Hasła statyczne i zapisywane jawnie listy haseł jednorazowych są cały czas wykorzystywane do zabezpieczenia naszych pieniędzy.
Niestety są to metody narażające użytkowników na wiele niebezpieczeństw, z których najprostszym jest phishing, czyli podstępne wyłudzenie danych koniecznych do przelania pieniędzy.
Popularne hasła wysyłane SMS-em i tokeny są bezpieczniejsze, ale również ich czas powoli przemija.
Odcisk palca
Jednym z najnowszych pomysłów jest stosowanie bankomatów biometrycznych, wyposażonych w skaner odcisków palca. W Polsce mają je wprowadzić BZ WBK i Euronet w ciągu najbliższych miesięcy.
Czytniki mają być bardziej zaawansowane niż te stosowane w laptopach, które są możliwe do oszukania przez każdego. Oprócz linii papilarnych mają one skanować również cień rzucany przez naczynia krwionośne.
Urządzenia mają ponadto nie wykrywać odciętych palców. Niestety może się okazać, że przestępcy postanowią sparaliżować lub odurzyć ofiarę i posłużyć się jej ręką. Mogłoby to zagrozić nie tylko pieniądzom, ale również zdrowiu okradanego.
Wadą takiego bankomatu – i całej biometrii - jest brak możliwości zmiany "hasła". Jeśli ktoś pozna nasz PIN możemy po prostu zablokować kartę i poprosić o nowy numer. Wymiana palców możliwa jest tylko dziesięciokrotnie, bo na tyle wystarczy nam palców. Należy przy tym pamiętać, że wraz z rozwojem biometryki będziemy z niej korzystali w wielu miejscach.
W związku z tym, jeśli ktoś przechwyci nasz odcisk przy korzystaniu z firmowego ekspresu do kawy, który nie musi być specjalnie zabezpieczony, będzie mógł użyć go również do wypłaty pieniędzy z bankomatu. To znacznie bardziej niebezpieczne niż podglądanie PIN-u przy pomocy kamery zamieszczonej nad bankomatem, bo "podsłuchu" będziemy mogli spodziewać się w dziesiątkach różnych miejsc.
Hasła maskowane
Biometryczne bankomaty to jednak tylko uzupełnienie tradycyjnej autoryzacji przy pomocy karty i PIN-u.
Często stosowanym zabezpieczeniem jest wprowadzenie haseł maskowanych. W momencie logowania jesteśmy proszeni o podanie tylko kilku znaków zamiast całego hasła.
Dzięki temu, jeśli ktoś podsłucha transmisję (np. podczas logowania przez telefon lub poprzez keyloggera), pozna tylko fragment - zwykle połowę – hasła. Na pierwszy rzut oka wygląda to bardzo bezpiecznie: jeśli stracimy trzy cyfry z sześciocyfrowego klucza, to włamywacz i tak ma małe na odgadnięcie pozostałych (1:1000).
Symulacja ataku pokazuje jednak, że średnio już po 4 próbach podsłuchu otrzyma on całe hasło. W przypadku haseł o długości 10–30 znaków nie jest dużo lepiej – przy połowie ukrywanych znaków wystarczy 5–6 razy podsłuchać proces logowania, aby poznać całe hasło.
Oczywiście wydłuża to proces zbierania danych, ale nie podnosi poziomu bezpieczeństwa tak bardzo jak mogłoby się wydawać.
Strefa Biznesu: Uwaga na chińskie platformy zakupowe
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
