Google Glass a biztonságos bankoláshoz

2014. március 12. 12:16 - Csizmazia Darab István [Rambo]

Egy Google Glass alkalmazás új lehetőségeket kínál az ATM bankautomatákból történő biztonságos készpénz felvételre. Nincs többé rosszindulatú PIN kód kukkolás, legalábbis ezt ígéri a hannoveri CeBIT-en bemutatott új applikáció.

A Google Glass okosság egészen pontosan úgy működik, hogy a feltelepített alkalmazás segítségével a szokásos PIN kód mellett egy extra QR kód is megjelenik majd, de a megfelelő digitális aláírással egyedül csak a tulajdonos lesz képes ezt a saját szemüvegével látni és értelmezni. Ha ezt nem gépeli be, nincs pénz kiadás. Mivel csakis a párosított Google Glass számára lesz olvasható a kód, ezért hiába vesz fel valaki ugyanilyen szemüveget ugyanilyen alkalmazást telepítve, ő nem fog látni semmit. A Saarland University által kifejlesztett konstrukció azért lehet igen hasznos, mert bár mindeni szeme láttára, a nyilvánosság előtt zajlik, mégis kizárja a kémkedési, leskelődési lehetőségeket - nyilatkozta Dominique Schröder, a kriptográfiai algoritmusok adjunktusa.

Természetesen a megjelenített kódok minden egyes alkalommal mások, és csak akkor generál a rendszer ilyet, ha maga a tulajdonos a regisztrált szemüvegével közelíti meg a bankjegykiadó automatát. Azért azt jegyezzük meg, amíg a szemüveg nem végez biometriai ellenőrzést is, hogy pontosan kinek a fején van, azt el is lehet lopni, illetve maga a tulajdonos fegyverrel is kényszeríthető, hogy mégis gépelje be a helyes extra kódot. Továbbá, ha a pénzkiadó nyílásra tesznek egy szokásos plusz záró műanyag fedelet, azzal még így is át tudnak verni pár tapasztalatlan felhasználót. Mindenesetre az ötlet azért izgalmas, hiszen a kód kifigyelése, kukkolása, levideózása ezzel eredményesen hatástalanítható. Majd kiderül, mi valósul meg belőle, az Ubergizmo információ szerint még akár az idén megjelenhet.

Biztonságos bankolással kapcsolatban úgy általában már eddig is sokszor és sokat értekeztünk, ha ezek közül a legfontosabbakat ki kellene ragadni, az egyik nyilván a Zeus botnet egy magyar bankok elleni átiratának megjelenése volt, ahol már tökéletes magyar helyesírással találkozhattunk. Az Erstebank.hu, a Budapestbank.hu, a Raiffeisen.hu, az Unicreditbank.hu és az Otpbank.hu ellen indított támadásnál az volt a veszélyes, hogy a kártevő a memóriában manipulálta a megjelenítendő HTML oldalt, így nem okozott neki gondot az eredeti banki URL vagy a HTTPS SSL kapcsolathoz tartozó lakat megjelenítése sem.

Ezenkívül szoktuk dicsérni az úgynevezett virtuális kártyát. Ennek az az előnye, hogy bátran begépelhetjük, megadhatjuk a kártya számát, még az ellenőrző CVV kódot is, mivel mindig csak annyi pénz van rajta, amennyit mi 5 perccel a vásárlás előtt ráteszünk, így nem tudnak túlvonni, ellopni, és nem kell az "igazi" dombornyomott bankkártyánkat veszélynek kitenni.

Emellett melegen javasolni szoktuk, hogy ahol csak lehet, vegyük igénybe a két faktoros azonosítást. Sajnos ezzel kapcsolatban azért érik időnként kellemetlen meglepetések az embert, például ha egyes bankok büntetik a biztonságtudatos hozzáállást, és úgynevezett "Jutalék - Token használati díj"-at szednek azoktól, akik élnek a lehetőséggel. Véleményünk szerint a legjobb az lenne, ha kiegészítő azonosítást mindenki használná, amit sokkal inkább egy "token nem használati" díjjal lehetne inkább serkenteni;-), de semmiképpen sem szabadna büntetni az ezt már használókat.

És még egy apró gondolat ezzel kapcsolatban, a mobilbankoláskor csorbul az eredeti 2 faktoros azonosítás (valami, amink van + valami, amit csak mi tudhatunk), hiszen azt úgy találták ki, hogy eredetileg egy fizikailag teljesen másik készülékre érkezzen a visszaigazoláshoz szükséges kód.

A klasszikus külön számítógépen bankolok és külön a telefonomra kapom a kódot modellnél ugyanis még a telefont is el kellene lopniuk (vagy kártevővel megfertőzni), ami azért egy újabb akadály, vagy legalábbis nehezítés. A kártevős verzió azért sajnos nem annyira sci-fi kategória, már 2011-ben volt olyan Zeus Zitmo nevű trójai verzió, amely a fertőzött telefonon elfogta az SMS aláírási üzenetet

5 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr795856112

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Jazo 2014.03.12. 17:39:25

Mikor az OTP-től átmentem a K&H-hoz, nem értették, hogy mi az a virtuális bankkártya...sajnos azóta sem értik, így nincs is nekik.

Csumi84 2014.03.12. 23:10:54

OTP-nél van talál virtuális kártya, viszont elég lehúzós bank. Mindenért pénzt vonnak le, és nem is keveset. A jelenlegi bankomnál meg nincs is ilyen, talán hallottak is róla már, de nincs elég nagy igény rá, így nem is tervezik bevezetni. Szép új világ :)

antyg (törölt) 2014.03.17. 08:15:45

@Jazo: "nem értették, hogy mi az a virtuális bankkártya" Ez nem teljesen így van! Úgy hívják a virtuális kártyát az OTP-nél, hogy webKÁRTYA.

antyg (törölt) 2014.03.17. 08:19:05

@Csumi84: A lényeg abban van, hogy a jelenlegi Bankodnál "Nincs is ilyen", ott is lenne díja hidd el az új dolgok fejlesztése és bevezetése nem kis pénzbe kerül! (az, meg hogy mennyibe kerül az más kérdés, nem ide tartozik!) Ha nem abban, akkor a számlavezetési díjban mutatkozna meg az újabb szolgáltatás díja.

Jazo 2014.03.17. 12:14:36

@antyg: Épp azt írtam, hogy az OTP-nél volt virtuális bankkártyám, de amikor átmentem a K&H-hoz, nem értette az ügyintéző, hogy miről is beszélek és a mai napig nincs ilyen náluk.