Hasła jednorazowe: SMS a papier
2009-06-07
Banki, z których usług korzystam, usilnie namawiają mnie na przejście z haseł jednorazowych w formie listy papierowej na hasła wysyłane SMSem na komórkę. Namowy mają różne formy, od sugestii do podwyższania opłat za papierowe listy haseł. Tłumaczenie jest takie (przykład z MultiBanku):
Kody SMS umożliwiają wygodniejsze, bezpieczniejsze i znacznie szybsze zlecanie operacji w serwisie internetowym.
To jest nieprawda.
Kody SMS oznaczają, że ten kto ma mój telefon komórkowy w ręku, może autoryzować transakcje. Komórkę noszę zawsze z sobą i utrata jej jest znacznie bardziej prawdopodobna niż kradzież list haseł jednorazowych, które trzymam w domu.
Wyobraźmy sobie też taki scenariusz: siedzę w kawiarni, mając na laptopie otwartą sesję z bankiem. Na stole leży przede mną laptop i komórka (z której odczytuję owe jednorazowe hasła). Ktoś zabiera mi laptopa i komórkę i ucieka z nimi. W ten sposób ma nieograniczony dostęp do mojego konta — może wykonać tyle transakcji, ile sobie życzy, a ja nie mam nad tym żadnej kontroli.
W przypadku haseł na papierze mogę wychodząc z domu przepisać sobie najbliższe hasło (lub dwa) na kartkę.
Nie jestem skłonny w ten sposób zmniejszać bezpieczeństwa swoich oszczędności. Tłumaczenie banków jest kłamliwe i obłudne, bo pamiętajmy że pełną odpowiedzialność za wszytkie operacje wykonane przy użyciu haseł ponosi klient.
Problem jest moim zdaniem większy. Ktoś podjeżdża wanem pod Twój dom o drugiej w nocy, w wanie ma sprzęt udający BTS-a. Nikt nie wyłącza komórki na noc. A sms rzadko kogo obudzi.
Dzięki kodom SMS, możliwa staje się kradzież pieniędzy z konta bez dania komukolwiek po głowie - pięknie, czysto, w białych rękawiczkach.
Do tego problem zaufania powierza się sieciom komórkowych - w świecie anonimowych kart sim jest to dziwne.
Ja zastaję przy hasłach papierowych - będę płakał i płacił.
PS. Warto wspomnieć że banki na zachodzie (UK, a dokładniej LLoyds) nie wymagają haseł jednorazowych. Do zalogowania się potrzeba dwóch haseł i tyle, potem można robić wszystko. W porównaniu do takich praktyk polskie banki są znacznie bezpieczniejsze...
Janku, nie wiem, jak jest w Twoim banku, ale w Pekao SA bank prosi o hasła jednorazowe w losowej kolejności, czyli przepisywanie na karteczkę dużo Ci nie da.
Poza tym, jakoś sytuacja w której złodziejowi udaje się ukraść laptopa I laptopa I akurat w momencie kiedy jesteś zalogowany na stronie banku wydaje mi się bardzo mało prawdopodobna.
Marek: nie wiem na ile taki scenariusz jest prawdopodobny, ale owszem, bezpieczeństwo transmisji SMS również uważam za niewielkie. I zgadzam się, że w bankach zachodnich jest gorzej -- przykładowo, w banku w USA z którego korzystałem, formatka login/hasło nie była wyświetlana przez HTTPS! Dopiero POST był przez https. Nie mogłem być pewien, czy stronę wyświetla mój bank, czy ktoś inny.
Ryszard: no to Pekao SA dodatkowo utrudnia życie (bez sensu, bo to nic nie wnosi do bezpieczeństwa, a zmusza Cię do posiadania wszystkich haseł przy sobie). Co do kradzieży laptopa -- nie zgadzam się. Co więcej, taki scenariusz akurat opisałem, ale np. dla korzystających z Windows znacznie bardziej prawdopodobny jest scenariusz, że będą mieli konia trojańskiego przechwytującego znaki z klawiatury i potencjalny złodziej będzie dawno miał login i hasło. Nie trzeba nawet kraść laptopa, wystarczy telefon.
Argumenty o ryzykowności haseł SMSowych są słuszne (zwłaszcza ten z komentarza który proponuję uzupełnić googlowaniem o Nokii 1100) ale proponuję chwilę zastanowienia nad motywacjami banków promujących tą formę autoryzacji. Bo słowa typu kłamliwe, obłudne dość łatwo rzucić. A SMSy są zwykle droższe niż papierowe czy plastykowe karty kodów. I nie jest też prawdą, że klient ponosi 100% odpowiedzialności w każdym wypadku.
Karty kodów też zresztą mają poważne wady. Jak zabezpieczona jest Twoja skrzynka pocztowa?
Mekk: pewnie powinienem sprecyzować, że "kłamliwe i obłudne" tyczy się konkretnie słowa "bezpieczniejsze" w zdaniu banku:
Kody SMS nie są bezpieczniejsze, trudno mi więc inaczej nazwać wmawianie klientom, że są.
Zabezpieczenie mojej skrzynki pocztowej nie ma wiele do rzeczy -- karty kodów trzeba jeszcze aktywować. Żeby przypuścić skuteczny atak należałoby więc najpierw ukraść moje hasło, potem zamówić kody, przechwycić je z mojej skrzynki pocztowej, aktywować, a następnie użyć. Uda się, zakładając że nie zmieniam co tydzień hasła i że nie zauważę komunikatów o zamówionych listach haseł. Ogólnie jest to znacznie trudniejsze niż zabranie mi telefonu, co można zrobić szybko, a kradzieży pieniędzy dokonać w ciągu najbliższych kilku minut.
Co do odpowiedzialności -- chętnie się dowiem gdzie jest inaczej niż np. w mBanku, w którego regulaminie czytam:
Kody SMS mają potencjał bycia bezpieczniejszymi od tanów z przynajmniej dwóch powodów:
- do tekstu SMS można dołączyć informację o tym jaka jest treść autoryzowanej transakcji,
- nie można ich (w razie przechwycenia) zachować do późniejszego wykorzystania.
Dyskusji o hasłach a także poziomach odpowiedzialności banków z paru względów nie będę publicznie rozwijał.
To dokładnie tak samo jak wspaniałe karty "czipowe" z PIN-em. "Proszę wprowadzić PIN". Super, nowoczesnośc, wygoda - tylko w razie ukradzenia karty zero szans na udowodnienie, że to nie ty autoryzowałeś transakcje. Jak nie zgłosisz zaginięcia natychmiast (bo np. dochodzisz do siebie po ciosie w łeb który karty cię pozbawił) to złodziej robi spokojnie zakupy na twoj koszt a bank się wypnie.