Nieweryfikowalny PIN - smartfon przestał być najsłabszym ogniwem

Nieweryfikowalny PIN - smartfon przestał być najsłabszym ogniwem

Dodano:   /  Zmieniono: 

Szacuje się, że nawet 1 na 10 osób[1] gubi swój telefon. Wartość smartfonów utraconych w samych Stanach Zjednoczonych przekracza 30 mld dolarów rocznie. W ujęciu globalnym to już jednak nawet 7 mln dolarów dziennie. Problem jest tym poważniejszy, że obecnie telefony to nie tylko kopalnia wiedzy o użytkowniku. Coraz częściej na smartfonach, obok galerii zdjęć, goszczą także bankowe aplikacje albo okno zdalnego dostępu do firmowego systemu informatycznego (VPN).

Jeśli taki aparat trafi w ręce odpowiedniej osoby, nawet najlepsze zabezpieczenia mogą ulec. Standardowa bariera w postaci zabezpieczenia aplikacji kodem PIN to dla profesjonalisty tylko kwestia czasu. W takiej sytuacji utrata rodzinnego albumu może się okazać niewielką szkodą. w porównaniu do rzeczywistych strat.

Ofiara kradzieży jest przynajmniej świadoma zagrożenia i ma szansę na podjęcie odpowiednich działań, np. zmiany haseł i zgłoszenia utraty telefonu działowi IT. Chcąc poznać numery PIN, przestępcy wcale nie muszą jednak wchodzić w posiadanie telefonu na dłużej niż kilka minut. Wystarczy, ukraść aparat tylko na chwilę, skopiować oprogramowanie, a następnie zwrócić go ofierze, łamanie zabezpieczeń pozostawiając na później. Nieświadomy kradzieży właściciel, ciesząc się, że udało mu się odnaleźć telefon, nawet nie pomyśli, że powinien podjąć jakiekolwiek kroki, aby uchronić siebie lub firmę przed stratami, które dopiero nastąpią.

,,Za dwa najsłabsze ogniwa większości systemów bezpieczeństwa uważa się użytkownika oraz zdalny terminal. Korzystając z nieweryfikowalnego PINu możemy zmniejszyć ryzyko związane z jednym i zlikwidować drugie."- powiedział Paweł Jakub Dawidek, Dyrektor ds. Technicznych i oprogramowania Wheel Systems. ,,Przenosząc ciężar weryfikacji kodu PIN z mobilnej aplikacji na centralny serwer uwierzytelnienia, sprawiliśmy, że smartfon stracił charakter potencjalnie najsłabszego ogniwa systemu. Jego utrata nadal będzie się wiązała z utratą części zasobów, ale przynajmniej konto bankowe i kanał VPN pozostaną bezpieczne."

Umożliwia to proste i jednocześnie niezawodne rozwiązanie, stworzone przez firmę Wheel Systems - autoryzacja, np. transakcji bankowych lub dostępu do firmowego kanału VPN, za pomocą nieweryfikowalnego numeru PIN. Kluczem do sukcesu tego rozwiązania jest fakt, że zainstalowana w telefonie aplikacja do generowania kodów jednorazowych - CERBToken, nie posiada danych wymaganych do zweryfikowania, czy wpisany kod PIN jest prawidłowy. Dzięki temu nawet najbardziej szczegółowe i pomysłowe skanowanie jej pod kątem znalezienia tego właściwego PINu nic nie da potencjalnym przestępcom.

Aplikacja generuje kody jednorazowe, bez różnicy, dla każdego wprowadzonego numeru. Weryfikacją ich poprawności zajmuje się dopiero, zintegrowana z firmowym lub bankowym systemem bezpieczeństwa, centrala systemu autoryzacji CERB. Po wprowadzeniu przez użytkownika podanego przez aplikację kodu jednorazowego, sprawdza ona jego poprawność. W przypadku kilkukrotnego wprowadzenie nieprawidłowych kodów, system blokuje konto.

Podpowiedzią dla właściciela telefonu - że podany aplikacji PIN jest prawidłowy, a zatem i generowane kody będą prawdziwe - jest wizerunek karty do gry, który pojawia się podczas logowania. Jeśli jest on zgodny z tym, wyświetlonym przez system podczas pierwszego ustalania kodu PIN, użytkownik ma pewność, że proces przebiegł poprawnie.

Istotną zaletą programowego tokena CERBToken i przewagą nad tradycyjnymi wariantami sprzętowymi jest nie tylko wygoda - nie trzeba nosić ze sobą żadnych dodatkowych urządzeń - ale i dożywotnia gwarancja. Oznacza to, że w okresie użytkowania systemu nie zajdzie nigdy potrzeba wymiany jakichkolwiek fizycznych nośników. Niesie to ze sobą znaczące oszczędności zwłaszcza z perspektywy dużych organizacji. Koszt okresowej wymiany całej floty, złożonej nawet z kilkuset tokenów sprzętowych może się bowiem okazać porównywalny z zakupem nowego systemu.

Nieweryfikowalny PIN, będący funkcją systemu CERBToken wchodzi w skład dwóch produktów firmy Wheel Systems - CERB oraz CERB Banking. Zaprojektowanych z myślą o zabezpieczeniu zdalnego dostępu do zasobów przedsiębiorstw lub do bezpiecznej autoryzacji transakcji bankowych. Z CERBToken z funkcją nieweryfikowalnego PINu mogą obecnie korzystać klienci, m.in. banku PBS.

 

[1] Mobile Lost & Found: Your Phone's Favorite Hiding Places, www.blog.lookout.com


dostarczył infoWire.pl
Źródło: Wheel Systems

infoWire.pl