Őrizd a kódot!

Nem a világhálón bitekben közlekedő titkosított adatokat kell féltenünk, hanem a PIN kódot, a jelszót, a személyi azonosítót – mondják a bankinformatikai szakemberek, és hozzáteszik: az e-kereskedelem előmozdítására számos, az on-line fizetést támogató megoldás született már, és néhány egyszerű trükkel megakadályozhatók a rablások, vagy legalább minimalizálható az anyagi kár.

Az információ védelme érdekében a pénzintézeteknél három kritériumnak kell minden esetben meg felelni, és ha a negyedik is teljesül, akkor nagyfokú biztonságról beszélhetünk. Az első a sérthetetlenség (integrity), a második a titkosítás (privacy), a harmadik az azonosítás (authentication), a negyedik pedig a tagadhatatlanság (non-repudation). Az első két feltétel önmagáért beszél. A harmadik, az azonosítás arra szolgál, hogy például az ügyfél valóban az általa keresett banki oldalt érje el a világhálón, ne pedig egy hamisat; a tagadhatatlanság azt igazolja, hogy valóban ő indította el a banki tranzakciót az adott időpontban, és nem más. A bankok ehhez minden esetben kérik a személyes regisztrációt, azonosítót és jelszót osztanak ki, hiszen az interneten a banki szerver nem tudja azonosítani az ügyfelet, csak a gépét.

Egyszerűen, ésszerűen

E-bankolásnál először kialakul egy SSL (Secure Sockets Layer) protokoll segítségével titkosított adatcsatorna, amely egyoldalú azonosítással jár akkor, amikor a felhasználó böngészője elfogadja a bank digitális tanúsítványát. Amint azonban – az általában másik szerveren futó(!) – e-banking alkalmazást kívánja igénybe venni, a bank kéri az azonosítóját, a PIN kódot. Az ügyfél ezzel igazolja vissza, hogy valóban jogosan ad on-line utasításokat a banki rendszernek. Persze ha illetéktelen megszerzi a jelszót, ez a védelem megszűnik. A kódot ezért nem ajánlatos felírni, vagy ha mégis, olyan helyre kell tenni, ahol senki nem férhet hozzá.
A visszaélések, lopások elkerülése végett több ésszerű – és ma már a legtöbb banknál kínált – biztonsági szolgáltatás vehető igénybe.

A legegyszerűbb megoldás két bankszámlát tartani, és ezek közül az egyiket, amelyen csak minimális összeget helyeznek el, csak az internetes vásárlásra fenntartani. A következő megoldás a bankok által már alkalmazott virtuális bankkártya, amely lényegében egy, csak a tranzakció végéig érvényes virtuális számlaszám. A dinamikus kártyalimit hasonlóan biztonságos megoldás. Ekkor az ügyfél egy letiltott kártyával rendelkezik, melyet SMS-ben vagy más módon – ha szükséges – saját maga oldhat fel, és a bank ellenőrzi a telefonszámot. A kártyán ebben az esetben is meg lehet húzni egy összeghatárt. Ha a bankkártyán pénzmozgás történik, SMS-ben kérhető és kapható visszaigazolás.

Ha belép a kereskedő

Míg az e-banking kétszereplős tevékenység, addig az internetes kereskedelemben a vevő mellett a szállító és a bank is részt vesz az ügyletekben. A fizetés eszközei közül a bankkártya vált elfogadottá, más egyebek, mint például az e-cash, csak kis körben terjedtek el. Mivel az akció lebonyolításakor a felelősség a banké, a kereskedőkkel szigorú feltételrendszert alakít ki. Meg kell azonban találnia egy optimális szintet, mert ha például a gyakorlatban túl bonyolult a titkosító- és hitelesítő rendszer, akkor a kereskedők elvándorolhatnak tőle.
Egy tranzakció egyébként egy-két perc alatt lezajlik: a vevőtől a kereskedő felé elindul a fizetés, a kereskedőtől elindul a fizetési kérelem a bank felé, a bank pedig visszaigazolja, hogy a vevőnek valóban van anyagi fedezete, majd megtörténik a kifizetés. A folyamatot a SET (Secure Electronic Transaction) szabvány támogatja. A nagy összegű, kiemelt fontosságú tranzakciónál szerencsés, ha nem egy, hanem több ember hitelesíti azt elektronikus aláírásával (lásd keretes írásunkat!). Ez ugyanis nagyfokú biztonságot garantál. Még akkor is ígéretes eljárás, ha – tegyük fel – fegyveres támadás történik, ugyanis több embert akár különböző helyszíneken igen nehéz sakkban tartani. A tranzakció azonosítására időben változó karaktersorozat áll rendelkezésre. Egy-egy karaktersorozat „tűréshatára” egy-két perc, addig érvényes, utána megszűnik.
A bankok a rendszer támadhatóságát egyébként néha úgy mérik fel, hogy hackereket bérelnek fel.

Banki ki mit tud

Az általános elvek rögzítése után vegyünk két hazai példát! A Raiffeisen banknál az ügyfelek azonosítását kezdetben egyszerűen jelszóval oldották meg, aztán második lépésként a kulcslemezen – egy flopin – tárolt elektronikus aláírásos rendszert vezették be. Végül két évvel ezelőtt az úgynevezett tokenes (vezérlőjeles) ügyfélkártya következett, amely lényegében egy hitelkártya méretű, speciális funkciókkal kiegészített „számológép”. Ez – szemben a csipkártyás megoldásokkal – nem igényel kártyaolvasó terminált. Azonosító és hitelesítő funkciója van, amely az ügyfélnél lévő, maximum tíz számjegyből álló saját PIN kódon alapul. Ezt a kódot bármikor tetszőlegesen megváltoztathatja az ügyfél. Miután a „számológépbe” beüti a kódját, a gép generál egy véletlenszerű azonosító számot. A bankhoz ezt eljuttatva, tudni fogják, hogy a szám az adott tulajdonos gépétől származik. Hogy az azonosító számot az ügyfél hogy juttatja el a bankhoz, rajta áll: telefonon diktálja be, internetes oldal aljára írja be, vagy a faxlap alján tünteti fel.

A token kártya hitelesítésre is képes: ha például az utalni kívánt összeg beírása után üti be az ügyfél a PIN kódját, generál egy számsort. Egy azonosító szám csak egyszer használható, és az alkalmazott – szabványos titkosítási – algoritmusok garantálják azt, hogy az eszköz és a PIN nélkül lehetetlen egy másik, jó azonosító számot előállítani, még ha minden egyéb információ – például az összeg vagy az eredeti azonosító szám maga – ismertté válik is. A tokenes rendszer legnagyobb előnye, hogy bár az alkalmazott algoritmus és a kulcsok a csipkártya-technológiák adatmennyiségének töredékével üzemelnek, a biztonsága így is megközelíti a csipkártyás eljárások szintjét, és használata nincs számítógéphez kötve.

A Kereskedelmi és Hitelbank egy éve a jelenleg elérhető legmagasabb biztonsági szintet kínálja ügyfeleinek; az ügyfelek azonosítására csipkártyát alkalmaz. A kártyán tárolt adatokat – tanúsítvány – PIN kóddal védik. A csipkártya mai módszerekkel feltörhetetlen, az adatokat beleégetik, és azok másolhatatlanok. Olyan, mint egy számítógép, parancsot kap és végrehajtja azt, de az adatok egy pillanatig sem kerülnek ki belőle. Az ügyfelek a csipkártyát és a kártyaolvasó terminált ingyen kapják, de a szolgáltatásért havi 200, a kártyáért évi 2 ezer, a terminálért pedig évi 3 ezer forintot kell fizetniük. Az ügyfelek és a K&H Bank közötti üzeneteket kulcsolással titkosítják. Maga az internetes hordozóközeg is nagyon biztonságos, a mai iparági standardnak tekintett leghosszabb kódsorozat – 128 bites SSL – adja az adattovábbítás hátterét. A bank az ügyfelek által végzett műveleteket regisztrálja, így minden művelet visszakereshető.

Hálózati monitorozó szoftver

A bank vagy az ügyfél számítógépéről kimenő adatok, amint befutnak a „falba”, azonnal publikus közegbe kerülnek, ahol rengeteg állomáson érheti őket támadás. Az úgynevezett hálózati monitorozó és elemző (sniffer) szoftvereket viszont arra találták ki, hogy rögzíteni és elemezni tudják a forgalmat, és az érthetetlen bitfolyamot emészthető formára alakítsák át. Ez a rendszergazdának nagyon hasznos, mert akár egyetlen számítógép, akár a teljes belső hálózat vagy egy bérelt vonal forgalmát is átnézheti utólag, s intézkedhet, ha szokatlan tartalmi elemekre bukkan. Az adatok lehallgatása, elemzése tehát szükségszerű, viszont azok módosítása és lopása ellen mindenkinek kötelező védekezni. Például úgy, hogy az adatokat titkosító kulcsokat állandóan változtatja.

Véleményvezér

Túl szemérmetlenül loptunk, lecsapott az OLAF

Túl szemérmetlenül loptunk, lecsapott az OLAF 

Felelőse vélhetően nem a milliárdos csalásnak.
Ukrajna felszólította Orbán Viktort, hogy fejezze be a békemisszónak nevezett trollkodását

Ukrajna felszólította Orbán Viktort, hogy fejezze be a békemisszónak nevezett trollkodását 

A magyar külpolitikát Moszkvában írják az ukránok szerint.
A Visegrádi Négyek közül Magyarország fogadta be a legkevesebb ukrán menekültet

A Visegrádi Négyek közül Magyarország fogadta be a legkevesebb ukrán menekültet 

A magyar humanitárius segítség az ukránoknak minimális.
Mikor van karácsony Orbán Viktor szerint?

Mikor van karácsony Orbán Viktor szerint? 

Az ortodox karácsony januárban van, a nyugati keresztény pedig decemberben.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo