Інтернет-банкінг: порівняння захисту
Jun. 15th, 2011 12:48 amSo far, я є власником банківських рахунків у трьох країнах, тож дозволю собі зробити коротке порівняння захисту і можливостей інтернет-банкінгів, до яких я маю доступ. Не буду казати, що банки, які я користуюся, є найліпшими, але принаймні знаходяться в категорії «добрий банк». Отже, поїхали.
Bank BPH, Польща
Я є клієнтом цього банку з 2007 року, і за цей час в нього кілька разів змінився власник. Система, однак, не зазнала значних змін, за винятком того, що модуль електронного підпису став ліпше працювати під лінуксом. Отже, features:
— логіном в систему є 9-цифровий номер клієнта, ніяк не пов’язаний з номером рахунку і такий, що неможливо дізнатися з відкритих джерел. Однак, його знають співробітники банку, бо саме цим номером я ідентифікуюся у всіх «стосунках» з банком;
— пароль входу в систему «маскується», тобто ввести потрібно лише рендомні частини пароля (наприклад: 1, 5, 7, 9 і 10 літеру), що автоматично робить неможливим його «підглянути» чи записати кейлогером.
— після входу в систему можна подивитися історію рахунку та баланс. Натомість всі операції, пов’язані з перерахуванням грошей, потрібно авторизовувати електронним ключем.
— ключ зберігається на сервері, при цьому з ним пов’язаний другий пароль, який повинен бути не такий, як пароль входу в систему. Для авторизації будь-якої транзакції запускається спеціальний модуль на Java-і, в якому треба ввести пароль до ключа.
— додатково, всі транзакції до невідомих в системі відправників авторизуються SMS-кою до введення паролю ключа. В SMS-ці надсилають одноразовий цифровий код. Після першої транзакції відправника можна зберегти в системі, і надалі всі зв’язані з ним транзакції авторизувати лише ключем-паролем.
Засоби, потрібні, для зламання рахунку: за допомогою терморектального криптоаналізу дізнатися логін, пароль, пароль для ключа, пограбувати хату і забрати з неї польську сім-картку.
Universal Bank, Україна
Система схожа на польську:
— логіном є номер клієнта з 7 (?) цифр, який, однак, можна запам’ятати в cookies;
— пароль не маскується;
— для підпису використовується модуль Java.
Однак, тут схожість і закінчується: в цьому банку ключ зберігається у мене на компі. А саме в ~/.java/deployment/security/trusted.certs. Консультантка переконувала мене, що я не можу перенести ключ на інший комп, в що я не вірю: взяв і скопіював всі конфіги, які проблеми? Утім, не пробував.
Пароль №2 теж є, але він потрібен лише при першій генерації ключа. Надалі для підпису просто запускається модуль Java, там я обираю ключ, і все. І ще: банк вимагає змінювати пароль щокілька місяців.
Засоби, потрібні, для зламання рахунку: за допомогою терморектального криптоаналізу дізнатися логін і пароль, спиздити ключ, переписавши ~/.java на флешку, або конфіскувавши мій ноутбук.
Sparda-Bank Nürnberg, Баварія
Дуже зручний і водночас захищений банкінг, що працює на будь-якому компі, в будь-якій ОС, на телефоні, і не вимагає ані Java-и, ані іншого гівна.
— логіном є номер мого рахунку. Оскільки банк маленький, то це всього 7 цифр. Цей номер написаний на моїй платіжній картці;
— замість пароля «пін-код». Початковий мав 4 цифри, я його замінив на 6-цифровий.
— немає ніяких ключів. Транзакція авторизується кодом, що називається TAN (Transaction Authorization Number).
— TAN-и бувають двох типів: iTAN та mobileTAN. Останній — код, що надсилається sms-кою на мобілку, як і в банку BPH. Це найзручніше, але, крім зарядженої мобілки з вставленою німецькою карткою, має один мінус: лише 5 TAN-ів на місяць є безкоштовними. Утім, мені вистачає. Другий спосіб, точніше, він перший — це список кодів, що банк надсилає додому паперовою поштою. Їх десь сотня, просто списком на папері надруковані. Під час авторизації банк попрохає один з них у рендомному порядку. Коли 75% кодів буде використано, банк автоматично надішле поштою новий список iTAN-ів.
