Berta Sándor

USB-kulcs a biztonságos online bankolásért

Az IBM zürichi kutatólaboratóriumának munkatársai egy, az online banki eljárásokban hasznos adattárolót fejlesztettek ki. A Zone Trusted Information Channel (ZTIC) nevű eszköz leginkább egy kijelzővel és irányítógombokkal ellátott Memory-Stick memóriakártyára hasonlít.

A vállalat szakemberei szerint a készülék alkalmazásával sikeresen kivédhetők a e-banki tranzakciók elleni támadások, sőt ezek még akkor is eredményesen lebonyolíthatók, hogy ha ismeretlenek magát a PC-t vagy a laptopot támadják. Az USB-kulcsot elég csatlakoztatni egy szabad USB-porthoz és közvetlen, biztos kapcsolatot épít ki az adott bank vagy pénzintézet szerveréhez. A ZTIC így megkerüli a felhasználó számítógépét és akkor is eredményesen használható, ha a PC-t vagy a laptopot kémprogramokkal fertőzték meg a támadók.


Az eszköz nemcsak a sikeres bejelentkezést és pénzátutalásokat teszi lehetővé, hanem a segítségével ellenőrizhető és jóvá hagyható a folyószámlán végrehajtott vagy a jövőben végrehajtandó minden pénzmozgás. A ZTIC így jóval biztonságosabb a PIN-kódokat vagy a chipkártyákat használó online banki rendszereknél és véd az úgynevezett Man-In-The-Middle támadásokkal szemben is. Ezekben az akciókban a bűnözők az otthoni PC és a bank szervere közötti adatfolyamot fogják el és csapolják meg, illetve módosítják. A manipulált adatokat a bank az ügyfél általi tranzakciókként könyveli el.

"Az egyre professzionálisabb módon működő hackertársadalom miatt nyilvánvalóvá vált a számunkra, hogy a kizárólag a PC-s szoftvereken alapuló jelenlegi azonosítási eljárások potenciálisan veszélyeztettek és új, innovatív megoldásokra van szükség. Ezt adta a lendületet a ZTIC megalkotására" - mondta dr. Peter Buhler, a IBM zürichi kutatólaboratóriumának munkatársa. Az eszköznek köszönhetően nincs szükség PIN-kódokra, titkosításokra vagy egy tranzakció külön, akár jelszó megadásával történő megerősítésére. Az USB-kulcs kijelzője megmutatja a banki szervertől érkező adatokat.

"A védett kapcsolatnak köszönhetően a ZTIC egy biztonságos ablak a szerverhez. Így a felhasználó megerősítheti a tranzakciós adatokat, de akár vissza is vonhatja az átutalást" - tette hozzá a szakember. A megoldás minden operációs rendszerrel kompatibilis, s bárhol, akár útközben, idegen számítógépeken is alkalmazható és a használatához nincs szükség kiegészítő szoftver telepítésére sem.

Az első prototípusokat már tesztelhetik a bankok, míg a cég a felhasználók és az érdeklődők számára nyilvánosságra hozott egy DivX formátumú videót és egy felvételt a YouTube-on, amely a ZTIC működését mutatja be.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • rigidus #16
    > Ez marhaság, hogy megkerüli a PC-t. Hogy kerülné, mikor USB-vel a géphez van csatlakoztatva? Nem a kütyün írja be a pinkódot, hanem a számítógépen!

    Ez itt a lenyeg. Innettol kezdve az egesz kuka.

    > ... a mailware program ezt is simán tudja figyelni ...

    Az "malware", nem "mailware" --> malicious software.

