Zajištění bezpečnosti stránek při e-bankingu

Slides:



Advertisements
Podobné prezentace
Elektronické bankovnictví České spořitelny 2007
Advertisements

Název projektu Moderní škola Registrační číslo projektu
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Základy informatiky bezpečnost
Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)
Analýza síťového provozu
Nové funkcionality systému Ing. Michal Pajr IZIP 2005.
INTRASTAT ve WinFASu Stručné seznámení Bohuslav Major, Ing. Skalský Dvůr
„Kvalitnější zdravotní péče pro českou olympijskou reprezentaci“
Pohled banky na bezpečnost přímého bankovnictví
Zabezpečení emergentních přístupů do systému IZIP
Elektronické bankovnictví České spořitelny – rok 2006
Výukový materiál zpracován v rámci projektu EU peníze školám
Platební karty a přímé bankovnictví Základy ekonomiky a účetnictví – 9. ročník Autorem materiálu je Jitka Fialová, ZŠ Dobříš, Komenského nám. 35, okres.
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
OBSAH PREZENTACE Elegantní autentizace = Digipass GO 1 Snadné ovládání
DIGITÁLNÍ UČEBNÍ MATERIÁL Číslo projektuCZ.1.07/1.5.00/ Název projektuEU peníze středním školám Masarykova OA Jičín Název školyMASARYKOVA OBCHODNÍ.
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Finanční arbitr - informace o činnosti, informační spolupráce s ČBA V Praze dne Dr. Ing. František Klufa Finanční arbitr České republiky - 1.
INFORMATIKA 4_5 5. TÝDEN HODINA.
Komerční využití systému ISDS
Kiosky a informační portál MPSV
AKCENTA CZ, a.s. Služba SMS OLB – Uživatelský manuál pro klienty.
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Bezpečnost v Gridech Daniel Kouřil EGEE kurz.
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
NEBOLI. Pojem elektronické bankovnictví Podstatou je elektronické jednání mezi klientem a finanční institucí. Podstatou je elektronické jednání mezi klientem.
Copyright (C) 2000 Vema, a. s.1 V3 klient Michal Máčel Provozní integrace G2, HR/Win a internetu.
Vstup Vstup do internetového bankovnictví je zabezpečen Klientským číslem a kódem PIN. Tyto údaje obdržíte v aktivačním balíčku k internetovému bankovnictví.
eHealth vs eGovernment : souboj bez vítěze
Provedení autorizované Ověření provedení autorizovanékonverze Úvodní kurz k problematice datových schránek eGON centrum HOLEŠOV provedení autorizované.
DUM - Digitální Učební Materiál Název školy: Střední odborná škola obchodní s.r.o. Broumovská 839, Liberec 6 IČO: REDIZO: Vzdělávací.
2 Petr Žitný znalosti.vema.cz 3 Báze znalostí Nová služba zákazníkům ▸Báze naplněná informacemi, ke které mají uživatelé přímý přístup Základní cíl ▸Poskytovat.
Portál veřejné správy spolupráce s BusinessInfo CS – Zákaznická řešení pro státní správu Ing. Jitka Novotná Ministerstvo informatiky.
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
T - SOFT spol. s r.o. Systém integrované bezpečnosti Mgr. Pavel Hejl, CSc 2007.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Kyberšikana Cyberbulling.
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
DALŠÍ NEBEZPEČNÉ KOMUNIKAČNÍ JEVY
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Rozvoj dalšího vzdělávání v Moravskoslezském kraji Informační a digitální technologie v praxi Mgr. Michaela Drozdová, Ph.D. CZ.1.07/3.1.00/
Praktické ukázky Zlín Fakulta informatiky, Masarykova univerzita, Brno Laboratoř Bezpečnosti a aplikované kryptografie.
Číslo projektuCZ.1.07/1.5.00/ Číslo materiáluVY_62_INOVACE_73 8 _ Přímé bankovnictví II. AutorIng. Renata Wagnerová Průřezové téma Člověk a svět.
Průvodní list Šablona: VI/2 Vyjádření podmínek pro rozvoj znalostí, schopností a dovedností v oblasti finanční gramotnosti Vzdělávací materiál: Prezentace.
Kód vzdělávacího materiálu: VY_62_INOVACE_0201 Název vzdělávacího materiálu: Bankovní účty Datum vytvoření: Jméno autora: Ing. Zdenek Páže Předmět:
Základy práce s portálem CzechPOINT. 2 Úřad na cestě k lidem Český Podací Ověřovací Informační Národní Terminál Asistované místo výkonu veřejné správy.
Číslo projektuCZ.1.07/1.5.00/ Název školyGymnázium, Soběslav, Dr. Edvarda Beneše 449/II Kód materiáluVY_62_INOVACE_21_14 Název materiáluPřímé bankovnictví.
Manažerská aplikace pro OS Android Evidovaní a správa faktur s pomocí IS Helios Green.
Základy práce s portálem CzechPOINT HW, SW, tokeny, certifikáty, administrace.
Univerzitní informační systém III., Lednice 2004 E-přihlášky Ing. Tomáš Majer
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
ŠKOLA: Gymnázium, Chomutov, Mostecká 3000, příspěvková organizace AUTOR:Marcela Zahrádková NÁZEV:VY_62_INOVACE_01B_15_Bezhotovostní placení TEMA:Finanční.
1/26 0x5DLaBAKx5FC517D0FEA3 Laboratoř bezpečnosti a aplikované kryptografie.
Univerzitní informační systém II., Lednice 2003 Jednotná autentizace na univerzitě (LDAP) Petr Dadák
Biometrika v informační bezpečnosti Daniel Raška.
VY_62_INOVACE_ – Přímé bankovnictví Autor Ing. Hana Sůvová
Spolupráce společností Diners Club a MBI o vydávání karet
Elektronické bankovnictví
Ing. Martin Kořínek eGoncentrum ORP Nový Bydžov
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
FINANČNÍ GRAMOTNOST Bezhotovostní placení 4.
Zabezpečení www stránek
Elektronické bankovníctvo
Hrozby a trendy Internetbankingu
Elektronický (digitální) podpis
Spolupráce s okolními systémy
Transkript prezentace:

