Dvoufaktorová autentizace


Úroveň
Zdar, tohle je námět na diskusi pro vaše IT oddělení.

Všichni víme, že SMS jako druhý faktor pro autorizaci jsou (mírně řečeno) problematické z hlediska bezpečnosti.

Spousta lidí používá Android telefony a tak pro útočníka přečtení došlé SMS je relativně jednoduchá věc, dá se udělat na dálku.

Různé authentikační klíče (jako měla svého času eBank nebo CitiBank) jsou mnohem bezpečnější, bohužel jsou ale drahé a hlavně každé bankovnictví má svůj, takže opruz. Navíc čísla se musí přepisovat z klíče na obrazovku.

Tenhle problém už před několika lety vyřešili ve https://fidoalliance.org/ a zavedli Fido U2F. O tom, že to není nějaký bláznivý pokus nějaké firmičky svědčí to, že Fido U2F používají a důvěřují mu takoví SW giganti, jako Google, Facebook, GitHub, BitBucket, .... a také vlády. Např. Gov.UK jej akceptuje, jako druhý faktor a to taky není nějaký blogísek.

Výhodou je, že máte jeden USB (nebo NFC, nebo obojí) klíč, který je společný pro všechny služby. Ten klíč stojí v nejlevnější variantě řádově malé stokoruny (v zahraničí), ale dá se oficiálně koupit i u nás (https://www.yubikey.cz/product/fido-u2f-security-key/), vyrábí ho několik výrobců (takže žádný vendor lock).

Použití je extrémně jednoduché, prostě při autorizaci ten klíč šoupnete do USB a dotknete se dotykové plošky. Žádné opisování jednorázových hesel.

Podle mě ideální druhý faktor pro banku, jen nechápu, proč to zatím žádná banka nepodporuje.

Takže otázka na Hello bank? Chcete být první?

Odpovědi: 13

Úroveň
Odznak +2
Zajímavý koncept. Docela jste zaujal moji pozornost. Nejsem sice žádný IT guru, ale na bezpečnosti mi také záleží. Proto už delší dobu bojuji za bezpečnější app. To co teď H! má, tak opravdu za bezpečné řešení nazvat nejde.Defakto žádná operace v app se nikterak nepotvrzuje ověřením identity vlastníka. Pokud tedy někdo zcizí heslo, tak je konec srandy. Argument nastavte si 0,- limit na app je blbost největšího kalibru.

Zpět k tématu. A co používat přihlášení přes Google Authenticator. Nevím jak přesně to funguje (tedy jak moc je to bezpečné), ale osobně to užívám u několika různých služeb, které tohle podporují a přijde mi to mnohem víc fajn, než SMS, které jak píšete se dají lehce u android číst dálkově.
Úroveň
Google Authenticator je taky dobrá varianta (i když si teoreticky dokážu představit nějaký útok na něj přes Accessibility API). Protokol je otevřený, těch aplikací je spousta, nejen od Google. Některé dokonce umožňují ukládání klíčů mimo mobil, právě do externího HW.

Ale na rozdíl od Fido musíte ty kódy opisovat, což je opruz. Fido funguje jak přes USB (na počítači), tak přes NFC (na mobilu, umí jen dražší klíče), takže na mobilu se jen přiloží k NFC anténě.

Je pravda, že YubiKey NEO už je dražší, ale vzhledem k tomu, že tu cenu můžete rozprostřít mezi prakticky neomezené množství webů, přijde mi to o dost lepší.
Úroveň
Odznak +2
thubalek napsal/-a:

Google Authenticator je taky dobrá varianta (i když si teoreticky dokážu představit nějaký útok na něj přes Accessibility API). Protokol je otevřený, těch aplikací je spousta, nejen od Google. Některé dokonce umožňují ukládání klíčů mimo mobil, právě do externího HW.

Ale na rozdíl od Fido musíte ty kódy opisovat, což je opruz. Fido funguje jak přes USB (na počítači), tak přes NFC (na mobilu, umí jen dražší klíče), takže na mobilu se jen přiloží k NFC anténě.

Je pravda, že YubiKey NEO už je dražší, ale vzhledem k tomu, že tu cenu můžete rozprostřít mezi prakticky neomezené množství webů, přijde mi to o dost lepší.



Díky za objasnění ;-). Rozhodně jak koukám vše je to (jako vždy) závislé na ochotě přizpůsobit se programátorsky a hlavně tedy nebát se investovat. ;-)
Úroveň
Právě že ty investice (vzhledem k otevřenosti obou standardů) nejsou zdaleka tak vysoké, jako v případě např. RSA klíčů.

Knihovny k tomu jsou k dispozici. A hlavně SMSky může na Androidu číst kdejaká aplikace, není to nic složitého.
Úroveň
Odznak +4
Děkujeme Vám thubalek za další náměty,
aktuálně držíme standard trhu se SMS zprávami a s nadcházející implementací PSD2 (směrnice /EU/ o platebních službách na vnitřním trhu) budeme řešit autentifikaci a autorizaci tak, aby to bylo jak bezpečné, tak uživatelsky přívětivé pro naše zákazníky.
Jak nám píšete, softwarové tokeny jsou právě jedna z možností, kterou máme v hledáčku v rámci dvoufaktorového ověřování.
Úroveň
No, že by směrnice EU byly tím nejlepším doporučením, to bych si tak úplně nevsadil ;-) Evropská komise ukradené peníze vašich zákazníků rozhodně proplácet nebude.

