Cesko.wiki Ověřovací číslo transakce
Author
Albert FloresOvěřovací číslo transakce ( zkratka TAN) je používáno některými online bankovními službami. Jde o využití jednorázových hesel pro autorizaci finančních transakcí. TAN je další vrstva ochrany vedle klasického ověření heslem.
TAN poskytuje dodatečnou jistotu, protože působí jako forma dvoufázového ověření. Může to být fyzický dokument nebo token obsahující TAN. +more V případě krádeže bude tento dokument bez hesla k ničemu. Naopak, pokud se získají přihlašovací údaje, žádné transakce nemohou být provedeny bez platné TAN.
Klasický TAN
Princip klasického TAN:
# Banka vytvoří pro uživatele množinu unikátních čísel. Obvykle každý uživatel dostane kolem padesáti ověřovacích čísel vytisknutých na papíře, což je dost na půl roku pro normálního uživatele; každý TAN je šest nebo osm znaků dlouhý. +more # Uživatel si vyzvedne seznam z nejbližší banky (prokáže totožnost občankou nebo jakýmkoliv podobným dokumentem) nebo mu seznam může být poslán na email. # Heslo a PINy jsou přeneseny zvlášť. # Pro založení účtu, uživatel musí zadat uživatelské jméno (často je to číslo účtu) a heslo (PIN). Nyní byste měli získat přístupové informace, ale možnost zpracování transakcí je stálé zakázána. # Chcete-li provést transakci, uživatel musí zadat požadavek a autorizovat transakci zadáním nepoužitého ověřovacího čísla. Banka číslo ověří ze seznamu čísel, které vám předložila při tvorbě účtu a v případě shody je transakce zpracována. V opačném případě je transakce zamítnuta. # Použité ověřovací číslo nyní už není možné znovu použít. # V případě ztráty seznamu ověřovacích čísel, je nutné informovat banku.
I přes bezpečnost, jakou TAN nabízí, je stále náchylný na phishing útoky, kde se oběť napálí a útočníkovi nevědomky poskytne heslo (PIN) a některý z ověřovacích čísel. Dále TAN poskytuje špatnou ochranu proti útoku Man in the middle, kde útočník zachycuje veškerou vaší komunikaci se sítí (útočník takto může zachytit váš PIN i nepožitý TAN). +more Dále je možnost, když je klientský systém nakažen škodlivým softwarem, provést transakci útočníkem neautorizovaně.
Indexovaný TAN (iTAN)
Indexovaný TAN redukuje možnosti phishing útoku. Pro autorizaci transakce není uživatel dotazován na libovolné číslo ze seznamu, ale pro konkrétní číslo ze seznamu, které je v pořadí (index) za naposledy použitým TAN. +more Vzhledem k tomu, že index je náhodně vybrán bankou, je libovolný TAN útočníkovi zbytečný.
Nicméně, i přes tuto ochranu jsou útoky jako man-in-the-middle a phishing (útočník uživateli předhodí identickou kopii přihlašovací stránky webového serveru banky a útočník si bez problému ukládá vaše dobrovolně zadané informace do svého počítače) stále možné.
Proto v roce 2012 Agentura Evropské unie pro bezpečnost sítí a informací doporučuje všem bankám přezkoumat PC systémy jejich klientů a nastavit jim systém pro používání bezpečnostních procesů jako je například křížová kontrola údajů transakce. MTAN nebo smart-card čtečky s vlastním displejem mající možnost zadat údaje o transakci a TAN je pak vygenerován přímo pro daný moment (chipTAN).
Indexovaný TAN se systémem CAPTCHA (iTANplus)
Před vstupem do iTAN, je uživateli předložena CAPTCHA, která v pozadí ukazuje údaje o transakcích a údaje, které bychom nechtěli, aby útočník věděl. Úmyslem bylo ztížit (ale ne nemožné) útočníkovi zfalšovat CAPTCHA.
Tato varianta iTan je používána v některých německých bankách a CAPTCHA pomáhá snížit riziko napadení způsobem man-in-the-middle. Některé čínské banky nasadily TAN podobný TANplus. +more Nedávná studie ukazuje, že CAPTCHA založená na schématech TAN nejsou bezpečné proti pokročilejším automatizovaným útokům.
TAN pro telefony (mTAN)
mTAN je používané bankami v Rakousku, Bulharsku, České republice, Německu, Maďarsku, Nizozemí, Polsku, Rusku, Singaporu, Jižní Africe, Španělsku, Švýcarsku nějaké na Novém Zélandu, Austrálii a Ukrajině. Když uživatel potřebuje potvrdit provedenou transakci, tak je ověřovací číslo vygenerováno bankou a posláno uživateli pomocí SMS. +more SMS může dále obsahovat transakční data, díky kterým si uživatel ověří, že transakce nebyla nějak pozměněna.
Nicméně bezpečnost tohoto schématu závisí na bezpečnost operačního systému v telefonu. V Jižní Africe je způsob přes SMS obvyklý už dlouho, a proto byl objeven nový typ útoku: SIM SWAP FRAUD. +more Běžný způsob útok je že se útočník vydává za oběť a získá náhradní SIM kartu telefonu oběti od mobilního operátora. Uživatelské jméno a heslo je získáno jiným způsobem například záznamem stisknutých kláves. Díky naklonované SIM může útočník provádět jakékoliv transakce než si uživatel všimne, že jeho SIM v telefonu už nefunguje.
Také vzestup chytrých telefonů vedl k útoku škodlivého softwaru, který se snaží současně infikovat počítač a mobilní telefon.
TAN generátory
Jednoduché TAN generátory
náhled Aby se snížilo riziko ohrožení celého seznamu s TAN čísly je možné použít bezpečnostní prvky, které generují TAN na základě tajemství s bankou a uloženého tokenu nebo čipové karty vložené do tokenu.
Nicméně vygenerovaný TAN není svázaný s podrobnostmi o konkrétní transakci. TAN je platný pro všechny transakce předložené s tím, že není chráněný proti phishingovým útokům, kde ho může používat přímo útočník nebo také proti útokům man-in-the-middle.