Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Содержание

Слайд 2

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

О чем пойдет речь

Аутентификация в системах Интернет-Банк
Актуальные векторы

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru О чем пойдет речь Аутентификация в системах
угроз
Уязвимости приложений
Системы одноразовых паролей
Цифровые сертификаты
Резюме

Слайд 3

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Аутентификация в Интернет-Банках

Требуется обеспечить высокий уровень безопасности
Широкое использование

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Аутентификация в Интернет-Банках Требуется обеспечить высокий уровень
Интернет-технологий
HTTP/HTTPS для передачи данных
Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам криптографической защиты
Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
Вероятно отсутствие обновлений безопасности
Низкий уровень ИТ и ИБ грамотности
Возможно наличие вредоносных программ
Вероятна работа с недоверенного рабочего места

Слайд 4

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Актуальные векторы угроз

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Актуальные векторы угроз

Слайд 5

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на сеть

Большинство транзакций производится из незащищенных сетей
Как

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сеть Большинство транзакций производится из
правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты
Комбинации технических и социотехнических атак
SSL/TLS + аутентификация клиента по сертификатам

Слайд 6

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на клиента

Самая большая проблема
Защита рабочих мест вне

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на клиента Самая большая проблема Защита
компетенции владельца ИС
Рекомендательный характер мер
Отсутствие обновлений, антивирусного ПО, пиратское ПО
Широкое использование социотехник злоумышленниками
Высокий уровень развития вредоносного ПО

Слайд 7

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на сервер

Менее популярны, но не менее эффективны
Зачастую

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сервер Менее популярны, но не
присутствуют уязвимости Web-приложений
Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF)
SSL – не защита от уязвимостей Web-приложений

Слайд 8

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Системы одноразовых паролей

Достаточно широко распространены
Невысокая стоимость при потенциальной

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Системы одноразовых паролей Достаточно широко распространены Невысокая
защищенности
Мало зависят от ОС/Браузера
Возможны разные варианты реализации
Заранее рассчитанные списки паролей
Генераторы паролей
SMS-сервис

Слайд 9

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Типичные ошибки

Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию без

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Типичные ошибки Уязвимости Web-приложений Наличие уязвимости позволяет
знания пароля
Необходимость контроля HTTP-сессии
Одноразовые пароли тоже пароли
Возможен перехват
Небольшая энтропия – подбор значения
Большое «окно»

Слайд 10

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Цифровые сертификаты

Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция должна

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Цифровые сертификаты Наиболее мощный инструмент Позволяют компенсировать
быть подписана
Зависят от ОС/Браузера
Использование для защиты сети (SSL/TLS)
Основные проблемы связаны с хранением закрытого ключа

Слайд 11

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Резюме

«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических атак
Аутентификация

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Резюме «Серверный» SSL/TLS недостаточно надежен Велика вероятность
клиента по сертификатам
Уязвимости Web зачастую не учитываются
Большинство Web-приложений содержит серьезные проблемы
Анализ защищенности/использование Web Application Firewall (PCI DSS)
Одноразовые пароли – тоже пароли
К ним применимы стандартные парольные атаки
Стандартные контрмеры (защита от подбора и т.д.)
При использовании сертификатов требуется надежное хранилище
Смарт-карты и токены
Имя файла: Аутентификация-в-системах-Интернет-банкингаАнализ-типичных-ошибок.pptx
Количество просмотров: 111
Количество скачиваний: 0
- Предыдущая
Автоматический парковочный комплекс «СМАРТ-ПАРК»
Следующая -
Проектная технология.

Похожие презентации

Программы диагностики автомобиля
Этапы речевого развития
Итальянский мужской костюм (картины)
N73
Christmas
Презентация_компании_САМАРАСПЕКТР
ИВАН VI АНТОНОВИЧ
Определение искривлений позвоночника
Новый год и психологи
Рабочий лист социологического исследования группы № 1.
Създаване на БЛОГ за нуждите на часовете по чужд език Албена Димитрова Серра, Даниела Александрова и Агапито Флориано Лакайе УПРАВ
Противодействие идеологии терроризма, экстремизма и гармонизация межнациональных отношений
Отдел Мохообразные. Общая характеристика
Громадянська мережа ОПОРА (Україна) Практики громадського спостереження за виборчими кампаніями в Україні застосовані у 2010 році С
Планы этажей Показ положения зон на 32-х поэтажных планах Отображение и импорт поэтажных планов Мигание открытых зон Отображение с
Петр Первый. РОССИЯ НА РУБЕЖЕ ВЕКОВ
498 Примкните к Иисусу
Болезни глаз. Гигиена зрения
НОВЫЙ СПОСОБ ОЧИСТКИ СТОЧНЫХ ВОД КОКСОВОГО ПРОИЗВОДСТВА С ВЫСОКОЙ КОНЦЕНТРАЦИЕЙ ФЕНОЛОВ И РОДАНИДОВН.И. Бойко, А.В. Борцов, Л.С. Е
Дебаты. Темы на школьные этапы
Сравнительные характеристики приточных устройств
Фрагмент отчета о работе кафедры «Экономики промышленности и организации предприятий»за 5 лет (2004 – 2008 г.г.)Рогалёв Н.Д.
Экономическое путешествие городского кота Тимофея в лесную деревню
Urok_5_Letter_Blends-2
РАО «ЕЭС России»: Инвестиционная фаза реформы
Тест Сказки
Организация и технология производства субпродуктовых консервов. Аппаратурное оформление процессов
Права ребёнка
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть