Auðkennislykillinn

Grein sem ég skrifaði fyrir nokkru um auðkennislykilinn vakti vægast sagt hörð viðbrögð.

Nú kíkti ég á netið í smá stund og athugaði hvernig netbankaþjónusta væri veitt annarstaðar í heiminum og hvort ég mundi finna eitthvað um netbankarán á Íslandi.

Það sem ég komst að:

Það er mun algengara að netbankar á Íslandi séu rændir en mig grunaði, þó er það alltaf fólk sem á peninga (ég mundi s.s. sleppa).
Á mbl.is fann ég :

21.5.2004 | 05:30| Ekkert innbrot í Heimabanka sparisjóðanna…
Þar var fjallað um hvernig brasilískir tölvuþrjótar hökkuðu sig inná síðu heimabanka.is sem hýst var hjá þriðja aðila. Engar persónuupplýsingar voru á þeim server, enda ekki server bankans.

7.11.2006 | 05:30 | Rændu 200 þúsundum í gegnum heimabanka…
„BROTIST var inn í heimabanka og peningar millifærðir milli íslenskra banka og að lokum til banka í Úkraínu. Talið er að Íslendingur hafi verið blekktur til að millifæra peningana úr landi. Atvikið átti sér stað í síðustu viku.“

„Guðjón Rúnarsson, framkvæmdastjóri Samtaka banka og verðbréfafyrirtækja, segir að viðskiptavinir frá öllum bönkum hafi lent í því að óprúttnir aðilar komist inn á heimabanka og reyni að millifæra fé, þótt tilvik sem þessi séu ekki algeng. Bankar og sparisjóðir meti hvert tilvik fyrir sig en í þeim tilvikum þar sem notandi heimabanka sé grunlaust fórnarlamb tölvuþrjóta hafi bankar og sparisjóðir tekið á sig ábyrgðina.“
(Brjánn Jónasson, mbl.is)

Það sem er athyglisvert í þessari frétt eru ummæli Guðjóns Rúnarssonar um notendur heimabanka og banka og sparisjóði takandi á sig ábyrgð.
Bankarnir eiga náttúrulega að taka á sig ábyrgð nema um vítavert kæruleysi sé að ræða af hendi notenda.

7.12.2005 | 09:44 | Komst yfir lykilorð og millifærði um 1,5 - 2 milljónir yfir á sinn reikning…

Stupid is what stupid does… sinn reikning. Þessi gæti komist í Jay Leno.

7.12.2005 | 07:17 | Í gæsluvarðhald fyrir að brjótast inn í heimabanka…

Sama mál og hér á undan enda bara 2 klst á milli fréttanna.

20.7.2006 | 08:47 | Milljónum stolið af heimabönkum…

Hérna kemur fyrsta alvöru málið (enda var ég erlendis þegar þetta gerðist - O.C. rules)
„Lögreglan í Reykjavík rannsakar nú fjögur umfangsmikil fjársvikamál þar sem rúmlega 20 milljónum króna hefur verið stolið rafrænt með millifærslum af reikningum fólks í gegnum heimabanka. Þjófarnir hafa bæði notast við tölvur erlendis frá og einnig hefur þetta verið stundað í íslenskum tölvum og peningarnir síðan sendir til eins af Eystrasaltslandanna.
Í fyrsta málinu sem kom upp í október í fyrra voru fjárhæðirnar færðar yfir á tvo innlenda bankareikninga og síðan sendar erlendis með Western Uninon peningaflutningafyrirtækinu“
(mbl.is)

Þetta hljómar nokkuð ótrúlega og ekki hefði ég trúað þessu ef ég hefði ekki lesið þetta sjálfur.
En það er greinilega verið að stela af fólki sem á peninga, ég á enga þannig að ég slepp.

En OK ég skal viðurkenna að heimabankarána businessinn á Íslandi er stærri en ég hélt (í krónum talið) en fjöldi rána er óverulegur og takmarkast nær eingöngu við þá sem eiga milljónir inná reikningum sínum.

En ég googlaði meira.

Ég fann áhugavert Word skjal á

http://sja.is/skjol/fjarmalavefir_v.1.2.doc

Þar koma fram áherslur banka og fjármálastofnana við uppsetningu á heimasíðum.
Hvernig heimasíður banka eru metnar:

Hversu vel stendur síðan sig í að uppfylla kröfur þessara fjögurra flokka:

Virkni (40%): Hvað geta notendur gert á síðunni
Dæmi: Er hægt að kaupa verðbréf eftir auglýstan opnunartíma

Skilningur (35%): Hversu auðvelt er að nota vefinn?
Dæmi: Geta notendur séð hversu hár fjárhæðir eru lausar til afnota í
sparireikningum?

Persónuvernd og öryggi (15%): Hversu vel ver síðan persónu upplýsingar?
Dæmi: Eru reikningsnúmer falin?

