Интернет сигурност – челен частен опит

интернет, сигурност, тоукън, първа инвестиционна банка, пиб, token, банкиране, Online, banking, egov, identification, pin

Един основен проблем в интернет е как да докажем кои сме. За разлика от личните карти и паспортите, които са физически обекти и са трудни за фалшифициране, в мрежата всичко може да се копира и подправи. В социалните мрежи и чатовете краденето на самоличност и пароли може да донесе главоболия, но не е такъв проблем, защото проблемите могат да се оправят сравнително бързо. Щом обаче се опре до пари и административни услуги, нещата минават на други ниво. Вече е нужна идентификация, която направи сигурен всеки превод на пари, всяка попълнена бланка или всеки даден глас на избори.

По света има много решения. В България в портала на електронното правителство eGov.bg използват електронен подпис. В общи линии той осигурява електронно потвърждение от трета доверена страна, че вие сте изпратили съобщение и никой не го е променял. Обикновено тези доверени страни са частни фирми минали проверки и сертифициране. Методът наистина е сигурен и осигурява добра защита, но за целта трябва да платите за подписа, а често – и за чип-карта и четец. Цените са между 20 и 200 лева на година. Една идея, която изникна покрай новите паспорти и лични карти, беше да се доставят такива подписи от държавата направо в документите. Така личната ни карта ще предоставя и дигитална идентификация. За жалост това на този етап би било твърде скъпо и надали ще го видим скоро. Към този момент тази система се използва от всички електронни услуги на eGov и НАП.

В Германия пък предпочитат друг подход. Моята банка например – Deutsche Bank – ми изпраща ПИН за достъп до портала им и списък от 100 ТАН кода. При всяка транзакция, системата ме пита за ТАН и го сравнява с техния списък. Така удостоверявам, че аз съм им клиент. При подаване на данъчна декларация през интеренет нещата са подобни – получава се код в мрежата, сравнява се с код изпратен по пощата и след това човек може да декларира данъците и разходите си. Проблемът на този метод обаче е, че не е толкова трудно да се копира списъка с ТАН-овете и да се открадне ПИН-а. Също така, тази система разчита предимно на надеждните немски пощи, но дори тук се случва да изчезват писма и да се краде от пощенските кутии.

интернет, сигурност, тоукън, първа инвестиционна банка, пиб, token, банкиране, Online, banking, egov, identification, pin

Едно решение, което Първа Инвестиционна Банка въведе тези дни е тоукън (от английското token). Идеята му е проста – това е устройство с екран и няколко бутона. Когато искате да влезете в системата, тоукънът генерира за вас еднократна парола, с която може да преглеждате сметката си и да превеждате пари. Причината това да работи е, че ПИБ задават в тоукъна специална формула, резултата от която само те могат да предвидят имайки в предвид часа, в който е генериран кода. Машинката не се свързва с компютъра, няма нужда от софтуер, има размерите на ключодържател и батерия, която издържа доста дълго.

Примерен такъв тоукън може да видите на снимката горе. Този конкретно се използва от финансова институция във Франкфурт и е малко по-сложен. Там служителите използват такива устройства, за да получат достъп до всякакви компютърни системи свързани с работата им. Щом една от най-големите финансови институции в света използват този метод, значи е достатъчно сигурен за online банкирането ви. Досега порталът за банкиране на ПИБ изискваше сертификат, който трябва да се вземе на флашка от някой от офисите им. Това беше неудобно, защото трябва да се инсталира, при повреда трябва да се издава отново, а и прави доста сложно да преведете еднократно пари от компютър на познат, например.

Един тоукън обаче наистина е по-удобен и по-сигурен дори от листа със сто ТАН-а, които аз трябва да използвам. Не виждам защо подобна система не може да се въведе и при online услугите на електронното правителство, а защо не и при гласуването за изботи в интернет. Самото устройство би струвало левчета на държавата и може да се издаде еднократно за доста дълъг период от време. При загуба е достатъчен едно телефонно обаждане, за да се блокира тоукънът. Ако аз искам да гласувам или да си подам данъчната декларация в интернет, няма смисъл да плащам всяка година за електронен подпис, който ще използва 1-2 пъти. Щом банките предпочитат този метод на идентификация, защо държавата да не го приложи.