Засоби, потрібні, для зламання рахунку: випити зі мною у моїй кваритрі і/або зайнятися сексом і, користуючись ситуацією, спиздити список TAN-ів і переписати логін з моєї платіжної картки,, встановити кейлогер на компі, що запише пароль. Або за допомогою терморектального криптоаналізу дізнатися пароль.
Bank BPH, Польща
Я є клієнтом цього банку з 2007 року, і за цей час в нього кілька разів змінився власник. Система, однак, не зазнала значних змін, за винятком того, що модуль електронного підпису став ліпше працювати під лінуксом. Отже, features:
— логіном в систему є 9-цифровий номер клієнта, ніяк не пов’язаний з номером рахунку і такий, що неможливо дізнатися з відкритих джерел. Однак, його знають співробітники банку, бо саме цим номером я ідентифікуюся у всіх «стосунках» з банком;
— пароль входу в систему «маскується», тобто ввести потрібно лише рендомні частини пароля (наприклад: 1, 5, 7, 9 і 10 літеру), що автоматично робить неможливим його «підглянути» чи записати кейлогером.
— після входу в систему можна подивитися історію рахунку та баланс. Натомість всі операції, пов’язані з перерахуванням грошей, потрібно авторизовувати електронним ключем.
— ключ зберігається на сервері, при цьому з ним пов’язаний другий пароль, який повинен бути не такий, як пароль входу в систему. Для авторизації будь-якої транзакції запускається спеціальний модуль на Java-і, в якому треба ввести пароль до ключа.
— додатково, всі транзакції до невідомих в системі відправників авторизуються SMS-кою до введення паролю ключа. В SMS-ці надсилають одноразовий цифровий код. Після першої транзакції відправника можна зберегти в системі, і надалі всі зв’язані з ним транзакції авторизувати лише ключем-паролем.
Засоби, потрібні, для зламання рахунку: за допомогою терморектального криптоаналізу дізнатися логін, пароль, пароль для ключа, пограбувати хату і забрати з неї польську сім-картку.
Universal Bank, Україна
Система схожа на польську:
— логіном є номер клієнта з 7 (?) цифр, який, однак, можна запам’ятати в cookies;
— пароль не маскується;
— для підпису використовується модуль Java.
Однак, тут схожість і закінчується: в цьому банку ключ зберігається у мене на компі. А саме в ~/.java/deployment/security/trusted.certs. Консультантка переконувала мене, що я не можу перенести ключ на інший комп, в що я не вірю: взяв і скопіював всі конфіги, які проблеми? Утім, не пробував.
Пароль №2 теж є, але він потрібен лише при першій генерації ключа. Надалі для підпису просто запускається модуль Java, там я обираю ключ, і все. І ще: банк вимагає змінювати пароль щокілька місяців.
Засоби, потрібні, для зламання рахунку: за допомогою терморектального криптоаналізу дізнатися логін і пароль, спиздити ключ, переписавши ~/.java на флешку, або конфіскувавши мій ноутбук.
Sparda-Bank Nürnberg, Баварія
Дуже зручний і водночас захищений банкінг, що працює на будь-якому компі, в будь-якій ОС, на телефоні, і не вимагає ані Java-и, ані іншого гівна.
— логіном є номер мого рахунку. Оскільки банк маленький, то це всього 7 цифр. Цей номер написаний на моїй платіжній картці;
— замість пароля «пін-код». Початковий мав 4 цифри, я його замінив на 6-цифровий.
— немає ніяких ключів. Транзакція авторизується кодом, що називається TAN (Transaction Authorization Number).
— TAN-и бувають двох типів: iTAN та mobileTAN. Останній — код, що надсилається sms-кою на мобілку, як і в банку BPH. Це найзручніше, але, крім зарядженої мобілки з вставленою німецькою карткою, має один мінус: лише 5 TAN-ів на місяць є безкоштовними. Утім, мені вистачає. Другий спосіб, точніше, він перший — це список кодів, що банк надсилає додому паперовою поштою. Їх десь сотня, просто списком на папері надруковані. Під час авторизації банк попрохає один з них у рендомному порядку. Коли 75% кодів буде використано, банк автоматично надішле поштою новий список iTAN-ів.
Засоби, потрібні, для зламання рахунку: випити зі мною у моїй кваритрі і/або зайнятися сексом і, користуючись ситуацією, спиздити список TAN-ів і переписати логін з моєї платіжної картки,, встановити кейлогер на компі, що запише пароль. Або за допомогою терморектального криптоаналізу дізнатися пароль.