Én tényleg én vagyok - kétfaktoros hitelesítés mesterfokon

Computerworld
2010. március 13., 16:10
Nyomtatás
Tavaly adott hírt a MIT Technology Review arról az esetről, hogy az amerikai Ferma vállalat számlájáról majdnem félmillió dollárt emeltek le internetes bűnözők, miközben az egyik igazgató az online banki műveleteit végezte.

Megkérdeztük az IT-biztonsággal foglalkozó Nollex Nemzetközi Kft. vezetőjét, hogyan történhetett ez meg.

- A módszer pofonegyszerű - válaszolta Kecskés Győző, a Nollex igazgatója. - Elegendő egy megfelelő kémprogrammal megfertőzni azt a számítógépet, ahonnan a kiszemelt áldozat bejelentkezik az internetes banki felületre, majd megvárni, amíg belép. A kártevő ezt követően valós időben él vissza áldozata adataival. Így miközben a célszemély megbízásokat ad a bankjának, a kémprogram segítségével távolról kitakarítják a számláját. Nem egy hasonló spyware-t ismer a szakma. Ez ellen a kétfaktoros (kétlépcsős) hitelesítés nyújthat védelmet.

- Hazánkban elterjedt módszer, hogy a bankok SMS-ben küldik el a hitelesítő jelszót az ügyfeleiknek, vagy egy hardvertokent (jelszógeneráló eszközt) osztanak ki közöttük. Ez a jó megoldás?

- Nem feltétlenül - mondta Kecskés Győző. - A hardvertoken biztonságos, de az ember könnyen elfelejtheti otthon, a kocsiban, az irodában stb. Az SMS pedig költséges, ezért többnyire egynél több műveletet is lehet vele authentikálni, ami csökkenti a biztonsági szintet, vagy pedig az ügyfelekre hárítják a költségét. Olyan eszköz kell, amely egyrészt mindig nálunk van, másrészt akár másodpercenként új hitelesítő jelszóhoz lehet vele jutni, nulla kiadással. Ilyen a Cidway mobiltelefonra vagy PDA-ra telepítendő eszköze, az úgynevezett szoft token.

- Hogyan működik a szoftveres token?

- Időalapú, egyszer használatos jelszót generál a felhasználó mobiltelefonjára telepített alkalmazás segítségével. A ma használatos mobilok bármelyike képes kezelni, nincs szükség csúcsmodellre hozzá. Az autentikáció időszinkronizációs alapon történik, így nem kell SMS-t küldeni, tehát nem jelenik meg költség és nincs lehallgatható információ. A Cidway kezelését egy gyerek is könnyen megtanulhatja. Mivel pedig nincs semmilyen személyes kód tárolva a mobiltelefonon, az sem baj, ha ellopják vagy elvész, mert a támadó nem tud hiteles jelszót generálni a segítségével.

- Van olyan pénzintézet ma Magyarországon, amelyik használja?

- Néhány érdeklődés van, ezt leszámítva egyelőre nincs, mert még túlságosan beágyazódott az SMS-küldő rendszerek használata, a döntéshozók még bizalmatlanok az új technológiával szemben - vélekedett a Nollex igazgatója. - Pedig nem csak az internetbankolás tehető így biztonságosabbá. Kiváltható vele például a bankkártya, amit az Itaú Bank, egy dél-amerikai bankóriás már be is vezetett. Az ügyfelei az automatánál a Cidway generálta kóddal erősítik meg a személyazonosságukat. Ugyanez működhet az üzletben, a pénztárnál is. De a pénzügyi szektoron kívül is használható: az egyik svájci kanton a helyi ügyfélkapunál azonosítja vele a polgárokat. Persze arra is alkalmas, hogy a vállalati IT-erőforrások távoli elérésekor hitelesítsék magukat a felhasználók. A Cidway az egyre terjedő mobilbank szolgáltatásokhoz is technológiai alapot nyújthat.

- Ezek szerint a Cidway nagyvállalatok és állami intézmények számára elérhető megoldás.

- Szó sincs róla! Már pár tucat embert foglalkoztató cégek vagy intézmények számára is költséghatékony, mert igen kedvező az ára - mondta Kecskés Győző.

A Cidway hazai forgalmazója a Nollex Nemzetközi Kft: www.cidway.hu.

(A cikk a Computerworld hetilap XLI. évfolyamának 11. számában is megjelenik.)

Címkék:
Nyomtatás
Kapcsolódó hírek
ESET Online Vírusirtó
Céginfó hírek (x)