31 коментара

  1. Pingback: Dimitar Nikolov
  2. От теб научавам, че ПИБ са въвели тоукъни, което е наистина добро решение. Защо не се използват тоукъните масово – причините вероятно са много, но една от тях може би е високата им цена, аз преди имах тоукън в работата ми за достъп до компютъра или до webmail, но доколкото зная един тоукън струваше около 300 паунда преди, сега не съм сигурна колко е. Аз съм ползвала тоукън от този тип : http://media.intellipoker.com/images_content/articles/PokerStars/Software/Sicherheit/token_ip1.jpg

    За интернет банкирането: само една банка в България за момента ползва ТАН кодове и доколкото зная е-банкирането им е по модел на Дойче Банк. Електронен подпис нямам, а и зная, че има доста проблеми с него, ако преинсталираш операционна система или т.н

    Задължително ще проуча въпроса с тоукъните на ПИБ, радвам се, че продължават да предлагат удобни решения.

  3. В една друга цивилизация, на север
    всеки има ЛеснаСметка.
    Получаваш я безплатно от държавата, която се грижи за администрирането й.
    Това е сметката ти за разплащания с кралството
    всички държавни институции я знаят, знае я и финансовия ти институт, данъчните, полицията, застрахователя
    Библиотеката ти, университета ти, управлява я ЕГН то ти, което е първия код, дето въвеждаш преди нейния номер. Всичко накуп.
    Алтернативата и е електронен подпис, който ми направиха и запазиха на един ключ..и досега май не е ползван. Той също бе безплатен.
    Защото когато нещо улеснява комуникацията ти с институциите, то трябва да се администрира за тяхна сметка. Създава стойност за тях.
    Лесна сметка е комуникационен център – като имаш нещо да им казваш, правиш го там. Не вдигаш телефон, не търсиш в име в директория, не купуваш пощенска марка, не чакаш сто милиона години за отговор, не правиш излишни разпечатки,..
    всичко е измислено.
    Разликата е че в кралството се мисли, преди да се налива суха пара

  4. Причините да не се използват токъни са много, например – токъна може да се открадне. Електронния подпис е защитен с ПИН код, и ако го откраднат въпреки това няма да могат да го използват.
    Токъните най-често имат 4 цифри, и макар и много трудно би могло да се налучка. При цифровия сертификат това не може да стане, защото при 3 последователни грешени опита за въвеждане на ПИН сертификата се блокира.
    Цифровия сертификат е универсален и може да се използва навсякъде. С токъните положението е далеч по-сложно. Един токън може да служи само пред една организация. Обратното би било опасно. Например ако повече от една организация, знае последователността на цифрите на токъна ви, (т.е. формулата) те биха могли да се възползват от това и да се представят пред друга организация вместо вас. Цифровия сертификат не го знае никой! Всъщност дори и вие. Той е надлежно защитен на крипто-картата. Само чрез нея бихте могли да се индентифицирате. Т.е. дори CA-то ви издало сертификата не може да се представи за Вас.
    и въобще това е една много дълга тема, но за край само ще кажа, че за сега няма измислено по-добро решение!

  5. И още малко към предишния ми пост.
    Нека да не се заблуждаваме, но токъните са ограничени само до етапа на идентификация пред дадена организация, т.е. след „Login“ те не играят вече никаква роля. Със сертификатите, нещата отиват далеч по-напред. Нека да ви дам пример с банка. Влизам в системата на някоя банка чрез токън и правя превод на 100лв. Някой подкупен банков служител, обаче, решава да промени сумата и я прави 200лв. Банковата система е регистрирала, че АЗ съм наредил да бъдат трансферирани 200лв. и обратното не може да бъде доказано. Ако обаче аз използвам цифров сертификат, цялата информация която аз предавам минава през крипто-картата и информацията се „подписва“. Сега ако банков служител промени сумата от 100 на 200 лева, при една последваща проверка ще бъде установено, че информацията е подправена.
    Електронните сертификати издадени от Certificate Authorities имат и други предимства:
    Криптиране и подписване на съобщения, мейлове и файлове, между 2 физически/юридически субекта, и последващата автоматична проверка. До сега няма открит метод за фалшификация или манипулация на такава комуникация, за разлика от саморъчния подпис и фирмения печат. Ако ББ използваше само и изключително този метод нямаше да има фалшифицирани продажби на апетитни имоти в София, например.

  6. До tzappa:

    За да се идентифицира потребителя с еднократната парола, генерирана от токен, трябва да въведеш и ПИН код, който би трябвало да се намира само в главата на потребителя и няма как да бъде откраднат!!!

