8 thoughts on “Banku internetbanku autentifikācijas un autorizācijas drošības salīdzinājums

  1. Reply Andris Mar 14,2010 12:16 am

    Krājbankai ir nevis lietotāja vārds, bet kaut kāds klienta numurs. Turklāt, ja izmanto kodu kalkulatoru (štruntiņš ar pogu, kas ģenerē unikālus numurus), tad, gan autorizējoties gan veicot darījumus, ir jāievada cipars no kodu kalkulatora.

    Bet vispārīgi prakse ir izmantot t.s. 2 faktoru autentifikāciju, kad pārbauda vai klients “kaut ko zina” (logins un parole) un vai klientam “kaut kas ir” (kodu karte/kalkulators). Vēl ir trešais faktors, kurā izmanto biometriju (pirksta nospiedums, acs skenējums), bet tas sastopams retāk, kad drošības līmenis pieprasa klientam iegādāties un lietot speciālu tehniku (pirksta nospieduma lasītāju).

    Labi, ka nedzīvojam ASV, kur bieži izmanto kropļotu 2 faktoru autentifikāciju, kad pārbauda “ko tu zini” divreiz (logins/parole + “kā sauca tavas mātes māsīcas mazmeitas kaķi?”).

    • Reply Kaspars Mar 14,2010 11:49 pm

      Krājbankai tas ir nosaukts par klienta numuru, hanzabankai par lietotāja numuru, bet būtību tas nemaina 🙂 bet paldies par labojumu.
      Kodu kalkulatorus nemaz nesāku salīdzināt, jo to darbība, manuprāt, visiem ir vienāda vai gandrīz vienāda. Lielākas atšķirības saskatīju tieši autorizējoties izmantojot kodu kartes.
      Runājot par 2 faktoru autentifikāciju- negribētu tev gluži piekrist, ka izmantojot kodu kartes tiek nodrošināta divu faktoru autentifikācija (vismaz korektā tā izpildījumā), jo:
      1. faktora- ko tu zini (parole, pins, utt);
      2. kas tev pieder (kredītkarte, smartkarte, kodu kalkulators);
      3. kas tu esi (biometrija).
      Jo izmantojot kodu kartes tiek lietoti vieni un tie paši kodi, līdz ar to ir iespējams tos pielīdzināt vairākām parolēm, un tas pilnībā nenodrošina 2. faktoru- kas tev pieder, bet gan līdzinās pastiprinātai 1. Faktora autentifikācijai.
      Divu veidu autentifikācija pilnībā tiek realizēta izmantojot kodu kalkulatorus un digitālos parakstus, kā arī izmantojot kredītkartes veicot operācijas bankomātus, bet tas jau ir ārpus salīdzināmā.
      Interesanti būtu uzzināt kāpēc bankas nesteidzās izmantot digitālos parakstus kā autentifikācijas mehānismu. Vienubrīd it kā Hazabanka izmantoja, bet tagad vairs nē. Lielas aizdomas, ka tas ir saistīts ar digitālā pakalpojuma sniedzēju maiņu (no pasta uz LVRTC) un tāpēc tagad tas dažreiz strādā nekorekti.
      Runājot par tavu pieminēto izkropļoto autentifikāciju un par papildus jautājumiem- atcerējos paris gadus atpakaļ lasīto teoriju par bankas autentifikācijas mehānismiem, tajā bija autoratīvs piemērs no UK, kur banka tieši dēļ šādiem „drošības risinājumiem”, kuri ļoti apgrūtināja lietotāju darbību īsā laikā zaudēja daudz klientu. Žēl, ka tagad neatceros kā to banku sauca.. būtu ļoti labs uzskates materiāls.

  2. Reply yyy Mar 15,2010 6:36 pm

    krājbankai tie kodu kartes kodi ir lietojami tikai vienreiz, atšķirībā no SEB. Par citām bankām nezinu.

    • Reply Kaspars Mar 15,2010 11:23 pm

      Jā tā ir liela atšķirība no pārējām bankām, bet šāds risinājums arī uzliek papildus slogu klientu apkalpošanai, jo kartes ir jāmaina. Un ja kļūdas pēc (vai citu iemeslu) atklāj vairākus neizmantotus kodus, kā lai uzmin kurš ir jāvada, jo papildus numurs, kurš ir jāievada netiek norādīts?

  3. Reply yyy Mar 17,2010 12:18 pm

    Tos kodus (krājbankai) var ievadīt jebkādā secībā. Ja kļūdas pēc atklāj vairākus kodus, tas potenciāli var radīt problēmas (tos var ieraudzīt kāds, kam tos nevajadzētu redzēt, vai arī pats vairs nevar saprast kurš kods ir lietots un kurš nav). Kartes ir jāmaina, bet ja banku lieto reti (veicot darbības, kurām tos kodus vajag), karte izvelk diezgan ilgi. (Uz tās kodu kartes ir 35 kodi, pa 3 gadiem (kopš 2007 gada marta) esmu iztērējis tikai kādus 25)(intensīvāk lietojot karte būtu jāmaina ļoti bieži)

    • Reply Kaspars Mar 19,2010 9:43 am

      Ar kodu secību nebiju eksperimentējis, tāpēc paldies par info.
      Ja nav jāievada noteiktā secībā, tad tas noteikti atvieglo dzīvi.

  4. Reply Mahinators Mar 30,2010 12:46 pm

    Kas tā par Hanzabanku?

Leave a Reply