Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Содержание

Слайд 2

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

О чем пойдет речь

Аутентификация в системах Интернет-Банк
Актуальные векторы

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru О чем пойдет речь Аутентификация в системах
угроз
Уязвимости приложений
Системы одноразовых паролей
Цифровые сертификаты
Резюме

Слайд 3

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Аутентификация в Интернет-Банках

Требуется обеспечить высокий уровень безопасности
Широкое использование

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Аутентификация в Интернет-Банках Требуется обеспечить высокий уровень
Интернет-технологий
HTTP/HTTPS для передачи данных
Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам криптографической защиты
Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
Вероятно отсутствие обновлений безопасности
Низкий уровень ИТ и ИБ грамотности
Возможно наличие вредоносных программ
Вероятна работа с недоверенного рабочего места

Слайд 4

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Актуальные векторы угроз

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Актуальные векторы угроз

Слайд 5

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на сеть

Большинство транзакций производится из незащищенных сетей
Как

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сеть Большинство транзакций производится из
правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты
Комбинации технических и социотехнических атак
SSL/TLS + аутентификация клиента по сертификатам

Слайд 6

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на клиента

Самая большая проблема
Защита рабочих мест вне

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на клиента Самая большая проблема Защита
компетенции владельца ИС
Рекомендательный характер мер
Отсутствие обновлений, антивирусного ПО, пиратское ПО
Широкое использование социотехник злоумышленниками
Высокий уровень развития вредоносного ПО

Слайд 7

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на сервер

Менее популярны, но не менее эффективны
Зачастую

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сервер Менее популярны, но не
присутствуют уязвимости Web-приложений
Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF)
SSL – не защита от уязвимостей Web-приложений

Слайд 8

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Системы одноразовых паролей

Достаточно широко распространены
Невысокая стоимость при потенциальной

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Системы одноразовых паролей Достаточно широко распространены Невысокая
защищенности
Мало зависят от ОС/Браузера
Возможны разные варианты реализации
Заранее рассчитанные списки паролей
Генераторы паролей
SMS-сервис

Слайд 9

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Типичные ошибки

Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию без

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Типичные ошибки Уязвимости Web-приложений Наличие уязвимости позволяет
знания пароля
Необходимость контроля HTTP-сессии
Одноразовые пароли тоже пароли
Возможен перехват
Небольшая энтропия – подбор значения
Большое «окно»

Слайд 10

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Цифровые сертификаты

Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция должна

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Цифровые сертификаты Наиболее мощный инструмент Позволяют компенсировать
быть подписана
Зависят от ОС/Браузера
Использование для защиты сети (SSL/TLS)
Основные проблемы связаны с хранением закрытого ключа

Слайд 11

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Резюме

«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических атак
Аутентификация

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Резюме «Серверный» SSL/TLS недостаточно надежен Велика вероятность
клиента по сертификатам
Уязвимости Web зачастую не учитываются
Большинство Web-приложений содержит серьезные проблемы
Анализ защищенности/использование Web Application Firewall (PCI DSS)
Одноразовые пароли – тоже пароли
К ним применимы стандартные парольные атаки
Стандартные контрмеры (защита от подбора и т.д.)
При использовании сертификатов требуется надежное хранилище
Смарт-карты и токены
Имя файла: Аутентификация-в-системах-Интернет-банкингаАнализ-типичных-ошибок.pptx
Количество просмотров: 125
Количество скачиваний: 0
- Предыдущая
Автоматический парковочный комплекс «СМАРТ-ПАРК»
Следующая -
Проектная технология.

Похожие презентации

Золотой век Возрождения
Инкрустирующие вещества клеточной оболочки растений
Оружие Победы (самолёты)
ВОЛНОВЫЕ СВОЙСТВА МИКРОЧАСТИЦ ВЕЩЕСТВА Гипотеза де Бройля Дифракция
Взаимосвязь. Логика, аргументация, манипуляция
Конференц
Формирование валеологической культуры детей дошкольного возраста
Какую роль играет вкус,зрение,обоняние в жизнедеятельности человека
Стили живописи
Презентация на тему Путешествие в осенний лес
Методические рекомендации по планированию работы библиотек МБУК ПР МЦБ на 2022год
Городские мотивы в лирике Н.А. Некрасова
Допуски, посадки и технические измерения
Марш-бросок и ускоренные передвижения
Место России в мире
Практика 2_ИВМО-04-22_Федулов_Графический Анализ
Уборщик. Техностиль
Различные подходы к выделению управленческих функций
«Налоговый менеджмент в компании»
Бегун-Украина Роман Боженко: «Контекстная интернет-реклама: эффективность, доступная всем»
State form
ЧТОБЫ ПОМНИЛИ …
С Новым Годом!
ООО Симекс
Рождество в России и Великобритании
Музей шоколада
Долгожданный дан звонок - начинается урок
ИНФОРМАНИЯ
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть