Content
Swedbank: Autentifikācija ar internetbankas palīdzību ir droša
Kategorija: Datu drošība + ePārvaldeKlients, nospiežot saiti, nonāk internetbankas vidē. Ja klients vēlas autorizēties cita uzņēmuma pakalpojumam, tad, ievadot paroles savā internetbankā, viņš sniedz bankai apstiprinājumu – es piekrītu, ka banka šim konkrētajam pakalpojuma sniedzējam nosūta manu vārdu, uzvārdu un personas kodu. Tādējādi pakalpojuma sniedzējs spēj atpazīt klientu un sniegt viņam vajadzīgo pakalpojumu.
Klientam autorizējoties ar internetbankas starpniecību, tiek garantēta datu konfidencialitāte. Banka nosūta pakalpojuma sniedzējam tikai vārdu un personas kodu – ne šim pakalpojuma sniedzējam, ne kādam citam nepiederošam uzņēmumam nav pieejas pašai internetbankas videi, kontiem un citai konfidenciālai informācijai.
Ja neņemam vērā bankas preses relīzē nepareizu terminu “autorizācija” vs “autentifikācija” lietošanu, tad par šo beznosacījuma drošības garantiju atradu mazu komentāru:
Interesants ir arī jautājums par to, vai bankas drīkstētu tikt izmantotas kā trešās puses uzticamības autoritāte autentifikācijai latvija.lv portālā, jo bankas nenodrošina ne tuvu tādas tehniskās un organizatoriskās drošības prasības, kādas tiek izvirzītas pret sertificēto pakalpojuma sniedzēju Latvijas Pastu un tā elektronisko parakstu. Būtībā tas nozīmē, ka jebkurš bankas apkalpojošais personāls, kuram ir pilnvara atvērt i-bankas kontu vai ir pieeja i-bankas infrastruktūrai, var elektroniski parakstīt kādus personas kodus vien vēlas un latvija.lv portāla pusei pat nav iespējas pārliecināties, vai autentificētais lietotājs vispār ir šīs bankas klients.
Jautājums ir: kur glabājas bankas privātās atslēgas, ar ko tiek elektroniski parakstīts mans vārds, uzvārds un personas kods, kurš tiek nodots pakalpojuma sniedzējam? Aparatūras drošības modulī (HSM)? Maz ticams. Iespējams, ka šīs atslēga jau atrodas pie ieinteresētajām pusēm, kuras jau tagad ir spējīgas autentificēties pakalpojumu sniedzējiem kā jebkurš Iedzīvotāju reģistrā esošs subjekts.
Avoti:
Diena.lv: http://www.diena.lv/lat/politics/viedokli/autorizacija-ir-drosa-2011-03-30-1#comments
Datuve.lv: http://datuve.lv/blogs/2297/Integreta_Valsts_Informacijas_Sistema_jeb_Balina_zina_par_tevi_visu_/
2011-03-30 » edgars
Re: Swedbank: Autentifikācija ar internetbankas palīdzību ir droša
30 March 2011 @ 20:01
No kurienes tāda skepse par bankas drošības sistēmām? Vai tiešām Tev liekas ka bankas neapzinās riskus, to nopietnību un iespējamās sekas?
Nu nav gluži tā ka banku IT strādā studenti ar nepabeigtu augstāko kam nav sajēgas par drošību, kā arī tas nav nekāds privātais kantoris kas grib visu pa leeeeeto…
30 March 2011 @ 21:26
ne visam jābūt superdrošam, lai būtu drošs. Bankas sistēmas ir pietiekami drošas, lai veiktu savas funkcijas, Un, ja reiz tās ir pietiekami drošas, lai skaitītu šurpu turpu visai apaļas summas (Swedbankai ~98% transakciju notiek izmantojot internetbanku), neredzu iemeslu, lai nevarētu šo sistēmu izmantot, lai painformētu valsti par vietu, kur mitinos, kā arī apstiprinātu CSP, ka manās mājās ir pods. galu galā vājais posms parasti ir tieši jūzeris-lūzeris, ne sistēma.
neesmu tech specs, bet apšaubu, ka kāds (varbūt izņemot banku) varētu tā īzelī-pīzelī atentificēties kā “jebkurš Iedzīvotāju reģistrā esošs subjekts”.
3 April 2011 @ 12:25
Šajā valstī pārāk daudz kas tiek balstīts uz mītiem. Banku sektorā tā pat kā valsts sektorā ir tendence slēpt drošības incidentus. Tas, ka mēs par tiem nedzirdam, nenozīmē, ka tie nenotiek.
5 April 2011 @ 10:26
Diemžēl Edgaram taisnība. bankas izmanto vidēji vairāk drošības risinājumu kā citur, bet tur ir daudz sarežģītākas sistēmas un organizatoriskās struktūras. Tas rada citus riskus. Modernu drošības tehnoloģiju ieviešana negarantē augstu vispārējo drošības līmeni, ja procesi ir haotiski un risku pārvaldība zemā līmenī.
5 April 2011 @ 21:24
Edgar, es jau nesaku, ka nenotiek. jautājums ir par risku vadību un izmaksām. Tāpat arī lietošanas ērtumu. Tās ir savā starpā saistītas lietas un, rupji runājot, veido konstantu lielumu. Jo drošāka lietošana, jo neērtāka lietotājam. Tāpēc uzturēt sistēmu, kuras izmaksas ir zemas, drošība pienācīga (bet ne ideāla) un lietotājiem pieņemama ir izdevīgāk, pat ja nākas tā dēļ ciest zināmus zaudējumus, nekā būvēt ideālu sistēmu, kura ir dārga un kuru lietotāji galu galā negribēs lietot, jo tā viņiem būs par neērtu vai dārgu.
Tu taču arī ikdienā nestaigā ar bruņuvesti, jo kādam var ienākt prātā tev uzbrukt ar nazi? Tas ir neērti un vispārējam riska līmenim neatbilstoši. Bet, redz, Olainē vienai tantei tā gadījās.