Zajištění bezpečnosti stránek při e-bankingu Vypracovala Katarína Citsoňová

Osnova Zabezpečení přenosu dat Autorizace a autentizace Autentizační prostředky Další způsoby ochrany Otázka bezpečnosti je ožehavá snad u každého způsobu elektronického bankovnictví. Pokud se zaměříme na bankovnictví internetové, souvisí jeho bezpečnost velmi úzce s bezpečností samotného internetu. Řešení zabezpečení má dva hlavní úkoly. Za prvé je důležité zajistit bezpečné datové cesty mezi vlastním systémem internetového bankovnictví a serverem na straně banky (první bod osnovy). Druhým úkolem je zabezpečit ochranu dat při ověřování identity klienta a jeho oprávnění k provedení požadovaných transakcí (druhý bod). Jakými prostředky je tohle zajištěno si řekneme ve třetí části a nakonec zmíním ještě pár dalších způsobů ochrany před zneužitím dat. 29.3.2008 Katarína Citsoňová

Zabezpečení přenosu dat HTTP + SSL = HTTPS Zabezpečení přenosu dat Přenos bankovních informací je choulostivou záležitostí a jeho zabezpečení musí být věnována patřičná pozornost. Prvním krokem proto nutně je zajištění prostředí, které ochranu transferovaných dat bude moci poskytnout. Otevření komunikačního kanálu mezi klientem a bankou znamená vstup do systému internetového bankovnictví. A právě tato cesta, kudy data putují, je jedním ze slabých míst. Riziko spočívá v tom, že tato komunikace probíhá prostřednictvím internetového protokolu HTTP (internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML), který není schopen žádné ochrany dat, takže kterákoliv třetí osoba může komunikaci zachytit, pozdržet, případně přečíst, a následně pozměnit. Východiskem z této situace se stal protokol SSL (secure sockets layer – vrstva bezpečných socketů), který spojením s protokolem HTTP dal vzniknout nové, bezpečnější verzi internetového protokolu - HTTPS, která již umožňuje přenášená data šifrovat a tím chránit před odposlechem či jiným narušením. Šifrování zajišťuje webový prohlížeč, a přesvědčit se o tom můžeme pohledem na dolní lištu, kde by měla svítit žlutá ikona visacího zámku. Všechny banky používají dostatečně silné šifrování a SSL certifikáty vystavené u certifikačních autorit. 29.3.2008 Katarína Citsoňová