Gæði og framboð (10%): Mætir síðan kröfum um innihald og gæði umsókna? Hversu vel stendur síðan sig gagnvart notendum með sérþarfir?
Dæmi: Er alltaf sími þjónustuversins á öllum síðum vefjarins

https://webexcellence.keynote.com/login.aspx

Ef bankar leggja 15% áherslu á sitt öryggi þá er ekki furða að eitthvað svona vesen lendi á neytendum (mætti halda)

En ég fann líka að þetta öryggi sem Auðkennislykillinn á að skapa myndast sökum „two factor authentication“ sem er í raun að bankinn biður notandann um eitthvað í viðbót (einhver spurning) sem bankinn veit svarið við fyrirfram. Best er náttúrulega að svarið sé breytanlegt líkt og auðkennislykillinn gerir. Einnig er hægt að nota eitthvað sem er einkennandi fyrir einstaklinginn, t.d. rödd (notað erlendis), fingrafar (óalgengt) eða jafnvel webcam notað til að meta andlitsfall (í þróun)
(unnið að mestu úr upplýsingum af) http://www.out-law.com/page-5467 )

Á síðunni:

http://www.out-law.com/default.aspx?page=6234

Kemur einnig fram að auðkennisnúmer er gilt í heimabanka í 30 sek (í þeirra dæmi) og ef ekki er beðið um auðkennisnúmer við framkvæmd ferslna þá sé öryggið ekki tryggara. Það segir sig nokkuð sjálft ef það þarf bara að nota lykilinn til að komast inní heimabankann en ekki fyrir færslunar. Tölvuþrjótar gætu notað sama númerið (ef þeir ná að hlera það innan 30sek)

Í þessari grein er einnig fjallað um hversu falskt öryggi þessir lyklar eru og hvernig tölvuþrjótar eru farnir að komast framhjá slíkum auðkennis-öryggiskerfum.

Erlendis hefur einnig verið varpað fram siðferðisspurningum á borð við, „hvað um blinda? Eiga þeir rétt til aukins öryggis?“

Á síðunni:

http://www.out-law.com/default.aspx?page=6234

Er fjallað um hvernig Lloyds bankinn prófar þessa auðkennislykla. 30.000 fyrirtæki (ekki einstaklingar) fengu svona lykla. (reyndar er minnst á lykla með hátölurum fyrir blinda)
Einnig er í greininni fjallað um hvernig það gæti hjálpað ef notendur gæru „strauað kortin sín heima“, en við komu seinna að því hvernig sú tækni virkar og er aðgengileg og ætti að vera hérna á skrifborðinu hjá mér í staðin fyrir Auðkennislykilinn minn.

Til að forða notendum sínum frá tölvuþrjótum sem nota forritið“keylogger“ sem fylgist með hvað slegið er inn á lyklaborðinu á hafa bankar margar aðrar lausnir.

Ég las um banka sem gera líkt og Glitnir, láta viðskiptavinina nota mús til að klikka á töluborð á skjánnum.

Það sem sérfræðingar mæltu með var þó að láta notendanafn og lykilorð vera fastan fjölda stafa og svo fyrir hvern staf var fellivallisti (drop down list) með öllum tölu og bókstöfum fyrir kúnan að velja til að skrifa (staf fyrir staf)notendanafnið sitt og lykilorð. Þetta er víst erfiðara fyrir tölvuþrjóta.

En svo fann ég það sem mér fannst sniðugast

http://www.gi-de.com/portal/page?_pageid=42,54854&_dad=portal&_schema=PORTAL

Bankarnir hafa tilkynnt að skipt verði úr segulrandakortum yfir í SMART-kort á næstu misserum. Þessi tækni byggir á SMART-kortum og því ætti ekkert að vera því til fyrirstöðu að innleiða hana hér á landi.

Hið opinbera ætti í raun að taka þátt þar sem þessir USB-lykla debet/kredit/auðkenni geta þjónað sem ökuskírteini, vegabréf o.s.f. jafnvel er hægt að sjá fyrir sér að ef maður geti ekki plöggað USB ökuskírteini í bílinn, þá starti hann sér ekki.

Mig grunar ( svona til að finna samsærið í þessu öllusaman) að bankarnir viti hvert stefnir en vilji venja landann á að borga fyrir þessa auðkennisþjónustu til jafns við debetkortin, þá geta þeir rukkað meira fyrir það þegar nýja tæknin kemur. Svo hafa þeir örugglega fundið auðkennislykla á afslætti einhverstaðar þar sem þeir eru að verða úreltir.

Á síðunni (neðarlega):

http://news.bbc.co.uk/1/hi/business/4778977.stm

Hér er stuttlega útskýrt í hverju „man in the middle“ aðferðin sem tölvuþrjótar nota til að komast í gegnum auðkennislykla-kerfi gengur út á

Nú varpa ég fram spurningum til ykkar sem náðuð að klára lesturinn.

Fyrst bankarnir eru að þessu á annað borð, afhverju gera þeir þetta þá ekki almennilega?

Þeir ætla hvort eð er að innleiða SMART-kortin, afhverju ekki að nota þau einnig sem USB (sjá link inní grein) sem auðkennislykil?

Ég er svo innilega ekki sáttur við þessi vinnubrögð bankanna, þetta er falskt öryggi og auglýsingabrella til að fá fólk til að borga pening fyrir drasl. (afsakið orðbragðið svona í lokin)