E-Banking-Authentisierung - cnlab · Bankkunde Push-Authentication: 1 Gerät 10 Auth-Server...

©cnlab security AG

E-Banking-Authentisierung

2019

cnlab security AG, Martina Minges

14.02.2019

Bankkunde

Streichliste

2

Vertragsnummer + Passwort

TANTAN

TAN streichen

TAN

manuell

automatisch

Vertragsnummer +Passwort

Person

Bank-ServerBrowser

Keine Transaktionsabhängigkeit

Keine Information des Kunden über Transaktion

Bankkunde

Matrixkarte (iTAN)

3

TANTAN

TAN

PositionPosition

Person

Bank-ServerBrowser

Vertragsnummer + PasswortVertragsnummer +Passwort

Banken z.B.:- Bank Cler- SZKB

manuell

automatisch


mTAN (Code per SMS)

4

TANTAN

TAN

PersonBank-ServerBrowser


Banken z.B.:- Schwyzer Kantonalbank- Zürcher Kantonalbank- St.Galler Kantonalbank- Raiffeisen

manuell

automatisch

Bankkunde

Mobil-Telefon

Transaktionsabhängigkeit und Information des Kunden überTransaktion möglich.

Bankkunde

Mobile ID

5



PIN-Schutz der Mobile ID-Funktion möglich

«Login»?

ok, Signatur

Kein Abtippen

ok

SwisscomServer

Login!

ok

Banken z.B.:- PostFinance

manuell

automatisch

Transaktionsabhängigkeit und Information des Kunden über Transaktion möglich.

Bankkunde

Challenge/Response-Tools (Smart-Card mit PIN)

6

TANTAN

TAN (Response)

Challenge

ChallengeChallenge


Transaktionsabhängigkeit möglich Vertragsnummer + Passwort


Banken z.B.:- UBS- PostFinance

manuell

automatisch


PIN

Flicker

7

TANTAN

TAN

Flicker

Flicker


Vertragsnummer + PasswortVertragsnummer + Passwort

Transaktionsabhängigkeit möglich

PIN-Schutz der Karte möglich

Banken z.B.:- VPBank (FL)- Sparkasse (D)

manuell

automatisch


Bankkunde

Bankkunde

Signing-Apps: 2 Geräte (graphisch)

8

ok

QR-Code / Mosaik

QR-Code / Mosaik

PersonBank-Server

Browser

Daten der Transaktion werden verschlüsselt in einer Grafik übertragen


Passwort

manuell

automatisch

Signing-App

Information des Kunden über Transaktion

Banken z.B.:- Raiffeisen (PhotoTAN)- ZKB (PhotoTAN) - Valiant (Cronto Sign Swiss) - CS (SecureSign)- UBS (Access App, QR-Code)

Bei Betrieb auf einem Gerät ist der Ablauf wie bei der Push-Authentication.

TANTAN

TAN (Response)

Das Login kann auf zwei Arten bestätigt werden: I. Bestätigen der MeldungII. Eingabe der angezeigten TAN

I.

II.

Response

Bankkunde

Push-Authentication: 2 Geräte

9

BrowserAuth-

ServerBank-

Server Person

manuell

automatisch

App


ok

Push-Nachricht

ok

ok

ok

Banken z.B.:- SGKB- Julius Bär- AKB- UBS - Sparkassen (D)


Transaktionsabhängigkeit möglich

Kein Abtippen


Beispiele:- CLX PushTAN- Entersekt Transakt- Gemalto SafeNet MobilePASS+- Vasco Digipass App- UBS Access App

Bankkunde

Push-Authentication: 1 Gerät

10

Auth-Server

Bank-Server

Person

manuell

automatisch

Signing- Mobile-App Banking


ok

Push-Nachricht

ok

ok

ok

Vertragsnummer +PasswortTransaktionsabhängigkeit

möglich

Kein Abtippen


Banken z.B.:- UBS (Access App)- Sparkasse (D)

Smartphone

Signing-Modul kann auch in die Mobile-Banking-App integriert sein.

Beispiele:- CLX PushTAN- Entersekt Transakt- Gemalto SafeNet MobilePASS+- Vasco Digipass App

Auth-Server kann im Bank-Server integriert sein.

Bankkunde

Dynamisches Passwort

11

CodeCode

Code

Person

Bank-ServerBrowser

Vertragsnummer + PasswortVertragsnummer + Passwort

Beispiel:- RSAsecurID- Vasco DIGIPASS

Banken z.B.:- Coutts- Sarasin- Vontobel

manuell

automatisch


Bankkunde

Verbundenes C/R-Token mit Zertifikat (Proxy)

12

2-Weg-auth. TLS

Start

ok


Vertragsnummer, PIN

Vertragsnummer, PIN

Beispiel:- IBM ZTIC

Banken z.B.:- UBS

manuell

automatisch

Information des Kunden über Login

Verbundenes C/R-Token mit Zertifikat (2 Verbindungen)

13

Überprüft Zertifikat

Responseok


Vertragsnummer + PasswortPasswort

CodeCode Code

Code

TransaktionTransaktion

Beispiel:- IBM ZTIC

Banken z.B.:- Zürcher Kantonalbank

manuell

automatisch

Bankkunde

Bankkunde

Verbundenes C/R-Token mit Zertifikat + gehärteter Browser

14

Vertragsnummer


Browser ist gehärtet

PIN

Zertifikat

Challenge

Response

ok

Challenge


Beispiele:- CLX.SentinelDisplay- Kobil mIDentity visual

Banken z.B.:- Keine bekannt

manuell

automatisch

Bankkunde

Kobil AST mit 2 Geräten

15


Vertragsnummer


Login auf beiden Geräten

Challenge

Response

Kein Abtippen ok

Person

Bank-ServerBrowser

VertragsnummerPasswort 1

Passwort 2

Information des Kunden überTransaktion

Mögliche Gerätekombinationen:- Computer – Computer- Computer – Smartphone- Smartphone – Smartphone- etc.

Banken z.B.:- Migros Bank- Vontobel

manuell

automatisch

Bankkunde

Kobil AST-Verfahren mit nur 1 Gerät

16


Person

Bank-Server

Vertragsnummer + PasswortPasswort

Typischerweise Smartphone-App mit gehärtetem Software-Modul, das Ausspionieren der Zertifikatsschlüssel durch Schadsoftware erschweren soll

Bei Registrierung wird ein Gerätezertifikat ausgestellt

Bei manchen Apps in die Biometrie-Funktion des Geräts integriert

Response

ok

ChallengeWird in gehärtetem Modul ausgeführt


manuell

automatisch

Bankkunde

Futurae SoundProof

17

Browser ServerBank-

Server Person

manuell

automatisch

Futurae-App


ok

ok


DeviceID

Request sound sample TBrowser

Keine Transaktionsabhängigkeit

Keine Information des Kunden über Transaktion und keine Benutzerinteraktion.


Similarity Score s von Tbrowser und TApp berechnen

TBrowser, Request sound sample TApp

TBrowser

Similarity Score s

Freigabe des Logins falls s oberhalb des Grenzwerts

Vergleich des Potenzials

18

Stre

ich

list

e /

Ma

trix

ka

rte

mTA

N (

SMS)

Cha

lle

ng

e-R

esp

on

se T

ok

en

Sig

nin

g-A

pp

(P

ho

toTA

N,

Flic

ke

r, Q

R-C

od

e)

+ B

row

ser

Dyn

am

isch

es

Pa

ssw

ort

Zert

ifik

at

(Sm

art

card

) +

g

eh

ärt

ete

r B

row

ser

Ko

bil

AST

2 G

erä

te

Ko

bil

AST

1 G

erä

t

Diebstahl Credentials

Phishing passiv

Man-in-the-Middle

MalwareLog

in +

Le

sezu

ga

ng

Tra

nsa

kti

on

Session hijack

Session riding

Man-in-the-Middle

Malware

Zert

ifik

at

(Sm

art

card

) +

C/

R T

ok

en

Zert

ifik

at

(Sm

art

card

) +

C/R

To

ke

n

+ g

eh

ärt

ete

r B

row

ser

Mo

bil

e ID

Futu

rae

So

un

dp

roo

f+

B

row

ser

Sig

nin

gA

pp

1 G

erä

t

Bankkunde

Vereinfachtes Login mittels Biometrie (Fingerprint und TouchID/FaceID)

19

Mobile-App

Server BankPerson

manuell

automatisch


Aktivierungscode

Vertragsnummer + Passwort + DeviceID + Public DeviceKey + Aktivierungscode

App generiert DeviceID + DeviceKeys

signedprivate DeviceKey[Vertragsnummer + Passwort + DeviceID]

Ak

tivi

eru

ng

Log

in

Die Freigabe von Vertragsnummer + Passwort kann auch mittels Biometrie Fingerprint bzw. TouchID/FaceID erfolgen.

Banken z.B.:- Raiffeisen- Postfinance

Vertragsnummer und Passwort werden in der KeyChain / im KeyStore gespeichert

Vereinfachung mit einfachem Login und Transaktionsbestätigung

20

Bankkunde Bank

Login

Kontodaten

Transaktion

Transaktionsautorisierung

Kontoübersicht + ‘plausible’ Transaktionen

Zusätzliche Autorisierungz.B. durch Code per SMS

Authentisierung des Kundenz.B. durch Login

‘plausible’ Transaktionen

1. S

tufe

alle Transaktionen +wichtige Änderungen

2. S

tufe

Vielen Dank für Ihre Aufmerksamkeit_

©cnlab security AG

[email protected]

+41 55 214 33 33

cnlab security AG

Obere Bahnhofstrasse 32b

CH-8640 Rapperswil-Jona

Switzerland

2018

Christian Birchler

[email protected]

+41 55 214 33 40

Thomas Lüthi

[email protected]

+41 55 214 33 41

Paul Schöbi

[email protected]

+41 55 214 33 33

René Vogt

rené[email protected]

+41 55 214 33 41

Stephan Verbücheln

[email protected]

+41 55 214 33 36

Martina Minges

[email protected]

+41 55 214 33 42

E-Banking-Authentisierung - cnlab · Bankkunde Push-Authentication: 1 Gerät 10 Auth-Server...

Documents

Transcript of E-Banking-Authentisierung - cnlab · Bankkunde Push-Authentication: 1 Gerät 10 Auth-Server...