Autorizace a autentizace Pasivní a aktivní operace Autorizace je postup, který omezuje přístup k informacím, funkcím a dalším objektům. Přístup mají pouze oprávněné subjekty, které prošli procesem autentizace. Autentizace je proces ověření identity uživatele služeb nebo původce zprávy. Při internetovém bankovnictví se používají tyto základní metody pro zjištění identity: podle toho, co uživatel zná (zná správnou kombinaci uživatelského označení a hesla nebo PIN) podle toho, co uživatel má (nějaký technický prostředek, který uživatel vlastní - USB dongle, smart card, privátní klíč apod.) Autentizací, neboli ověřením totožnosti klienta, získává banka jistotu, že komunikuje se svým klientem a nikoli s neoprávněnou osobou. Stupeň síly autentizace u jednotlivých bank závisí na druhu prováděných operací. Aktivní a pasivní operace Operace můžeme rozdělit na dvě skupiny – aktivní a pasivní. Dá se obecně říct, že pasivní operace nemění stav účtu klienta. Řadíme mezi ně jak údaje o bance a jejich produktech, tak i autorizované informace z informačního systému banky, např. zůstatek na účtu, transakční historii apod. Přístup do internetového bankovnictví je tak podmíněn pouze uživatelským jménem a heslem. Aktivní operace jsou operace, které se týkají účtu klienta a zůstatku na něm, a při kterých dochází k pohybu peněz na tomto účtu. Mezi tyto operace řadíme například příkazy k úhradě. Zabezpečení aktivních operací se děje prostřednictvím SMS kódu, certifikátu, případně PIN kalkulátoru a dalších autentizačních prostředků, které přiblížím na dalším slidu. 29.3.2008 Katarína Citsoňová

Autentizační prostředky jméno a heslo certifikát čipová karta sms USB token PIN kalkulátor tabulka kódů Grid karta Základní - donedávna nejčastěji využívanou a bohužel i nejméně bezpečnou - formou autentizace je ověření pomocí přiděleného uživatelského jména a hesla. Bezpečnějším způsobem přístupu je využití certifikátu, který uživatel obdrží od banky, uloží si ho nejlépe na nějaké vyjmutelné médium (disketu, CD, DVD, USB flash disk). Tento certifikát slouží jako klíč, prostřednictvím něhož a po zadání hesla klient vstoupí do internetového bankovnictví. Kdo má strach, že mu může být certifikát zkopírován nepovolanou osobou, ten může využít čipovou kartu. Ta funguje stejně jako certifikát, jenže údaje jsou uloženy na kartě, odkud nemohou být zkopírovány. Aby došlo k jejímu zneužití, musela by být fyzicky ukradena. K přístupu pomocí čipové karty je samozřejmě nutno znát také PIN kód, případně heslo. Uživatel navíc musí vlastnit vhodnou čtečku čipových karet (viz.obrázek). To se netýká obdobně zabezpečeného iKey tokenu (viz.obrázek), který je podobný USB flash disku a pro přečtení informací není zapotřebí čtečky. Další možností autentizace je ověření s pomocí mobilního telefonu. Klient při vstupu do internetové aplikace zadá své klientské číslo a banka mu obratem zašle speciální přístupový kód ve formě autorizační sms na jeho mobilní telefon. Dlaší- a vedle užití čipové karty prozatím nejbezpečnější - variantou je použití PIN kalkulátoru (viz.obrázek). PIN kalkulátor vypadá jako malá kalkulačka a je ve vlastnictví klienta. Poté, co do ní zadá své klientské číslo a PIN kód, kalkulátor vygeneruje autentizační kód, který je vždy jiný. Tento kód klient opět zadá při vstupu do internetové aplikace. Tabulka kódů je distribuována buď vytištěná na papíře, nebo v elektronické podobě (jako textový soubor). Obvykle obsahuje celkem 100 kódů (v případě požadavku zákazníka to může být i jiný počet), přičemž každý má své číslo. Když chce klient provést transakci, musí k ní připojit kód, který se nachází v tabulce, podle čísla požadovaného systémem. Systém po obdržení zadání transakce porovná klientem zadaný kód s kódem, který se nachází v záznamu tabulky kódů, jenž je uložen v databázi. Jsou-li oba kódy shodné, je transakce autorizována. Každý kód z tabulky kódů lze použít jen jednou. Tabulka přestává platit ve chvíli, kdy je použito 50 % kódů. Poté musí majitel začít používat novou tabulku kódů. Grid karta (viz.obrázek) je plastová karta velikosti platební karty. Na grid kartě je tabulka, která je rozdělena na 6 řádků (A až F) a 6 sloupců (1 až 6). V každé buňce tabulky je uveden jeden kód. Tento kód, který se nachází v souřadnicích požadovaných systémem, klient připojí k zadání transakce. Systém po obržení zadání transakce porovná klientem zadaný kód s kódem, který se nachází v záznamu grid karty, jenž je uložen v databázi. Jsou-li oba kódy shodné, je transakce autorizována. Kódy mohou být použity opakovaně. Platnost grid karty je časově omezena. Po vypršení platnosti musí majitel začít používat novou grid kartu. Grid karty jsou obvykle distribuovány podobně jako platební karty. 29.3.2008 Katarína Citsoňová

