Banku internetbanku autentifikācijas un autorizācijas drošības salīdzinājums
Zinot cik atšķirīgi autentifikācijas un autorizācijas mehānismi tiek lietoti internetbankās izvēlējos tos papētīt un salīdzināt.
Ja ir papildus informācija vai info par citām bankām, droši padodiet ziņu būtu interesanti savāk informāciju par visām LV bankām un ne tikai.
Salīdzinājums ir sanācis ne pārāk acīm viegli uztverams, bet ja izdomāšu kā to attēlot labāk- izmainīšu.
Salīdzinājumu veicu darbībām ar koda kartēm un, sadalītiem soļiem izdalīju 1. soli un 2. soli
| Banka | Autorizācija | Darījumu apstiprināšana | Komentāri |
| Krājbanka
https://online.lkb.lv |
1. Solis Lietotājvārds, parole,2. Solis kodu kartes numurs(nemainīgs) | 1. Solis Kodu kartes numurs un nākošais pēc kārtas kods no kodu kartes. | Lai pieslēgtos kontam un apskatītu visu informāciju nav nepieciešams kods no koda kartes, tāpēc iegūstot pieejas informāciju varēs tai piekļūt nemitīgi.Katrs kodu kartes kods ir izmantojams tikai vienreiz- kad visi kodi ir izlietoti ir jādodas uz banku apmainīt kodu karti.
Lietotāja atbloķēšanai (pēc neveiksmīgām pieslēgšanas reizēm) ir jādodas uz banku. Izmantojot kadakarti vienā reizē var pārskaitīt naudas summu līdz 1000ls. |
| Norvikbanka
https://www.e-norvik.lv/ |
1. Solis Lietotājvārds, parole,2. Solis noteikts kods no kodu kartes | 1. Solis. noteikts kods no kodu kartes un lietotāja parole | Papildus modrībai- izvēles bilde, kuru man liekas neviens neizmanto. |
| DnB Nord
https://www.inord.lv/ |
1. Solis Lietotājvārds (ievadot neeksistējošu atgriežas 1. Solī)2. Solis Ieejas parole, noteikts kods no kodukartes | Nav info | Šādi var uzminēt kādu lietotājvārdu
Neierasti- ir jāatceras 2 paroles(apstiprināšanas un ieejas). Prasība parolēm- vismaz 2 cipari |
| Hanzabanka
https://hanzanet.lv |
1. Solis lietotājvārds, parole
(ievadot nepareizu lietotājvārdu un/vai paroli nepāriet uz otro soli) 2. Solis noteikts kods no kodu kartes |
1. Solis. Pirmie 3 cipari no kodu kartes noteikta koda | Lietotāja atbloķēšanu var veikt pa telefonu. Operators protams uzdod visādus interesantu jautājumus, bet personīgi zinu gadījumu, kad otrs cilvēks atbloķēja vai pat nomainīja ieejas paroli (toreiz tas bija ar labu nodomu, jo pats īpašnieks bija ārzemēs un netīšām nobloķēja sev pieeju- krājbankas gadījumā varētu “žāvēt airus”  ) |
| SEB
https://ibanka.seb.lv |
1. Solis Klienta kods un parole (ievadot nepareizu lietotājvārdu un/vai paroli nepāriet uz otro soli)
2. solis noteikts kods no kodukartes |
Darījumu apstiprināšana | Papildus |
| Banka | Autorizācija | Darījumu apstiprināšana | Papildus |
Kopējā konstatētās problēmas ir, ka ja kāds ļoti sagribēs ieriebt visiem konkrētas bakas klientiem (tos nešķirojot), tad pārsvarā vienkārši vadot pēc kārtas katram lietotājam nepareizas paroles lietotājs tiks bloķēts un pieeja tiks liegta.. vienkārši bet iedarbīgi..
Iedomājieties LV banku X, kur vienu dienu neviens lietotājs nevar pieslēgties .
Change log:
Pievienots papildināums par krājbankas kodakartes ierobežojumu pārskaitījumam līdz 1000ls
Informācija par SEB (Unibanku)
14. marts 2010 at 12:16 am :
Krājbankai ir nevis lietotāja vārds, bet kaut kāds klienta numurs. Turklāt, ja izmanto kodu kalkulatoru (štruntiņš ar pogu, kas ģenerē unikālus numurus), tad, gan autorizējoties gan veicot darījumus, ir jāievada cipars no kodu kalkulatora.
