Hlavní navigace

Ověření pomocí SMS je nebezpečné, banky tlačí klienty do aplikací

11. 1. 2024
Doba čtení: 6 minut

Sdílet

 Autor: Depositphotos
Všichni jsme zvyklí na to, že v elektronickém bankovnictví nějak potvrzujeme platby. Dříve se k tomu s úspěchem používaly SMS, od kterých se teď upouští. Proč je tenhle příjemně jednoduchý způsob problémový?

Více faktorů ověření

Počítače jsou zařízení složitá, uživatelé jsou neopatrní, a jde tudíž o kombinaci zranitelnou. Tohle víme od samotného počátku počítačového věku a máme s tím velmi bohaté zkušenosti. Když proto banky přišly s možností dálkového elektronického ovládání účtů a služeb, začaly brát vážně nejen bezpečnost svých interních systémů, ale také bezpečnost na uživatelově straně.

Uživatel je totiž ten, kdo zadává příkazy, které banka na jeho žádost plní. Je proto nutné mít přiměřenou jistotu, že uživatel je skutečně tou fyzickou osobou, která má právo dané úkony provádět. Nejde tu totiž o nic menšího než peníze a dnes také mnoho právních úkonů prováděných přes bankovní identitu.

Víme, že hesla unikají a uživatelé s nimi zacházejí špatně. Proto pouhé jméno a heslo pro přístup k elektronickému bankovnictví už dlouho nestačí. Banky potřebovaly lepší potvrzení identity a postupně prošly různými generacemi nástrojů pro vícefaktorové ověřování.

Od kalkulačky k SMS

První varianty elektronického bankovnictví v Česku používaly zcela oddělené zařízení, kterému se říkalo elektronický klíč. Vypadal jako malá stolní kalkulačka, do které musel uživatel při zadávání příkazu ručně opsat všechny podrobnosti z počítače a na základě uvnitř uloženého tajemství byl vygenerován jednorázový kód, který bylo opět potřeba opsat do počítače.

Tohle řešení používala například banka Expandia. Bylo to velmi bezpečné, ale velmi nepohodlné a náročné na používání. Elektronický klíč byl oddělen od internetu i počítače samotného a komunikační rozhraní zprostředkovával manuálně uživatel sám. Jeho použití bylo zabezpečeno skrze PIN a skutečně se do něj musely opsat podrobnosti jako cílový účet, částka a další.

Technika se posouvala vpřed a postupně se objevily mobilní telefony – zatím ty velmi jednoduché. Banky si uvědomovaly, že potřebují uživatelsky přívětivější řešení, a některé začaly využívat SIM toolkit. To už je dnes zapomenutá věc, která je součástí standardu GSM. Na SIM kartu je možné nahrát malý program, který umožňuje provádět různé akce nezávislé na mobilním operátorovi nebo telefonu. Ten slouží jenom jako vstupně/výstupní rozhraní, se kterým pracuje uživatel.

Některé banky tedy začaly těchto služeb využívat a do SIM karet vlastně vložily jednoduchou textovou bankovní aplikaci. Ta si žila svým životem a uměla například přijímat šifrované zprávy z banky, které na základě uživatelova zadání hesla dokázala zobrazit. Tímto způsobem se také nově potvrzovaly platby v bankovnictví: přišla tajná zpráva, vy jste ji zadáním hesla otevřeli a opsali jste kód.

Banky poté vyzkoušely řadu různých variant, jako byly uživatelské certifikátyv prohlížečích, čteč­ky karet, předem generovaná jednorázová hesla a podobně. Všechny tyto služby měly banky plně pod kontrolou a mohly nastavovat bezpečnostní pravidla pro jejich použití.

Vždy tu ale byl rozpor mezi uživatelskou přívětivostí a bez­pečností, který nás provází celým odvětvím. Na jedné straně máme superbezpečné externí klíče, které ale nikdo nechce používat. Můžeme to celé zjednodušovat až na kost, ale zase to nebude bezpečné. Co s tím?

Nedělejte online to, co byste v offline světě neudělali

 

Žijeme čím dál víc online. A s tím přibývá i nových rizik, se kterými se musíme potýkat. Někdy je prostě složité vyznat se, co je na internetu pravda, a která nabídka, jež nám přistane do mailu nebo do zpráv na sociálních sítích, je podvod.

Rozhodli jsme se vám život na síti usnadnit tím, že vám v sérii článků nazvané Bezpečně s Měšcem poradíme, jak se bezpečně chovat při online nakupování, jak se vyhnout podvodným soutěžím nebo co lze dělat při krádeži vaší identity.

Tak přišlo potvrzování plateb pomocí jednoduchých SMS. Princip je snadný: banka při potvrzování akcí prostě pošle klientovi zprávu s jednorázovým potvrzovacím kódem a uživatel bude muset kód opsat. Jednoduchá a bezpečná cesta je vynalezena. Hurá, máme vyhráno! Nebo ne?

SMS nejsou bezpečné

SMS existovaly samozřejmě dávno před touhle historií, ale banky si uvědomovaly, že jejich používání skrývá spoustu nebezpečí. Proto byly od začátku vymýšleny pokročilejší metody autentizace než jen prostá otevřená SMS. Čistá textová zpráva má totiž velkou řadu nevýhod, které nejsou na první pohled vidět.

Při použití SMS není možné zaručit, že uživatel má zamčený přístup do telefonu. Pokud nemá, může kdokoliv s jeho telefonem v ruce zprávy zneužít. Přiznejme si to: u prvních telefonů se zámek obrazovky nijak neřešil. Stačilo podržet mřížku a telefon se odemkl komukoliv.

