď na phishing
Před rokem vznikla pracovní skupina APWG. Kromě osvěty pro veřejnost a to i tu odbornou publikuje informace o trendech a pořádá semináře. Nutno podotknout, že problémem podvodných mailů jsou nejvíce postiženy banky v anglicky mluvících zemích. Potom služby jako PayPal a eBay. Společně se Citibank jsou mezi rhybáři nejoblíbenější. A samozřejmě jsou postiženi jejich klienti. Problém podvodných mailů přináší různé názory na řešení. Nejdůležitější jsou samozřejmě osvícení uživatelé, kteří spoléhají na zdravý rozum. Ne všichni jsou takoví. Potom se nabízí technická opatření.
První oblastí obrany je blokování serverů. Jednak webovských serverů, na kterých jsou věrohodně podvrženy stránky s formulářem pro zadání čísla konta, čísla karty, PINu. Banky si mohou objednat sledování webu a zachytit čerstvě podvržené stránky. Jednak poštovních serverů, ze kterých jsou rozesílány podvržené maily.
Lze využít i anti-spamových prostředků. Phishing je totiž podmnožinou spamu. U reklamní navyžádané pošty přicházejí uživatelé také někdy o peníze, ale to jsou drobné ve srovnání s vybíleným bankovním účtem.
Nejúčinější metodou je vylepšit autentizační metodu. Místo klasického tajemství (statického hesla) přidat ještě jeden faktor - token. To je malý předmět, který musí mít klient v držení, aby se mohl přihlásit do své internetové banky. Tokenem může být čipová karta, USB token, mobilní telefon. Využívají se certifikáty, jednorázová hesla. Evropské i naše banky se skutečně snaží dvoufaktorovou autentizaci klientům nabízet. Jinak je to v USA. Uvedu několik argumentů proti tokenům, které se objevili v diskuzi na APWG.
¶ 14:23
Před rokem vznikla pracovní skupina APWG. Kromě osvěty pro veřejnost a to i tu odbornou publikuje informace o trendech a pořádá semináře. Nutno podotknout, že problémem podvodných mailů jsou nejvíce postiženy banky v anglicky mluvících zemích. Potom služby jako PayPal a eBay. Společně se Citibank jsou mezi rhybáři nejoblíbenější. A samozřejmě jsou postiženi jejich klienti. Problém podvodných mailů přináší různé názory na řešení. Nejdůležitější jsou samozřejmě osvícení uživatelé, kteří spoléhají na zdravý rozum. Ne všichni jsou takoví. Potom se nabízí technická opatření.
První oblastí obrany je blokování serverů. Jednak webovských serverů, na kterých jsou věrohodně podvrženy stránky s formulářem pro zadání čísla konta, čísla karty, PINu. Banky si mohou objednat sledování webu a zachytit čerstvě podvržené stránky. Jednak poštovních serverů, ze kterých jsou rozesílány podvržené maily.
Lze využít i anti-spamových prostředků. Phishing je totiž podmnožinou spamu. U reklamní navyžádané pošty přicházejí uživatelé také někdy o peníze, ale to jsou drobné ve srovnání s vybíleným bankovním účtem.
Nejúčinější metodou je vylepšit autentizační metodu. Místo klasického tajemství (statického hesla) přidat ještě jeden faktor - token. To je malý předmět, který musí mít klient v držení, aby se mohl přihlásit do své internetové banky. Tokenem může být čipová karta, USB token, mobilní telefon. Využívají se certifikáty, jednorázová hesla. Evropské i naše banky se skutečně snaží dvoufaktorovou autentizaci klientům nabízet. Jinak je to v USA. Uvedu několik argumentů proti tokenům, které se objevili v diskuzi na APWG.
- Masivní ekonomická a logistická zátěž, kdy se musí vybavit tokenem milióny uživatelů. PayPal - 50M uživatelů. Citigroup - 200M zákazníků ve 100 zemích světa. Americký bankovní sektor zaplavuje svoje klienty nabídkami "free" produktů. Do toho nezapadají měsíční poplatky za bezpečnost, které by zákonitě přišly.
- Uživatel by musel nosit několik tokenů, tak jako musí nosit víc platebních karet. Jednotné řešení a standardizace chybí.
- Některé tokeny jsou také zranitelné vůči rafinovaným metodám. Trojské koně a datový odposlech mohou číhat na nepřipravené uživatele.
- Tokeny, stejně jako peněženky nebo klíčenky se často ztrácí, kradou nebo se jen někam založí.
- Zdá se, že základní internetové technologie směřují ke sbližování prostředků, ke konvergenci. Tokeny reprezentují divergenci, rozdělení komunikačních prostředků.
¶ 14:23
Komentáře:
<< Zpět
Genial dispatch and this enter helped me alot in my college assignement. Gratefulness you for your information.
Přidej komentář
# poslal 
: 19 srpna, 2010 09:23
: 19 srpna, 2010 09:23<< Zpět