Bet vispārīgi prakse ir izmantot t.s. 2 faktoru autentifikāciju, kad pārbauda vai klients “kaut ko zina” (logins un parole) un vai klientam “kaut kas ir” (kodu karte/kalkulators). Vēl ir trešais faktors, kurā izmanto biometriju (pirksta nospiedums, acs skenējums), bet tas sastopams retāk, kad drošības līmenis pieprasa klientam iegādāties un lietot speciālu tehniku (pirksta nospieduma lasītāju).
Labi, ka nedzīvojam ASV, kur bieži izmanto kropļotu 2 faktoru autentifikāciju, kad pārbauda “ko tu zini” divreiz (logins/parole + “kā sauca tavas mātes māsīcas mazmeitas kaķi?”).
14. marts 2010 at 11:49 pm :
Krājbankai tas ir nosaukts par klienta numuru, hanzabankai par lietotāja numuru, bet būtību tas nemaina
bet paldies par labojumu.
Kodu kalkulatorus nemaz nesāku salīdzināt, jo to darbība, manuprāt, visiem ir vienāda vai gandrīz vienāda. Lielākas atšķirības saskatīju tieši autorizējoties izmantojot kodu kartes.
Runājot par 2 faktoru autentifikāciju- negribētu tev gluži piekrist, ka izmantojot kodu kartes tiek nodrošināta divu faktoru autentifikācija (vismaz korektā tā izpildījumā), jo:
1. faktora- ko tu zini (parole, pins, utt);
2. kas tev pieder (kredītkarte, smartkarte, kodu kalkulators);
3. kas tu esi (biometrija).
Jo izmantojot kodu kartes tiek lietoti vieni un tie paši kodi, līdz ar to ir iespējams tos pielīdzināt vairākām parolēm, un tas pilnībā nenodrošina 2. faktoru- kas tev pieder, bet gan līdzinās pastiprinātai 1. Faktora autentifikācijai.
Divu veidu autentifikācija pilnībā tiek realizēta izmantojot kodu kalkulatorus un digitālos parakstus, kā arī izmantojot kredītkartes veicot operācijas bankomātus, bet tas jau ir ārpus salīdzināmā.
Interesanti būtu uzzināt kāpēc bankas nesteidzās izmantot digitālos parakstus kā autentifikācijas mehānismu. Vienubrīd it kā Hazabanka izmantoja, bet tagad vairs nē. Lielas aizdomas, ka tas ir saistīts ar digitālā pakalpojuma sniedzēju maiņu (no pasta uz LVRTC) un tāpēc tagad tas dažreiz strādā nekorekti.
Runājot par tavu pieminēto izkropļoto autentifikāciju un par papildus jautājumiem- atcerējos paris gadus atpakaļ lasīto teoriju par bankas autentifikācijas mehānismiem, tajā bija autoratīvs piemērs no UK, kur banka tieši dēļ šādiem „drošības risinājumiem”, kuri ļoti apgrūtināja lietotāju darbību īsā laikā zaudēja daudz klientu. Žēl, ka tagad neatceros kā to banku sauca.. būtu ļoti labs uzskates materiāls.
15. marts 2010 at 6:36 pm :
krājbankai tie kodu kartes kodi ir lietojami tikai vienreiz, atšķirībā no SEB. Par citām bankām nezinu.
15. marts 2010 at 11:23 pm :
Jā tā ir liela atšķirība no pārējām bankām, bet šāds risinājums arī uzliek papildus slogu klientu apkalpošanai, jo kartes ir jāmaina. Un ja kļūdas pēc (vai citu iemeslu) atklāj vairākus neizmantotus kodus, kā lai uzmin kurš ir jāvada, jo papildus numurs, kurš ir jāievada netiek norādīts?
17. marts 2010 at 12:18 pm :
Tos kodus (krājbankai) var ievadīt jebkādā secībā. Ja kļūdas pēc atklāj vairākus kodus, tas potenciāli var radīt problēmas (tos var ieraudzīt kāds, kam tos nevajadzētu redzēt, vai arī pats vairs nevar saprast kurš kods ir lietots un kurš nav). Kartes ir jāmaina, bet ja banku lieto reti (veicot darbības, kurām tos kodus vajag), karte izvelk diezgan ilgi. (Uz tās kodu kartes ir 35 kodi, pa 3 gadiem (kopš 2007 gada marta) esmu iztērējis tikai kādus 25)(intensīvāk lietojot karte būtu jāmaina ļoti bieži)
19. marts 2010 at 9:43 am :
Ar kodu secību nebiju eksperimentējis, tāpēc paldies par info.
Ja nav jāievada noteiktā secībā, tad tas noteikti atvieglo dzīvi.
30. marts 2010 at 12:46 pm :
Kas tā par Hanzabanku?
9. aprīlis 2010 at 2:37 pm :
Tā ir tā pati Swedbank, bet diez vai tu to nezināji