Често Задавани Въпроси

Преди няколко седмици информационните агенции гръмнаха със заглавието “Хакната банка”, като в самата новина се обяснява как неизвестни “хакери”, използвали потребителя и паролата, за да източат към 50 000 лв. от сметката на врачански бизнесмен.

Всъщност тук банката няма нищо общо. Единственото хакнато нещо е личният компютър на бизнесмена, който е бил заразен с троянски кон. Същият този троянски кон е изпратил потребителя и паролата на хакера¹, който съвсем спокойно се е логнал в онлайн банкирането и си е наредил преводите на гореспоменатите пари.

Както виждате никой никога не е пробивал сигурността на Уникредит ( екс Булбанк ), а заглавията са гонене на журналистическа сензация. Банката различава потребителите на базата на потребителско име/парола, т.е. аз доказвам пред онлайн системата на банката, че съм лицето, което има право да оперира с парите в сметката, чрез парола ( която се предполага, че знам само аз ). Ако някой друг узнае паролата – цялата система отива на кино… Решението в случая се нарича strong authentication и има няколко метода за постигането и:

• използване на ЕП/OTP² – при първоначалното си регистриране в банката, когато доказвате, че вие сте си вие с лична карта, получавате и набор от еднократни пароли в допълнение към обичайната комбинация потребител/парола. С всяка от тези пароли ЕДНОКРАТНО оторизирате транзакция -примерно в момента на пращането на транзакцията банката ви пита за парола номер 52, вие си поглеждате на листчето и въвеждате каквото стои срещу 52. След това тази парола вече става невалидна и не може да бъде използвана отново. Недостатъците са, че системата е малко сложна ( хайде обяснете цялата работа с еднократните пароли на 70 годишната си баба, а ? ) и второто е, че листовете с еднократни пароли имат тенденцията да се губят. Разбира се листа сам по себе си не е достатъчен за оторизиране на транзакция без потребителя/паролата. Е, ако някой е бил толкова глупав да си ги напише на същият този лист… Но пък незнайни са пътищата на потребителската глупост – хората си записват PIN кодовете върху картите, нали ? Друг недостатък е, че все пак количеството пароли върху листа е ограничено и ако ползвате системата активно, бързо ще ги изчерпите. Този метод се използва от Прокредит банк.
• Използване на електронен подпис/смарт карта – вие се представяте пред банката с помощта на частния ви ключ, до който пък имате достъп чрез PIN-на си. Недостатък в случая е, че ви трябва компютър, за да можете да се представите пред банката и трябва да можете да закачите четеца на смарт картата. Предимство е, че ако банката използва общоприетият за България универсален електронен подпис, то можете да си го използвате за достъп до т.нар. Портал на електронното правителство. Този метод се използва от ОББ ( отскоро ) и от ПИБ.
• използване на двуфакторна аутентификация – по същността си е много подобно на ЕП метода, но еднократните пароли се съхраняват/генерират от хардуерно устройство ( например Aladdin eToken PASS, RSA SecurID или VASCO Digipass ). Нарича се двуфакторна, защото аутентификацията изисква нещо, което имате – хардуерното устройство ( обикновенно всички го наричат токен ) и паролата, която помните. Временната парола, генерирана от токена се допълва с вашата парола и заедно се въвеждат в онлайн системата на банката. Тъй като временната парола е валидна ограничен период от време ( от 1 до 3 минути ) то дори и при подслушване паролата е неизползваема след изтичането на периода. Предимства тук е, че паролите никога не свършват и съответно нямат нужда от подновяване, токените са издръжливи на вандалстване и мокрене и можете да се аутентифицирате и по телефона, като просто прочетете временната парола от екранчето на токена. Недостатък е сравнително по-високата цена на цялостната система ( която идва основно от цената на токена – все пак е специализирано хардуерно устройство ). В България този метод се ползва от Райфайзен банк за част от корпоративните им клиенти

Като цяло се забелязва тенденцията банките в България да въвеждат все по смислени методи за сигурност на онлайн банкирането си, което е хубаво. За съжаление все още се срещат банки, които се отнасят доста несериозно към темата – няма друг начин да нарека примерно дивотия като SSL достъп със самоподписан сертификат или използване само на потребител/парола за аутентификация.

Забележка: Информацията коя банка кой метод използва се основава на това, което съм чул и видял и може да не отговаря на истината в момента. Моля, ако забележите несъответствия да ме коригирате в коментарите !

1. използвам думата с оглед на това, че е добре позната. Напълно съзнавам, че е неподходяща в случая [обратно ↩]
2. Еднократна парола/One Time Password [обратно ↩]

Подобни статии:

1. Защитете отворените SSH сървъри
2. Брутфорс на master парола на Firefox
3. 20 цента за хакната система
4. Интересна история за хакване на парола за онлайн банкиране
5. Паролата като мотивационна техника