Novi standardi informacijske varnosti v bančništvu
Matej Kovačič
2. sep 2020 ob 21:30:09
Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.
Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).
Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko obskurno spletno stran, kamor se bomo prijavili zgolj enkrat (npr. zato, da dobimo dostop do neke datoteke), je seveda precej vseeno kako varno je. Pri geslu za e-pošto ali dostop do spletne trgovine, kamor smo vpisali številko svoje kreditne kartice, je varnost seveda precej bolj pomembna. A kot kaže to ne velja za gesla za dostop do spletne banke.
Pri Abanki (ki se je pred kratkim združila z NKBM), so svojim komitentom poslali zahteve po spremembi gesla za dostop do spletne banke.
Pri tem navajajo, da morajo biti nova osebna gesla dolga točno 6 znakov in naj vsebujejo le številke od 0 do 9.
Res pa je, da niso pozabili na varnost, saj v svojem sporočilu navajajo, da "zaradi varnosti ne morete uporabiti določenih kombinacij, kot so na primer štetje naprej ali nazaj, vseh enakih številk ali izmenično dveh številk". Zvito.
Abanka je imela v preteklosti omogočeno prijavo z digitalnim potrdilom in "normalnim" geslom (zahtevali so vsaj en poseben znak ter kombinacijo velikih in malih črk), po združitvi z NKBM v začetku letošnjega leta pa so uvedli prijavo z e-naslovom in statičnim šestmestnim številčnim geslom ter enkratnim geslom, ki ga uporabnik dobi preko SMS sporočila na telefon.
Pohvalno je sicer, da pri Abanki uporabljajo dvofaktorsko avtentikacijo oz. so uvedli dodatni varnostni element v obliki enkratnega SMS-gesla. Pa vendar se je marsikdo vprašal, čemu je potrebno vsiliti 6-mestno statično geslo. Razen, če pri Abanki morda ne varčujejo s prostorom (dolga gesla zavzamejo več prostora v pomnilniku)...
Poteza Abanke je prožila tudi kar nekaj nejevoljnih odzivov komitentov, kar dokazujejo tudi komentarji pod video navodili na Youtubu.
Ob tem ni odveč opozoriti tudi na dejstvo, da je z napadi na mobilna omrežja (oz. z napadi na SS7 protokol mogoče prestrezati SMS sporočila. Napadi na SS7 vsekakor niso samo teoretični, pač pa so znani že nekaj let.
Mimogrede, povezava v obvestilu, ki so ga uporabnike Abanke prejeli v mobilni aplikaciji, kaže na spletišče https://app.site.abanka.si. Digitalno potrdilo za to spletišče je izdano za domeno "*.t.en25.com" za organizacijo Oracle Corporation. Je res tako težko registrirati digitalno potrdilo, ki bi bilo v skladu z varnostnimi standardi 21. stoletja?
Spremembe politike glede gesel so morda povezane prav z omenjeno združitvijo Abanke z NKBM. Tudi ta v svoji spletni banki namreč geslo omejuje na 6 številk, kot je razvidno s posnetka zaslona.
Ob vsem skupaj se lahko resno vprašamo, kaj so razmišljali vodilni v Abanki, ko so načrtovali in uvajali navedene spremembe?
No, morda pa je odgovor jasen...