Securitatea operatiunilor prin internet - e-banking

Securitatea operatiunilor prin internet

Securitatea electronica este definita de unii experti ca "acele politici, recomandari, procese si actiuni necesrae minimizarii riscului aferent efectuarii tranzactiilor electronice, risc ce se refera la brese in sistem, intruziuni sau furt", iar altii ca "orice mijloc, tehnic sau proces utilizat pentru a proteja volumul de informatii al unui sistem". Valoarea informatiei se bazeaza pe integritatea sa, iar in cazul in care sistemul de securitate nu permite indeplinirea acestei cerinte, informatia isi pierde din semnificatia sa. In acest context, specialistii Bancii Mondiale considera ca securitatea este o modalitate de a adauga valoare, devenind o preocupare majora a institutiei care trebuie sa o implementeze.

In sistemele electronice de plati autentificarea si non-repudierea reprezinta etapele cele mai importante si de regula se folosesc echipamente performante de securitate. Modalitatile cele mai cunoscute de autentificare si non-repudiere sunt urmatoarele:

Parole si PIN-uri (Personal Identification Number). Acestea sunt cele mai cunoscute dar si cele mai vulnerabile din toate tehnicile individuale de autentificare. Eficienta securitatii prin parola depinde de trei factori:

- lungimea si continutul parolei care depind de valoarea si sensibilitatea informatiilor protejate; standardele privind compozitia parolei prevad utilizarea de cifre si simboluri, precum si litere alfabetice mari si mici;

- confidentialitatea parolei se asigura prin criptarea acesteia si a fisierelor pe 128 biti in momentul stocarii sau transmiterii; cele mai frecvente cazuri de interceptie a parolei se realizeaza in urma studierii comportamentului utilizatorului si captarii acesteia in tranzitul prin diverse site-uri sau prin exploatarea vulnerabilitatii serverului si obtinerea fisierului cu parole;

- sistemul de control al parolei - cerintele minime pentru securitate prevad urmatoarele metode: restrictionarea optiunilor de acces automat, blocarea dupa trei incercari esuate, stabilirea unui interval de expirare a parolei, intreruperea conexiunii cu clientul dupa o perioada de inactivitate, oferirea de asistenta pentru selectarea parolelor complexe, incorporarea unei metode multi-factor pentru sistemele de mare valoare.

Cu toate aceste precautii, punctele slabe ale parolelor sunt tehnologia si timpul, in sensul ca prin anumite programe si procesoare de mare capacitate ( 1 milion combinatii/sec.) se pot realiza, intr-un interval de cateva luni, toate combinatiile posibile si pot fi aflate parolele dorite.

Token si smart card. Token-ul este o metoda de autentificare bi- factoriala bazata pe un cod personal si o parola sau un element biometric, informatii care sunt stocate intr-o memorie. Token-ul depoziteaza aceste informatii si ca urmare nu poate identifica decat parole statice. Token-ul care foloseste tehnologia cip-urilor si care se aplica pe un card formeaza smart cardul.          Gradul de sofisticare a cip-urilor difera dar acestea, oricat de perfectionate, pot fi totusi penetrate. Pentru intarirea securitatii cardului, in cip se introduc si informatii de natura bionica in cazul persoanelor fizice. Institutiile financiare utilizeaza token-uri generatoare de parole pentru a autentifica clientii comerciali in vederea accesului de la distanta a sitemului de operatiuni prin internet. Infrastructura de cheie publica (PKI) poate incorpora smart carduri care sa contina acreditari ale utilizatorului si un certificat digital.

Biometria. Tehnicile de autentificare biometrica pot acorda sau nega accesul la retele prin verificarea automata a identitatii persoanei fizice sau de comportament. Identificatorul biometric este creat din surse ca figura utilizatorului, geometria palmei, voce, iris, retina, amprenta degetului sau a mainii. Odata "captat" un element biometric este tradus, algoritmic, intr-un sir complex de numere si stocat intr-o baza de date drept sablon. Ulterior, sablonul este comparat cu fiecare mostra biometrica prezentata de client pentru identificare. Mostra se realizeaza cu ajutorul unui dispozitiv de validare care sesizeaza cracteristicile fizice si transmite informatiile la baza de date. Daca exista compatibilitate intre cele doua seturi de informatii, verificarea identitatii este realizata. Pentru a se simplifica operatiunile, informatiile biometrice se pot introduce in cip-ul din smart card si se transmit odata cu informatiile clasice -PIN, numar card, nume etc.

