Hasła jednorazowe: SMS a papier

2009-06-07

Banki, z których usług korzystam, usilnie namawiają mnie na przejście z haseł jednorazowych w formie listy papierowej na hasła wysyłane SMSem na komórkę. Namowy mają różne formy, od sugestii do podwyższania opłat za papierowe listy haseł. Tłumaczenie jest takie (przykład z MultiBanku):

Kody SMS umożliwiają wygodniejsze, bezpieczniejsze i znacznie szybsze zlecanie operacji w serwisie internetowym.

To jest nieprawda.

Kody SMS oznaczają, że ten kto ma mój telefon komórkowy w ręku, może autoryzować transakcje. Komórkę noszę zawsze z sobą i utrata jej jest znacznie bardziej prawdopodobna niż kradzież list haseł jednorazowych, które trzymam w domu.

Wyobraźmy sobie też taki scenariusz: siedzę w kawiarni, mając na laptopie otwartą sesję z bankiem. Na stole leży przede mną laptop i komórka (z której odczytuję owe jednorazowe hasła). Ktoś zabiera mi laptopa i komórkę i ucieka z nimi. W ten sposób ma nieograniczony dostęp do mojego konta — może wykonać tyle transakcji, ile sobie życzy, a ja nie mam nad tym żadnej kontroli.

W przypadku haseł na papierze mogę wychodząc z domu przepisać sobie najbliższe hasło (lub dwa) na kartkę.

Nie jestem skłonny w ten sposób zmniejszać bezpieczeństwa swoich oszczędności. Tłumaczenie banków jest kłamliwe i obłudne, bo pamiętajmy że pełną odpowiedzialność za wszytkie operacje wykonane przy użyciu haseł ponosi klient.


Komentarze

Problem jest moim zdaniem większy. Ktoś podjeżdża wanem pod Twój dom o drugiej w nocy, w wanie ma sprzęt udający BTS-a. Nikt nie wyłącza komórki na noc. A sms rzadko kogo obudzi.

Dzięki kodom SMS, możliwa staje się kradzież pieniędzy z konta bez dania komukolwiek po głowie - pięknie, czysto, w białych rękawiczkach.

Do tego problem zaufania powierza się sieciom komórkowych - w świecie anonimowych kart sim jest to dziwne.

Ja zastaję przy hasłach papierowych - będę płakał i płacił.


PS. Warto wspomnieć że banki na zachodzie (UK, a dokładniej LLoyds) nie wymagają haseł jednorazowych. Do zalogowania się potrzeba dwóch haseł i tyle, potem można robić wszystko. W porównaniu do takich praktyk polskie banki są znacznie bezpieczniejsze...

Marek Majkowski2009-06-07

Janku, nie wiem, jak jest w Twoim banku, ale w Pekao SA bank prosi o hasła jednorazowe w losowej kolejności, czyli przepisywanie na karteczkę dużo Ci nie da.

Poza tym, jakoś sytuacja w której złodziejowi udaje się ukraść laptopa I laptopa I akurat w momencie kiedy jesteś zalogowany na stronie banku wydaje mi się bardzo mało prawdopodobna.

Ryszard Szopa2009-06-08

Marek: nie wiem na ile taki scenariusz jest prawdopodobny, ale owszem, bezpieczeństwo transmisji SMS również uważam za niewielkie. I zgadzam się, że w bankach zachodnich jest gorzej -- przykładowo, w banku w USA z którego korzystałem, formatka login/hasło nie była wyświetlana przez HTTPS! Dopiero POST był przez https. Nie mogłem być pewien, czy stronę wyświetla mój bank, czy ktoś inny.

Ryszard: no to Pekao SA dodatkowo utrudnia życie (bez sensu, bo to nic nie wnosi do bezpieczeństwa, a zmusza Cię do posiadania wszystkich haseł przy sobie). Co do kradzieży laptopa -- nie zgadzam się. Co więcej, taki scenariusz akurat opisałem, ale np. dla korzystających z Windows znacznie bardziej prawdopodobny jest scenariusz, że będą mieli konia trojańskiego przechwytującego znaki z klawiatury i potencjalny złodziej będzie dawno miał login i hasło. Nie trzeba nawet kraść laptopa, wystarczy telefon.

Jan Rychter2009-06-08

Argumenty o ryzykowności haseł SMSowych są słuszne (zwłaszcza ten z komentarza który proponuję uzupełnić googlowaniem o Nokii 1100) ale proponuję chwilę zastanowienia nad motywacjami banków promujących tą formę autoryzacji. Bo słowa typu kłamliwe, obłudne dość łatwo rzucić. A SMSy są zwykle droższe niż papierowe czy plastykowe karty kodów. I nie jest też prawdą, że klient ponosi 100% odpowiedzialności w każdym wypadku.

Karty kodów też zresztą mają poważne wady. Jak zabezpieczona jest Twoja skrzynka pocztowa?

Mekk2009-06-08

Mekk: pewnie powinienem sprecyzować, że "kłamliwe i obłudne" tyczy się konkretnie słowa "bezpieczniejsze" w zdaniu banku:

Kody SMS umożliwiają wygodniejsze, bezpieczniejsze i znacznie szybsze zlecanie operacji w serwisie internetowym.

Kody SMS nie są bezpieczniejsze, trudno mi więc inaczej nazwać wmawianie klientom, że są.

Zabezpieczenie mojej skrzynki pocztowej nie ma wiele do rzeczy -- karty kodów trzeba jeszcze aktywować. Żeby przypuścić skuteczny atak należałoby więc najpierw ukraść moje hasło, potem zamówić kody, przechwycić je z mojej skrzynki pocztowej, aktywować, a następnie użyć. Uda się, zakładając że nie zmieniam co tydzień hasła i że nie zauważę komunikatów o zamówionych listach haseł. Ogólnie jest to znacznie trudniejsze niż zabranie mi telefonu, co można zrobić szybko, a kradzieży pieniędzy dokonać w ciągu najbliższych kilku minut.

Co do odpowiedzialności -- chętnie się dowiem gdzie jest inaczej niż np. w mBanku, w którego regulaminie czytam:


3. mBank nie ponosi odpowiedzialności za skutki wynikłe z użycia numeru identyfikacyjnego oraz haseł do kanałów dostępu przez osoby trzecie. W przypadku utraty lub wystąpienia podejrzeń o możliwość wejścia osób trzecich w posiadanie hasła do kanału dostępu, Posiadacz rachunku jest zobowiązany niezwłocznie zmienić hasło lub zablokować kanał dostępu za pośred- nictwem mLinii lub sieci Internet.
Jan Rychter2009-06-09

Kody SMS mają potencjał bycia bezpieczniejszymi od tanów z przynajmniej dwóch powodów:

- do tekstu SMS można dołączyć informację o tym jaka jest treść autoryzowanej transakcji,
- nie można ich (w razie przechwycenia) zachować do późniejszego wykorzystania.

Dyskusji o hasłach a także poziomach odpowiedzialności banków z paru względów nie będę publicznie rozwijał.

Mekk2009-06-11

To dokładnie tak samo jak wspaniałe karty "czipowe" z PIN-em. "Proszę wprowadzić PIN". Super, nowoczesnośc, wygoda - tylko w razie ukradzenia karty zero szans na udowodnienie, że to nie ty autoryzowałeś transakcje. Jak nie zgłosisz zaginięcia natychmiast (bo np. dochodzisz do siebie po ciosie w łeb który karty cię pozbawił) to złodziej robi spokojnie zakupy na twoj koszt a bank się wypnie.

Andrzej Brandt2009-09-24