    Останалата част от коментара ти не я прочетох.. Направи си блог и пиши фермани.. 🙂

  7. @:-)
    Предполагам говориш за парола, която се въвежда в сайта, а не за ПИН. Това не са еднакви неща. Токъните (поне повечето от тях) не поддържат ПИН, най малкото защото нямат клавиатура 🙂
    Ето няколко снимки на известни токени:

    http://upload.wikimedia.org/wikipedia/commons/3/3d/Token_Verisign.JPG

  8. Електронния подпис се ползва само за да те идентифицира, а за да криптираш нещо или за да подпишеш документ.
    Например докторите, които работят със здравната каса трябва всеки месец да подават отчети за това кой са прегледали, как са го лекували и тн, за да може НЗОК да им плати. През новия портал на НЗОК, отскоро могат да влизат в него с ел.подпис, след това да подпишат документа, да го изпратят, след което на него му се поставя timestamp и по този начин вече имаш доказателство, че точно този доктор, точно в толкова часа е предал точно този документ и никой не го е променял след това. Малко ми е трудно да си представя как това би могло да стане с token или tan.

  9. @tzappa – Както можеш добре да видиш на картинката от статиата токена разполага с пин пад. Има разбира се най-разнообразни модели на различни вендори. Когато е от типа на RSA (от твоя пост) или Aladdin/SafeNet(каквито ползват ПИБ) пина не е нужно да го въвеждаш на клавиатурата на токена а си го помниш и го въвеждаш заедно с еднократната парола, която ти изгенерира устройството. Разбира се за ПИН може да се използва и вече съществуваща парола, какъвто явно е случая с ПИБ.

  10. @iffi – с ОТП можеш освен да влезнеш във въпросното онлайн приложение и да „оторизираш“ всяка активна операция с въвеждане на друг генериран код от ОТП токена. По този начин се елиминира и друг проблем – Man in the Brouser – http://en.wikipedia.org/wiki/Man_in_the_Browser

  11. @:-) – извини невежеството ми, но какво е ОТП? Google ми предложи само „Обща теория на правото“

  12. @:-) – А и ако някой ти контролира браузъра, той винаги може да те излъже за операцията, която извършваш.
    И с токен можеш ли да подпишеш документ?

  13. Аз съм си поръчвал през сайта на общината свидетелство за съдимост и удостоверение кога и къде съм живял. Въведох си само името, адреса и банковите данни. Не ми взеха повече пари, единственият минус е, че единият документ щях на място да го получа веднага, а така чаках 4 дена и дойде по пощата (за която не платих нищо).

    Не знам там с идентификацията как го решават проблема, но за мен беше безумно удобно, макар да ме съмнява да се ползва от много хора, защото не се рекламира. А като си спомня в София как се вади свидетелство за съдимост…. мухахахаах :о

  14. Искам да вметна нещо; изкаването предполага невъзможност да се определи предварително генерирания код от устройство, което работи по закрит стандарт (тоест, до колкото разбирам няма доказателства и в двете посоки дали наистина кода генериращ token-а е непробиваем). Та, ако ще си говорим с предположения… А може и да има, не съм проверявал.

    Това, което аз не мога да разбера е следното: когато security experts се припират кой метод за електронно банкиране (примерно) е най-сигурен – защо гоправят? Щом е напълно възможно лично да идеш и извършиш измама, няма според мен как това да бъде предотвратено виртуално. Как става измамата лично е ясно. Всичко което ти трябва е фалшив документ за самоличност (забелязал съм че поне в нашите банки мн кос поглед хвърлят на личната карта) и номер на сметка, не се изисква допълнително удостоверяване, аз примерно бих предпочел, особено при транзакции над 2000 лева (примерно) да се изисква таен въпрос/отговор.

    Относно доводите, както могат да ти откраднат token устойството, така могат да откраднат и сертифката – и двете са защитени с някакъв вид парола. Аз лично не виждам смисъла от token у-во, освен факта че не изисква никакви стъпки за настройка от потребителя – ползва се директно, не се инсталира, не се бекъпва и тн. Минуса е че се губи по-лесно и може да бъде счупен (аз например мн си троша нещата, които кача по ключовете – дистанционни за коли и тн).

    Мисля обаче че хората му се радват (на токъна) повече, защото е нещо физическо, нещо което имат усещането че могат да пазят/предпазят. Вероятно ще набира още популярност.

  15. Не зная как е в конкретния случай, но при старата ни секюрити система, когато имахме RAS Token- и тоукъна се блокираше ако 3 пъти въведеш грешен код. Преди въвеждане на кода от тоукъна, се въвеждаше ПИН, който сам избираш при подаване на заявление за регистрация на тоукъна ти. Нашите имаха и валидност – 2 години, не съм много сигурна , но мисля, че от срока на валидност зависи цената на тоукъна. Отказаха се от тях по ред причини, които не искам да коментирам.