1. 2. 4. 5. 3. 29.3.2008 Katarína Citsoňová

Další způsoby ochrany automatické odhlášení při nečinnosti limity operací zablokování při špatném zadání hesla zasílání informačních zpráv chování klienta, pharming, phishing Dalšími bezpečnostními opatřeními mohou být tyto prvky: automatické odhlášení při nečinnosti, limity operací, zablokování při několika špatných zadáních hesla či možnost zasílání informačních zpráv. Banky navíc radí "fixní" hesla často měnit. Jednorázová hesla (generovaná PIN kalkulátory či rozesílaná pomocí mobilu) mívají potom omezenou platnost (obyčejně v řádech minut). Bezpečnosti se ale nejvíce musí věnovat klient. Ačkoliv banky vydávají na zabezpečení vysoké finanční částky, nejslabším článkem celého zabezpečení často bývá samotný klient. Většina bank poskytuje klientům informace jak se bezpečně chovat při využívání internetového bankovnictví, na svých stránkách uvádějí různá desatera bezpečného využívání internetového bankovnictví. Při využívání internetového bankovnictví jde zejména o aktivní přístup k bezpečnosti, věnování pozornosti aktuální verzi antivirového softwaru, kvalitní firewall, ochranu hesel, uchovávání certifikátu na výměnném médiu na bezpečném místě, stejně jako ochranu čipové karty a PIN kalkulátoru před ukradením nebo ztracením. Klient by měl věnovat pozornost správné adrese internetových stránek. Internetoví podvodníci jsou schopni klienta přesměrovat z oficiálních stránek banky na vlastní podvržené stránky, které jsou od oficiálních k nerozeznání, v lepším případě může být rozdíl třeba jen v jednom písmenku v řádku adresy stránky. Klient zadá v dobré víře přístupové údaje, které pak mohou být lehce zneužity. Jedná se o metodu nazvanou pharming. Dalším způsobem, jak podvodníci získávají údaje, je phishing. Jedná se o e-maily tvářící se jako od banky, které vyžadují zaslání důvěrných informací. Je samozřejmé, že banky by nikdy nežádaly o zaslání takovýchto informací e-mailem. Největší pozornost bezpečnosti by měl tedy věnovat zejména samotný klient, zajímat se o způsoby zabezpečení nejen internetové bankovní aplikace, ale i svého počítače. A hlavně zajistit veškerá přístupová hesla a certifikáty před zneužitím. 29.3.2008 Katarína Citsoňová

Zdroje www.mesec.cz www.alsoft.cz cs.wikipedie.org 29.3.2008 Katarína Citsoňová

Děkuji za pozornost! Dotazy? 29.3.2008 Katarína Citsoňová