Je telefonní bankovnictví bezpečné?

  • 2
Požádali jsme o názor na bezpečnost telefonního bankovnictví ředitele divize informační bezpečnosti eBanky a předního českého kryptologa, Tomáše Rosu. Je podle něj telefonní bankovnictví bezpečné? A jak je na tom ve srovnání s internetbankingem?

Pohlížet na bezpečnost telefonního bankovnictví lze ze dvou hledisek - z pohledů autentizace a důvěrnosti dat. Z hlediska důvěrnosti dat lze podle něj bohužel označit telefon za přístroj odposlouchatelný. Na rozdíl od internetbankingu, kde lze komunikaci s bankou šifrovat, totiž neexistuje dosud mnoho kvalitních šifrovacích telefonů - a pokud ano, nejsou vzájemně kompatibilní.

Problém autentizace je řešen bankami různě, avšak vzhledem k odposlouchatelnosti spojení, musí být toto řešení přiměřeně robustní. Za nepříliš robustní až nebezpečné lze považovat případy, kdy je klientovi obyčejně přiděleno identifikační číslo (může být rodným číslem, číslem platební karty či náhodně vygenerovaným shlukem číslic) a heslo, případně PIN, které klient uvádí na začátku spojení pro svou autentizaci. Tento přístup příliš nevylepší ani situace, kdy klient uvádí vždy jen určité, bankou náhodně volené pozice ze svého hesla. Aby tato metoda byla robustní, musela by být délka hesla daleko za hranicí akceptovatelnosti pro běžné klienty. V opačném případě lze statisticky ukázat, že po několika odposleších útočník postupně stejně získá celé heslo.

Méně běžným případem je zabezpečení výše uvedeným způsobem, doplněným jednorázovými transakčními hesly pro autentizaci (certifikaci) vlastních příkazů. Z pohledu aktivních operací tento způsob podstatně vylepšuje dříve uvedené. Certifikační hesla jsou předána klientovi bezpečným kanálem (v neporušené obálce, podobně jako PIN) a jsou použitelná pouze jedenkrát, což splňuje požadavky na bezpečnost. Nicméně transakční hesla jsou často používána tak, že certifikují jen aktivní operace. To vidí Tomáš Rosa jako horší zprávu, neboť prolomením úvodní autentizace, která je nepoužívá, lze zjistit zůstatek či pohyb na účtu. Na druhou stranu, jejich použití na začátku každé, byť pasivní transakce by způsobilo rychlý úbytek těchto hesel a jejich časté obměňování, což je v praxi bank těžko představitelné. Navíc je zde ještě jeden podstatný problém a tím je nepopiratelnost klientských transakcí. Zadávaná transakční hesla totiž nejsou závislá na konkrétních parametrech transakce, což otevírá potenciální možnosti pro další útoky.

Třetím způsobem, jakým lze v praxi zabezpečit transakci, je svázání autentizace s určitým fyzickým předmětem - nejčastěji půjde o takzvaný PIN kalkulátor či mobilní telefon s nahranou bankovní aplikací. Takový postup splňuje dva ze tří požadavků pro ideální autentizaci - klient "něco zná" (splňují minulé dva příklady) a něco "má" - prokazuje se i držením určitého předmětu (pro přečtení kódu je nutné znát PIN a vložit jej do předmětu). Posledním požadavkem pro splnění ideálu je "něčím být" - například v případě, že by vlastněný přístroj snímal otisky prstů, bylo by ověření klienta dokonalé. Biometrické přístroje však dosud oscilují mezi bezpečností a cenou. Nicméně teoreticky se o jejich případném využití v oblasti přímého bankovnictví uvažuje.  

Předměty jsou konstruovány tak, aby na základě odposlechnutých spojení nebylo možné vytvořit jejich kopie. Lze si je vlastně představit jako obrovský soubor jednorázových hesel, která jsou ovšem generována postupně a mají omezenou platnost. Díky jejich nevyčerpatelné zásobě s nimi lze „plýtvat“ i na úvodní autentizaci klienta, čímž se celé schéma stává skutečně robustním. V případě certifikace příkazů také vyniká závislost certifikačního kódu na parametrech transakce. Nelze proto k danému kódu podvrhnout jiný příkaz. Tato závislost nabývá ideální podoby u PIN kalkulátorů, do kterých klient přímo ručně přepisuje jednotlivé části příkazu – má tak vše pod svou kontrolou. Certifikace mobilním telefonem probíhá technicky stejně, s tím rozdílem, že certifikační kód může být počítán na straně banky a do telefonu je odeslán až samotný výsledek, Tato praxe dnes nepředstavuje podstatné zvýšení rizika.Jaké je posouzení bezpečnosti systému IVR a telefonního kontaktu s operátorem? Podle Tomáše Rosy ve značné míře závisí na architektuře celého systému - pokud je kvalitní, neměl by být v těchto dvou systémech z hlediska bezpečnosti významný rozdíl. Banky ovšem často u automatů slevují z požadavků na bezpečnost (například heslo či PIN mohou být oproti hovoru s operátorem zadávány celé). Na druhou stranu mohou být i kvůli bezpečnosti často hlasové automaty omezeny na pasivní transakce.

Jak vidí Tomáš Rosa srovnání telefonního a  internetového bankovnictví?
Podle zkušeností odborníků se lidé více bojí operací přes internet než telefon. Internet lze ale přitom z již uvedených důvodů zabezpečit lépe. I když jde o nebezpečnější prostředí (útoky jsou častější), prostředky na jejich odvrácení jsou výrazně vyspělejší, ovšem i zde vše záleží na implementaci dané banky. Důvod obav je podle Tomáše Rosy nejspíše ten, že zatímco na rizika telefonních hovorů (možnost odposlouchávání) si lidé již zvykli, internet je mladším médiem a lidé tedy neuvykli zvažování a posouzení možných rizik s „chladnou hlavou“.