Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Февраль 15, 2021

Главная
Разное
Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Содержание

2. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru О чем пойдет речь Аутентификация в системах Интернет-Банк Актуальные векторы угроз
3. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Аутентификация в Интернет-Банках Требуется обеспечить высокий уровень безопасности Широкое использование Интернет-технологий
4. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Актуальные векторы угроз
5. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сеть Большинство транзакций производится из незащищенных сетей Как правило,
6. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на клиента Самая большая проблема Защита рабочих мест вне компетенции
7. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сервер Менее популярны, но не менее эффективны Зачастую присутствуют
8. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Системы одноразовых паролей Достаточно широко распространены Невысокая стоимость при потенциальной защищенности
9. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Типичные ошибки Уязвимости Web-приложений Наличие уязвимости позволяет провести транзакцию без знания
10. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Цифровые сертификаты Наиболее мощный инструмент Позволяют компенсировать уязвимости Web-приложений Транзакция должна
11. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Резюме «Серверный» SSL/TLS недостаточно надежен Велика вероятность социотехнических атак Аутентификация клиента
13. Скачать презентацию

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
О чем пойдет речь
Аутентификация в системах Интернет-Банк
Актуальные векторы

угроз
Уязвимости приложений
Системы одноразовых паролей
Цифровые сертификаты
Резюме

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Аутентификация в Интернет-Банках
Требуется обеспечить высокий уровень безопасности
Широкое использование

Интернет-технологий
HTTP/HTTPS для передачи данных
Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам криптографической защиты
Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
Вероятно отсутствие обновлений безопасности
Низкий уровень ИТ и ИБ грамотности
Возможно наличие вредоносных программ
Вероятна работа с недоверенного рабочего места

Слайд 4

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Актуальные векторы угроз

Слайд 5

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сеть
Большинство транзакций производится из незащищенных сетей
Как

правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты
Комбинации технических и социотехнических атак
SSL/TLS + аутентификация клиента по сертификатам

Слайд 6

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на клиента
Самая большая проблема
Защита рабочих мест вне

компетенции владельца ИС
Рекомендательный характер мер
Отсутствие обновлений, антивирусного ПО, пиратское ПО
Широкое использование социотехник злоумышленниками
Высокий уровень развития вредоносного ПО

Слайд 7

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сервер
Менее популярны, но не менее эффективны
Зачастую

присутствуют уязвимости Web-приложений
Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF)
SSL – не защита от уязвимостей Web-приложений

Слайд 8

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Системы одноразовых паролей
Достаточно широко распространены
Невысокая стоимость при потенциальной

защищенности
Мало зависят от ОС/Браузера
Возможны разные варианты реализации
Заранее рассчитанные списки паролей
Генераторы паролей
SMS-сервис

Слайд 9

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Типичные ошибки
Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию без

знания пароля
Необходимость контроля HTTP-сессии
Одноразовые пароли тоже пароли
Возможен перехват
Небольшая энтропия – подбор значения
Большое «окно»

Слайд 10

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Цифровые сертификаты
Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция должна

быть подписана
Зависят от ОС/Браузера
Использование для защиты сети (SSL/TLS)
Основные проблемы связаны с хранением закрытого ключа

Слайд 11

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Резюме
«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических атак
Аутентификация

клиента по сертификатам
Уязвимости Web зачастую не учитываются
Большинство Web-приложений содержит серьезные проблемы
Анализ защищенности/использование Web Application Firewall (PCI DSS)
Одноразовые пароли – тоже пароли
К ним применимы стандартные парольные атаки
Стандартные контрмеры (защита от подбора и т.д.)
При использовании сертификатов требуется надежное хранилище
Смарт-карты и токены

Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Содержание

Слайд 2

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
О чем пойдет речь
Аутентификация в системах Интернет-Банк
Актуальные векторы

Слайд 3

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Аутентификация в Интернет-Банках
Требуется обеспечить высокий уровень безопасности
Широкое использование

Слайд 4

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Актуальные векторы угроз

Слайд 5

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сеть
Большинство транзакций производится из незащищенных сетей
Как

Слайд 6

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на клиента
Самая большая проблема
Защита рабочих мест вне

Слайд 7

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сервер
Менее популярны, но не менее эффективны
Зачастую

Слайд 8

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Системы одноразовых паролей
Достаточно широко распространены
Невысокая стоимость при потенциальной

Слайд 9

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Типичные ошибки
Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию без

Слайд 10

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Цифровые сертификаты
Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция должна

Слайд 11

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Резюме
«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических атак
Аутентификация

Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Содержание

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruО чем пойдет речьАутентификация в системах Интернет-БанкАктуальные векторы

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruАутентификация в Интернет-БанкахТребуется обеспечить высокий уровень безопасностиШирокое использование

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruАктуальные векторы угроз

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruАтаки на сетьБольшинство транзакций производится из незащищенных сетейКак

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruАтаки на клиентаСамая большая проблемаЗащита рабочих мест вне

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruАтаки на серверМенее популярны, но не менее эффективныЗачастую

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruСистемы одноразовых паролейДостаточно широко распространеныНевысокая стоимость при потенциальной

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruТипичные ошибкиУязвимости Web-приложенийНаличие уязвимости позволяет провести транзакцию без

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruЦифровые сертификатыНаиболее мощный инструментПозволяют компенсировать уязвимости Web-приложенийТранзакция должна

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ruРезюме«Серверный» SSL/TLS недостаточно надежен Велика вероятность социотехнических атакАутентификация

Похожие презентации

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
О чем пойдет речь
Аутентификация в системах Интернет-Банк
Актуальные векторы

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Аутентификация в Интернет-Банках
Требуется обеспечить высокий уровень безопасности
Широкое использование

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Актуальные векторы угроз

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сеть
Большинство транзакций производится из незащищенных сетей
Как

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на клиента
Самая большая проблема
Защита рабочих мест вне

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сервер
Менее популярны, но не менее эффективны
Зачастую

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Системы одноразовых паролей
Достаточно широко распространены
Невысокая стоимость при потенциальной

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Типичные ошибки
Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию без

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Цифровые сертификаты
Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция должна

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Резюме
«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических атак
Аутентификация