    A fentire pedig van ket eleg hatekony megoldas:
    1. Linux vagy FreeBSD-s live cd.
    2. Felhasznalo azonositas: nev + szamlaszam + min 16 jegyu jelszonak CSAK 2 vagy 3 karakteret keri be veletlenszeruen, soha nem az egeszet.
  • passatgt #15
    igen, de ez tapasztalatom szerint csak Magyarországon van így, amikor németben voltam és kártyával fizettem csak lesett, hogy kaptam róla sms-t
  • Komolytalan #14
    Dolgoztam régebben ilyen "szakembereknek", és az alapján amit írtál, hogy bocsássuk el őket, és vegyünk fel a helyükre amatőröket nem igazán hozna minőségbeli változást a biztonsági megoldásaikban.
  • Komolytalan #13
    Ettől mind a lentebb említett SMS-es megoldás, mind a WoW-ban alkalmazott authentication token megoldás sokkal hatékonyabb.
    Tokenes megoldás lényege az, hogy van egy kis kulcstartó méretű, sorozatszámmal ellátott (ezt regnél meg kell adni) külső behatásoknak ellenálló, felbonthatatlan, semmihez sem csatlakoztatható, kb 10 évig működő kütyüd, amin ha megnyomsz egy gombot kiír egy 6 jegyű számot. Ezt a számot bejelentkezéskor a neved és jelszavad mellett meg kell adni. A fogadó szerver tudja, hogy mely számról indult el az adott kütyü (sorozatszám+reg miatt), és hogy most "hol tart". Nyilván a számok nem egyesével változnak, hanem egy algoritmus alapján. A 6 jegyű szám csupán pár másodpercig, azon belül is csak 1 bejelentkezésig él. Vagyis ha ellopják a jelszavad és a 6 jegyű kódot is, akkor sem tudnak azzal a kóddal újra bejelentkezni, mivel te már bejelentkeztél 1x. Ha ezt blokkolnák, akkor is van max 15 másodpercük - ami alatt te beírtad a számokat.
    Persze ha a kütyüt megszerzik, és a jelszavad is tudják, akkor bukta, de netes bűnözésnél az nem túl valószínű hogy az asztalodon lévő cuccost is ellopják.
  • gemi #12
    Nos én úgy vélem,ha ez egy bootolható eszköz, ami saját bankterminált indít és azon keresztül lehet belépni, akkor elég biztonságos lehet,de a jelszót és felhasználói nevet akkor is meg kéne hagyni.
  • Kingfisher #11
    Szerintem bocsássuk el a Zurich Labs munkatársait, és küldjünk offereket az innovatív SG.hu fórumozóknak. Láthatóan hozzáértőbbek. Szólok is Samnek :)
  • remark #10
    Az uzletben ("biznicben") nem az a biztonsag szamit, ami van, hanem az, amit az ugyfel hisz hogy van. Ugyanez az allitas igaz a minoseggel kapcsolatban is, es mas dolgokkal kapcsolatban is...
    ...mig vegul eljutunk oda, hogy semmivel kapcsolatban sem az szamit ami van, hanem amit az ember hisz hogy van. Ezert a mai fura vilagban, mindenhol ahol csak megjelenik az emberi faktor, ott a hiedelmek apolasa mindig fontosabb, mint az hogy mi a valosag.
  • Mighty #9
    hmm. Nekem még mindig elég biztonságosnak tűnik az, hogy a belépési adatok megadása után (azonosító, felhasználói név - ami nem feltételnül az ügyfélnév, jelszó) sms-ben kapott kóddal (ami 10 percig érvénes) léphetek be a netbankba. Bármilyen pénzmozgáshoz újabb sms-ben kapott kód kell.
  • juzosch #8
    Keyloggerrel le lophatják a jelszót, de az így már nem elég mint eddig, magát az eszközt is el kell lopni. Azt pedig gyorsan észreveszi az ember.

  • roliika #7
    Ha ellopják, nem érnek el vele a világon semmit, mert a jelszó közvetlenül nincs rajta tárolva. Valószínű a szoftvere a jelszót úgy tárolja, hogy a te gépeden van egy része a kódnak a másik az eszközön...legalábbis remélem. Vagy valamilyen MD5 megoldás. Szóval ha banki tranzakciót tud indítani jelszó nélkül, ahhoz a géped is kell.