  16. Чакайте малко. Първо, електронния подпис наистина е по-добър при подписване на документи и осигуряване на транзакции. Просто протоколите са по-добре направени и има трета страна, която потвърждава, което си е изискване за една trusted мрежа. Някои Tokenи, като този на снимката, имат ПИН-ове за да се генерира парола, но доколкото разбирам този на ПИБ няма, а както усмивката каза, използва се заедно с редовните пинове. В този смисъл е по-добър от ТАН-овете, които аз използвам, защото може да се засече кражба и препечатване.

    Причината да го предложа за работа с администрацията беше, че много хора използват услугите им рядко и не биха си изкарали електронен подпис само заради една данъчна декларация.

    @tzappa – и при електронния подпис, и при token-а трябва хардуер. При първия може и без, но не е толкова безопасно. Така може и при подписа да загубиш картата, а и на всеки компютър, който го ползваш ти трябва четец. В нашия университет имаме точно този проблем.

    Ако някой служител в банката иска да те измами, той ще го направи независимо от твоя подпис. Тук не говорим за вътрешни хора, а за такива по-средата. Като например „доверената страна“ в електронните подписи. Макар и сертифицирани, откъде да знам, какви интереси имат и дори каква информация за транзакциите ми събират.

    @Yordanka – тоукъните определено са удобни, но не съм сигурен колко ще струват. Хубавото е, че се взимат еднократно и после само го пазиш като ключ.

  17. @iffi – нещата, които избори могат да се подсигурят и по друг начин. В крайна сметка ако този начин се въведе навсякъде за всички електронни услуги и се налага да го ползваме почти всеки ден, наистина ще има смисъл да се вземе такъв подпис. Аз говоря за неща, които не се ползват толкова често и са много по-опростени.

    @kyky – този тип услуги наистина са удобни. Предполагам, че не са ти искали електронен подпис?

    @Петър – Тоукъна е така направен, че да трябва физически да се разбие и да се сканира чипа с електронен микроскоп, за да се хакне. Със същия успех може да се прочете и информацията в кодираните карти на банките и електронните подписи.

    Всеки метод за сигурност разчита на сложността на дадена операция. Методите за криптиране далеч не са перфектни – просто разчитат на страшно трудно за решаване математически задачи. Подобен е случая и с такива ТАН-ове и ПИН-ове. Вече кой какво ще избере зависи от конкретната държава, начина на мислене на хората и ситуацията.

    Физическото присъствие на въпросния token е много важно. Той е като ключ и ще кара хората да се чувстват, че контролират нещата. Да не говорим, че няма проблем да се използва където и да е и не зависи от това дали ще ти се скапе компютъра. Главоболията около сертификатите и наработещия хардуер са достатъчни, за да откажат всеки. Пример са студентските ни карти, които имат подобен сертификат и за да се използват трябва четец. Той обаче често не работи, което довежда то там, че почти никой не му се занимава да подновява картата и да я използва за каквото и да е.

  18. Само да спомена, как е обслужването при ДСК.
    Там използват цифрови сертификати. Първоначалното активиране става лично в банков клон и с предоставянето на мобилен номер. След това, всяка ключова операция минава през 3 проверки: логин в системата им, цифровия сертификат, безплатен смс с генериран TAN. Системата е доста удобна, мобилна, междуплатформена и с изключително добра поддръжка, като документация и телефонен център. Не е безкрайно сигурна, но трудно може „случайно“ да злоупотребят с нея, а на мотивираната злонамереност така или иначе е трудно да се противостои с каквито и да било конвенционални средства.

    Силно подкрепям въвеждането на единна безплатна система за виртулна идентификация, най-добре в рамките на ЕС.

  19. Цифровият подпис и системата на публичните ключове създават цифровия документ, така както нотариатът заварява лист хартия, за да го превърне в документ.

    При транзакциите например през банкомат това не е необходимо („aaa“ са достътъчни), защото например при злоупотреба поне една от две последователни транзакции през няколко минути от два различни края на света може да бъде отказана като престъпление- картата като token на физическо нива може да бъде само на едното място.

    Идеята в поста е доста интересна. Биометричните данни в новите документи за самоличност могат да се използват като token за достъп до и ползване на осигурена от държавата инфраструктура на публичните ключове (държавата ако има информационна система разполага с необходимите „нотариатни“ данни) поне що се отнася до документи за и от несъществуващото още електронно правителство. Иначе за един-два пъти годишно използване на цифров подпис – цената каквато и да е са пари на вятъра.

  20. @gamar – то и ПИБ използват сертификати, които по същия начин трябва да се инсталират на машината. Не мога да разбера обаче защо е нужно да се праща парола със sms? Сертификата е достатъчен.

    @nv – ако можем да доплатим малко и да получим универсален електронен подпис в документите си, това ще е перфектно. Слагаме парола и можем да го използваме на стандартен четец. Такива може да има на всички ведомства, а така или иначе за електронен подпис ни трябва и вкъщи. Тъкмо ще направят обществена поръчка за целта и ще похарчат още пари от фондовете.

  21. Защото сертификатът можеш да си го нацъкаш навсякъде и всеки може да ти седне на компютъра. Съобщенията, които ти пращат, съдържат TAN-а за конкретна транзакция, без който не можеш да направиш плащането.

  22. @gamar – Доколкото разбрах и те изискват сертификат. При инсталирането на такъв пак се иска парола и никой друг не може да го ползва. Проблемът е, че трябва да го инсталираш навсякъде дори за една операция. Предимството на тоукъна е, че пак получаваш ТАН-ове, но е безплатно и по-безопасно от sms-ите. Мобилните комуникации не са от най-безопасните.

  23. Ами инсталирането/местенето на сертификат, не е толкова трудна работа, макар и принципно да не виждам често такава наложителност. Аз съм го правил само на 1-2 лични машини при нужда, а от публична, така или иначе не бих вършил (такива) плащания.

    Както казах по-горе, сигурни работи общо взето няма, но аз съм против да мъкна излишни играчки или хартия с кодове, а телефонът си е винаги с мен, така че предпочитам ТАН-ът да го получавам там.

  24. @gamar – местенето на сертификати не е трудно, но не за всички. Мога да ти кажа, че по-голямата част от потребителите на банките ще им е трудно да се оправят с тях, а при първата грешка ще се откажат. Ако има ТАН по телефона без сертификат, това би била добра възможност, но иначе няма смисъл.

  25. @iffiOne Time Ppassword или иначе казано еднократна парола. Генерира се на база някаква формула и време. За целта токена се инициализира по някакъв начин (обикновенно се логваш някъде и въвеждаш 2 – 5 кода генерирани от токена за да може системата да те научи кой си)

    А колкото до спора дали токена е по сигурен ами не съвсем. Аз лично поради спецификата на работата ми ползвам аладински токен хубавото при него е че има и сертификат с него. За оторизация се ползва или сертификата или ОТП-то (естествено и пина на токена ти трябва).

    Реално цялата дискусия в момента се свежда до „многофакторна аутентификация“, или иначе казано по няколко начина доказваш че си ти. Популярните са нещо което имаш и нещо което знаеш (токен, сертификат + парола, пин)

  26. @iffi – С токен не можеш да подпишеш документ. Той е по-скоро за уторизация и не е крипто средство. Т.е. на базата на една цифра въпречи че удостоверява притежаването ти на определено нещо издадено от някой не е криптографски издържано за да осигури непроменяемост на данните. Предполагам си чела поне малко за криптографията и числовите операции в нея та имаш идея.

  27. @zeridon – Ясно е, че ел. посписа е по-сигурен и предлага подписване и аутентикация. Работата е там, че и технически, и психологически token-а е по-добро решение за широката публика. Разбира се, докато ел. подписите не станат толкова удобни за ползване, както и ключовете. За целта обаче трябва навсякъде да има четци и всички да си носим магнитни карти или лични карти с чип вътре.

  28. това е стара тема, излиза напред в резултатите, а наскоро се задълбах по въпроса за интернет банкирането в БГ и ще ви помоля да попълните една анкета относно уеб банкирането –

  29. Здравейте, темата е дълга и сложна. Ако добавим и новите възможности на смартфоните с вграден не само токен и безкрайните изисквания към настройките за сигурност при различни ОС, става още … Аз бих желал да разбера, по кой стандарт за пренос на данни се гарантира преноса и трябва ли другите налични възможности да се ънчекнат в смфона – пр. За медиен пренос …Могат ли да оказват негативно влияние, до колко и т.н. Бихте ли предложили адрес с разяснения по тези чисто потребителски въпроси. Ръководството на смфона дори превод на бг няма, а за темите в мануалито не коментирам. Много се впечатлих от цената на 1производителя, но…,очаквам съвет.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.