Tokeni

Većina IT sustava ima One-Factor koncept autentifikacije. No, njihova ranjivost leži u činjenici da koriste statičke zaporke, što omogućava razne vrste napada. Kako se bolje zaštititi?

Autentifikacija je proces utvrđivanja je li osoba uistinu ona za koju se predstavlja. U privatnim i javnim računalnim mrežama, uključujući i internet, autentifikacija se radi putem korisničkih imena i zaporke (password). Pretpostavka je da je osoba koja zna zaporuku ona za koju se izdaje, odnosno da je njezin vlasnik.

Najveći sigurnosni problem jest to što zaporke ne moraju uvijek biti u posjedu vlasnika, često se krađu, zaboravljaju ili gube. Štete učinjene u poslovnim sustavima nakon krađe zaporke često dosežu stotine tisuća eura.

Današnji autentifikacijski mehanizmi temelje se na dva koncepta: One-Factor Concept: korištenje statičkih PIN-ova i lozinki, te Two-Factor Concept: korištenje tokena i smart kartica s ciljem generiranja dinamičkih zaporke, odnosno digitalnog potpisa.

Mehanizmi snažne autentifikacije (eng. strong authentication) temelje se na two-factor konceptu, koji od korisnika zahtijeva posjedovanje uređaja za autentifikaciju token/smart kartica i znanje PIN-a koji omogućava korištenje tokena/smart kartice. Osim generiranja dinamičkih zaporke, tokeni i smart kartice omogućavaju generiranje digitalnog potpisa, kako bi se transakcije dodatno zaštitile i ostvario se uvjet neporecivosti (eng. non-repudiation).

Token je uređaj kojemu je cilj omogućiti pouzdanu autentifikaciju korisnika pri korištenju udaljenih servisa npr. telefonskog bankarstva, internet bankarstva, faks bankarstva, udaljenog pristupa IT resursima itd. Postoje tokeni bez tipkovnice i služe isključivo za generiranje jednokratnih zaporke (eng. One Time Password), te tokeni s tipkovnicom koji osim generiranja OTP-a mogu imati tzv. MAC (eng. Message Authentication Code), funkciju digitalnog potpisa transakcije (npr. u internetskom bankarstvu). Kad je OTP jednom iskorišten, ne može biti ponovno u upotrebi, pa je stoga isključena mogućnost realizacije prethodno opisanih napada.

Riječ je o plastičnim karticama veličine kreditnih, s ugrađenim mikroprocesorom i memorijom. Putem ugrađenih kontaktata i čitača smart kartica omogućuje se njihova komunikacija s računalom i servisima koji ih koriste (npr. servis internetskog bankarstva). Korištenjem kartice omogućen je pristup računu korisnika i izvršavanje željenih financijskih transakcija. Najvažnija karakteristika je da podaci, pohranjeni u zaštićenom dijelu, karticu nikada ne napuštaju, već se sve operacije i funkcije obavljaju na procesoru kartice, a rezultat se vraća aplikaciji koja je inicirala izvršavanje.

Osnovna funkcija kartice je generiranje digitalnog potpisa, a pristup čipu kartice štiti se korisničkim PIN-om. Digitalni potpis osigurava neporecivost transakcije, odnosno onemogućuje izmjenu podataka unutar transakcije. Tehnologija digitalnog potpisa temelji se na složenim kriptografskim algoritmima i kao takva prihvaćena je kao iznimno visok oblik zaštite elektroničkih transakcija i dokumenata.

Tvrtke općenito, a prije svega financijske institucije, moraju realizirati sigurnosne mehanizme u cilju sprečavanja spomenutih (i drugih) tipova napada. Direktni financijski gubici preuzimanjem digitalnih identiteta stvarnih korisnika samo su dio gubitaka koji prijete banci. Jednom izgubljeno povjerenje korisnika vrlo je teško vratiti i zato treba učiniti sve da se to izbjegne. Troškovi nastali prestankom korištenja (kod starih korisnika) pojedinih usluga ili neprihvaćanjem usluga (kod novih korisnika), mogu biti znatno veći od direktnih gubitaka prouzročenih transakcijskim prijevarama.