Svět už rozhodně od SMS jako druhého faktoru odchází, takže bych se asi taky podíval o kousek dál, než jen na vlastní dvorek.

O tom, že SMS nejsou bezpečné se dá najít na internetu spousta článků, namátkou třeba tenhle https://securityintelligence.com/whats-wrong-with-sms-authentication-two-ibm-experts-weigh-in-on-the-nist-recommendation/

A není zdaleka jediný. Zkuste se vašich security expertů zeptat na to FIDO, ať se vyjádří.

Já osobně bych ho za SMS vyměnil hned.
Úroveň
pokud zavedete U2F, tak k Vam okamzite prejdu :) Ackoliv na to by mozna stacil i Google Authenticator... nicmene moznost pouzivani hw klice by byla super
Úroveň
Odznak +4
rogue napsal/-a:

pokud zavedete U2F, tak k Vam okamzite prejdu :) Ackoliv na to by mozna stacil i Google Authenticator... nicmene moznost pouzivani hw klice by byla super

Děkujeme za podnět a napsání, super. Uvidíme, k jakému řešení se přikloníme :). Určitě dvoufaktorové autentizace a autorizace mít budeme.
Úroveň
Přecházím z ČSOB, takže mám taky námět - použití aplikace pro přihlášení a autorizaci plateb. ČSOB používala vlastní aplikaci ČSOB Smart Key, kde bylo třeba zadat PIN/otisk prstu pro přihlášení nebo potvrzení akce. Na jiné služby používám Google Authenticator, který ale už sám o sobě zabezpečený není.

Jen pro lepší orientaci - zkoušel jsem toto téma najít přes hledání, prosím o změnu dotazu na "Dvoufaktorová autentizace" nebo "Two-factor authentication", aby se do dalo najít.
Nově jeck dispozici FIDO2 protokol a tokeny s jeho podporou...doporučuji prostudovat vaším IT oddělením, pokud plánujete 2FA zavádět .
Úroveň
Odznak +1
Proboha, prosím, ne-e! Tato proprietální řešení, která fungují jen na omezeném okruhu operačních systémů a zařízení jsou cestou do pekel. Používám na notebooku Linux a mobil mám s BlackBerry OS (verze 6, takže neumí spouštět androidí aplikace), takže by se tím pro mne velmi snížila použitelnost IB.

Tohle je přesně důvod, proč "miluji" IB FIO. Funguje naprosto na čemkoliv. Ať se přihlásím z jakékoliv "plečky" v ČR nebo v zahraničí, nemá to problém s proxy servery, funguje i na Opeře Mini. Jméno i heslo si můžu zvolit naprosto svobodně bez povinnosti obsahovat (a také bez zákazu neobsahovat) určité znaky.

Ještě tak ta samostatná HW zařízení, jako mám třeba u Sberbank (RSA token). Je to sice trochu opruz, že musím přepisovat kód, ale opět - funguje to vždy a všude.

Co by ale banka mohla dělat je určité "profilování klienta". Automatický systém by mohl sledovat jeho typické chování (odkud se přihlašuje, jaký používá OS, jaké částky a na jaké účty posílá,...) a monitorovat různé excesy. V takovém případě není nic jednoduššího, než v případě podezření zavolat a ověřit si, že opravdu s účtem manipuluje oprávněný vlastník.
PatrikChrz napsal/-a:

Proboha, prosím, ne-e! Tato proprietální řešení, která fungují jen na omezeném okruhu operačních systémů a zařízení jsou cestou do pekel. Používám na notebooku Linux a mobil mám s BlackBerry OS (verze 6, takže neumí spouštět androidí aplikace), takže by se tím pro mne velmi snížila použitelnost IB.

Tohle je přesně důvod, proč "miluji" IB FIO. Funguje naprosto na čemkoliv. Ať se přihlásím z jakékoliv "plečky" v ČR nebo v zahraničí, nemá to problém s proxy servery, funguje i na Opeře Mini. Jméno i heslo si můžu zvolit naprosto svobodně bez povinnosti obsahovat (a také bez zákazu neobsahovat) určité znaky.

Ještě tak ta samostatná HW zařízení, jako mám třeba u Sberbank (RSA token). Je to sice trochu opruz, že musím přepisovat kód, ale opět - funguje to vždy a všude.

Co by ale banka mohla dělat je určité "profilování klienta". Automatický systém by mohl sledovat jeho typické chování (odkud se přihlašuje, jaký používá OS, jaké částky a na jaké účty posílá,...) a monitorovat různé excesy. V takovém případě není nic jednoduššího, než v případě podezření zavolat a ověřit si, že opravdu s účtem manipuluje oprávněný vlastník.



Motate páté přes deváté a komentujete něco, o čem pravděpodobně vůbec nic nevíte. Analýzu chování klientů mají všechny banky, resp. Integrovaný SW na toto téma, ale to není vůbec téma tohoto vlákna...
Úroveň
Odznak +1
Ano, některé transakce banky sledují, některé i ze zákona (např. musí ČNB hlásit určitý počet nejvyšších transakcí v daném dni, nebo klienty s nejvyšším zůstatkem na účtu), ale ve světě se testují mnohem "personifikovanější" způsoby, např. pohyby kurzoru myši v rámci IB (dalo by se to přirovnat k rukupisu).
Je sice hezké, že mi z Hello několik hodin po platbě vyšší částky kartou přijde SMS, že byla zjištěna podezřelá transakce, ale to je trochu málo, navíc pozdě.

Odpovědět

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)