Błędne koło zabezpieczeń?

Data: 17 lutego 2012 | Autor: | Brak komentarzy »

Ciekawy pogląd na rozwiązanie problemu rosnącej skali skimmingu przedstawił ostatnio Stephen Wicker, profesor Wydziału Elektroniki i Inżynierii Komputerowej Uniwersytetu Cornell. Wbrew powszechnym tendencjom to zwiększania poziomu zabezpieczeń, Wicker proponuje w zasadzie… przerzucenie tej konieczności na inne urządzenia autoryzujące. Czy takie rozwiązanie ma sens?

Profesor uważa, że w wielu wypadkach za kompromitację danych karty odpowiedzialni są, jak to określa, „propagatorzy nadmiernych udogodnień”. Chodzi mu o fakt, że obecnie karty płatnicze coraz częściej wykorzystywane są również do innych celów niż płatności bezgotówkowe czy też pobieranie gotówki z bankomatów.

Zwraca on uwagę, że karta w wielu wypadkach staje się instrumentem identyfikacyjnym jej posiadacza. Jak przykład można podać otwieranie drzwi do kabin z bankomatami czy poczekalni na lotniskach, wydawanie kart pokładowych, dostęp do skrytek sejfowych itp. Niemniej jednak przy takich formach jej wykorzystania, osoby projektujące mechanizmy zabezpieczeń podchodzą do problemu z pewną nonszalancją. Mimo, że w urządzeniach i interfejsach komunikacyjnych przetwarzane są dane wrażliwe z karty płatniczej, to ich poziom zabezpieczenia jest zdumiewająco niski w porównaniu do oczekiwanego.

Wicker podaje przykład bankomatu udostępnianego w wydzielonym pomieszczeniu oddziału banku. Aby się do niego dostać, musimy w zdecydowanej większości przypadków przeciągnąć posiadaną kartę bankomatową przez czytnik, gdyż dopiero wtedy zostanie zwolniona blokada drzwi. Urządzenie odczytuje z karty szereg danych, co do których nie mamy pojęcia, ani jakie to dane, ani jak są przetwarzane, ani do jakich celów zostaną wykorzystane (np. do analiz, jak często posiadacze kart innych banków korzystają z konkretnego bankomatu). Informacje te z pewnością nie są jednak potrzebne do tak prostej operacji, jak otwarcie drzwi. Po co więc narażać je na kompromitację?

Jako przykładowe rozwiązanie Wicker podaje uproszczoną identyfikację. Uważa, że jedyna rzecz, jaka może i powinna być weryfikowana w powyższej sytuacji, to sprawdzenie, czy osoba, która chce skorzystać z bankomatu posiada rachunek w banku, który wydaje karty płatnicze. Ponieważ są to dane odpersonalizowane, nie ma potrzeby w tym przypadku stosowania wysokiego poziomu zabezpieczeń. Wicker postuluje wydawanie takim osobom dodatkowej taniej karty / urządzenia, na którym będzie zapisany jedynie pewien ciąg znaków potwierdzający uprawnienie posiadacza do korzystania z bankomatów, bez żadnych poufnych danych.

Czy pomysł jest dobry? Od strony zabezpieczenia danych wrażliwych na pewno tak. Gorzej jednak z wygodą jego realizacji, wymaga bowiem noszenia ze sobą dodatkowego urządzenia, aby skorzystać z bankomatu (a więc w praktyce trzeba zawsze mieć je przy sobie). Jeśli instytucja oferująca inne usługi (np. linia lotnicza) zdecyduje się także na tego rodzaju zabezpieczenie, wyda zapewne swoją własną wersję ID. Tym samym w naszych kieszeniach lub portfelach pojawią się kolejne karty.

Jeśli jednak udałoby się wypracować wspólny standard takiej „karty dostępowej”, na której poszczególne instytucje mogłyby umieszczać uprawnienia do skorzystania z oferowanych przez nie produktów i usług, ale bez ujawniania danych wrażliwych posiadacza, to byłaby to na pewno rewolucja. Z drugiej jednak strony, w wypadku multifunkcjonalnej karty, opłacalne stałyby się złamanie algorytmu kodu umożliwiającego skorzystanie z konkretnej usługi. Jako przeciwdziałanie temu, trzeba by tworzyć bardziej rozbudowane systemy zabezpieczeń. W ten sposób kółko się zamyka. Cóż, może lepiej szczelniej zabezpieczyć już istniejące systemy dostępowe?



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.