Principalele tipuri de dispozitive biometrice sunt urmatoarele:

-scanarea irisului.

Recunoasterea biometrica a irisului implica identificarea a 266 de trasaturi detectabile ale irisului care se convertesc intr-un cod digital Iris Code. Nu exista doua irisuri identice, nici la aceiasi persoana, nici la gemeni, ceea ce face ca gradul de personalizare sa fie maxim. Informatiile scanate se pot pastra timp indelungat, deoarece irisul ramane neschimbat pe toata durata vietii. Concluzia analistilor Bancii Mondiale este ca scanarea irisului poate deveni o masura importanta de securitate pentru angajatii institutiilor finaciare care sunt responsabili cu transferurile de valori mari.

-scanarea amprentei.

Tehnologia permite captarea imaginilor de inalta calitate ale amprentei, in alb-negru, care sunt procesate in vederea extragerii anumitor informatii si apoi trimise pentru sablon. Deci, nu toata amprenta se pastreaza in baza de date ci numai o parte din informatii. Amprentele sunt unice si permit identificarea precisa a persoanei utilizatoare. Tehnologia optica este cea mai des folosita, degetul fiind pus pe o placa de plastic, iar un dispozitiv converteste imaginea amprentei intr-un cod digital. Tehnologiile mai noi sunt tot optice dar bazate pe silicon si tehnologii cu ultra sunete. Deosebit de scanarea amprentei degetului, se mai foloseste si scanarea mainii, atat partea frontala cat si cea laterala ale palmei, lungimea degetelor, distanta dintre articulatii sau forma acestora. Aceasta forma se foloseste pentru sistemele cu securitate joasa sau medie. Deformarile care apar pe parcurs, in special la persoanele in varsta sau la cele cu anumite maladii, ridica probleme in extinderea acestei forme de autentificare.

Autentificarea vocala. Tehnologia se bazeaza pe calitatile distincte ale vocii fiecarei persoane. In aplicatiile de telefonie, autentificarea vocii functioneaza prin telefonul obisnuit, in timp ce in aplicatiile PC este disponibila o paleta larga de combinatii intre microfoane si placi de sunet compatibile cu orice computer. Dezavantajul este ca exista posibilitatea inregistrarii in prealabil a vocii unui subiect si a reluarii ulterioare a inregistrarii, ajungandu-se la falsa acceptare a unui infractor intr-o retea sau intr-un sistem de conturi al unei banci. Pentru diminuarea acestui risc trebuie dezvoltate o serie de metode de identificare exacta a utilizatorilor, una dintre acestea fiind solicitarea sa-si confirme identitatea prin rostirea unor secvente numerice aleatoare.

Scanarea semnaturii. Pentru determinarea manierei in care o persoana semneaza, tehnologia examineaza viteza, presiunea si alti factori relativi la efectuarea semnaturii. Biometria unei semnaturi manuale nu se bazeaza doar pe forma semnaturii, ci si pe dinamica acesteia. Semnatura e captata odata cu elementele temporale - viteza, acceleratie, presiune si anumite sabloane - spre exemplu se poate determina daca punctul pe "i" a fost pus ls sfarsitul semnaturii sau pe parcurs. Majoritatea rau-voitorilor au acces doar la forma fizica a semnaturii gasind fie o chitanta, fie un card pierdut. Ei nu pot copia intensitatea folosita in timpul efectuarii semnaturii si nici viteza, ambele schimbandu-se in timpul procesului de semnare. Acest tip de scanare este foarte util in sistemul bancar unde se vehiculeaza multe documente si de valori importante. Tehnologia pentru scanarea semnaturii este comparabila, din punct de vedere al acuratetei, cu cea folosita la scanarea retinei sau a amprentelor.