SMS jsou závislé na službách mobilních operátorů. Nejednoho operátora je možné přesvědčit, aby někomu vydal duplikát vaší SIM. Tomuhle útoku se říká SIM swap a skutečně se dá provést. Útočník prostě přesvědčí operátora, že je někdo jiný a že ztratil SIM kartu. Poté si nechá službu převést na jinou kartu a tím získá přístup k telefonnímu číslu oběti. Včetně přijímání SMS.

SMS bylo možné na starších sítích dokonce odposlouchávat i v pokročilejších domácích podmínkách. Sítě druhé generace se u nás stále běžně používají a posílat takovým kanálem citlivou autorizační SMS není dobrý nápad. Banka ovšem netuší, jakou síť používáte, co operátor se zprávami udělá a kam se všude dostanou.

Další problémy plynou ze samotného principu opisování čitelného kódu. Takový údaj může uživatel klidně napsat do podvodné stránky, pokud si dobře neprohlédne její adresu. Stejně tak je možné zprávu prostě útočníkovi přeposlat, pokud o ni chytře požádá. Pořád jde o otevřený text, se kterým se dá udělat cokoliv. Už jste někdy zkopírovali omylem do komunikační aplikace text, který jste neměli mít ve schránce?

Posílání textových kódů pomocí SMS je prostě příliš lehkovážná a otevřená cesta. Banka nad ní nemá kontrolu, kterou ztrácí v okamžiku odeslání informace. Nelze určit pravidla pro bezpečný přenos, stejně jako pro bezpečné zpracování na koncovém zařízení.

Přechod k aplikacím

V Evropě platí od roku 2019 směrnice PSD2 (Payment Services Directive), která zavedla nový bezpečnostní standard a považuje SMS za nedostatečně silný druhý faktor. Tento názor nesdílí pouze evropské autority, ale třeba také americký NIST ve svých směrnicích zakazuje použití nebezpečných SMS. Banky tedy postupně své klienty přesouvají k bezpečnějším alternativám.

Zmíněná evropská směrnice vyžaduje využití alespoň dvou nezávislých faktorů pro ověření identity, přičemž rozlišuje tři hlavní faktory: něco znám (heslo), něco mám (aplikace), něco jsem (otisk prstu / obličej). Z pohledu nových pravidel jsou SMS velmi slabým potvrzením vlastnictví zařízení a jako samostatný faktor neobstojí.

Proto banky končí s posíláním nezabezpečených SMS a klienty postupně přesouvají do ověření v bankovních aplikacích. Ty mohou zajistit vyšší bezpečnost pod kontrolou banky a mohou vynucovat bezpečnostní pravidla, jako je aktivní zámek obrazovky v telefonu. Aktivovaná aplikace je unikátní, nelze ji jednoduše přenést do jiného zařízení nebo duplikovat jako SIM.

Aplikace má totiž tu výhodu, že v sobě drží unikátní tajemství pro komunikaci s bankou, a navíc může zajistit ověření konkrétního uživatele, což třeba při čtení obyčejné SMS vůbec není možné. Používají se tu tedy dva faktory: něco mám (spárovanou aplikaci) a něco jsem (otisk prstu / obličej).

Banky tak naplňují literu zákona: § 223 zákona 370/2017 Sb., o platebním styku, totiž implementuje pravidla PSD2 do české legislativy. Banky proto postupně omezují či zpoplatňují používání SMS, aby své klienty přesunuly k bezpečnějším autentizačním metodám.

Faktory různých druhů

Podstatné pro pochopení celé situace také je, že směrnice vyžaduje, aby v případě vícefaktorové autorizace uživatel svou identitu prokazoval nejen dvěma rozdílnými faktory, ale tyto faktory musejí být zároveň různého druhu. Mít dva faktory stejné kategorie tedy nestačí, protože se tím snižuje celková síla autentizačního procesu.

Shrňme si běžně dostupné možnosti autorizace a kategorie, do kterých spadají:

  • heslo – něco znám
  • PIN – něco znám
  • telefon – něco mám
  • SMS – něco mám
  • platební karta – něco mám
  • otisk prstu – něco jsem
  • sken obličeje – něco jsem

V případě přístupu do banky z mobilní aplikace tedy kombinujeme dva různé faktory: aplikaci předem propojenou s bankou (něco mám) a potvrzení otiskem či skenem obličeje (něco jsem) nebo v některých případech PIN (něco znám). Není možné kombinovat aplikaci a potvrzování kódem SMS, protože to jsou oba faktory kategorie „něco mám“.

dan_z_prijmu

Podobně při placení kartou na internetu dnes potvrzujeme ve většině případů svůj požadavek pomocí 3D Secure. Pokud máme chytrý mobilní telefon, odsouhlasíme platbu přímo v aplikaci. Stejně jako v bankovnictví tedy použijeme dva faktory: aplikaci a otisk či PIN. Nekombinujeme tedy dva faktory stejné třídy.

V případě, že ovšem nemáme chytrý mobilní telefon, musí s námi banka komunikovat jinak. Pro autorizaci platby nám pošle SMS (něco mám) a my musíme doplnit další faktor, kterým je v tomto případě ePIN (něco znám). To je čtyřmístný kód, který najdete ve svém bankovnictví. Jde o tajemství sdílené s bankou, pomocí kterého je možné jinou cestou ověřit identitu uživatele.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).