E-Banking Authentication - Dynamic Password Generators and Hardware Tokens

Tento článek navazuje na náš přehled současných autentizačních metod, jejich vlastnosti s ohledem na mezinárodní standardy a jejich odolnost proti útokům z definované taxonomie útoků (kompatibilní s NIST Digital Identity Guidelines). Vzhledem k tomu, že vstupuje v platnost směrnice o platebních službách (PSD2) pro Evropskou unii, považujeme za nezbytné revidovat soulad v současnosti dostupných schémat.

Koncepty, které PSD2 prosazuje do oblasti autentizace klientů, jsou dvoufaktorová autentizace (s požadovanou nezávislostí na faktoru), silná autentizace klienta (SCA), dynamické propojení autentizačního kódu s příjemcem a částkou transakce, a ochrana proti klonování. Nejběžnějším prostředkem ke splnění požadavků je použití dynamických generátorů hesel (DPG) nebo specializovaných hardwarových tokenů. DPG je obvykle mobilní aplikace generující jednorázová hesla (OTP) a často implementující protokol challenge-response. V článku představujeme vlastnosti možných implementací DPG, a to jak v případě, že jsou součástí aplikace elektronického bankovnictví, tak i samostatné aplikace, a zabýváme se využitím speciálních kryptografických čipů v mobilních telefonech - zabezpečených enkláv.

Hardwarové tokeny jsou v dnešní době v elektronickém bankovnictví zatím spíše výjimkou, ale začínají se více prosazovat zejména ve webových službách, které vyžadují dvoufaktorovou autentizaci. Protokol FIDO2 skládající se z otevřeného webového standardu W3C (World Wide Web Consortium) WebAuthn a CTAP2 se stává de facto standardem pro používání bezpečného hardwaru a biometrie pro autentizaci ve webovém prostředí, protože je implementován ve všech hlavních prohlížečích. Představíme klíčové vlastnosti protokolu FIDO2 a možnosti jeho využití v elektronickém bankovnictví nebo jiných webových službách a uvedeme příklady některých bankovních institucí, které standardy FIDO využívají pro autentizaci v elektronickém bankovnictví.