Bezpečnost mobilních multi-banking aplikací

Transkript

1 Bezpečnost mobilních multi-banking aplikací Smart Cards & Devices Forum 2016

2 Single-banking

3 Smart Cards & Devices Forum 2013

4 Hlavním tématem je autentizace. Doplňková témata (SSL, logování, ). Rozumně zvládnuté napříč bankami. Problémy s inovativními vlastnostmi.

5 Android Touch ID Widget Apple Watch Android Today Wear Screen

6

7 PowerAuth 2.0

8 Poučený, referenční protokol. Open-source a zdarma ke stažení. MONETA Money Bank.

9 Multi-factor autentizace End-to-end šifrování Bezpečné úložiště

10 End-to-end šifrování a bezpečné úložiště vznikly jako side-efekt při návrhu bezpečné autentizace.

11 Multi-banking

12 Dopady legislativy PSD2. Otevřené bankovní služby a API. Vstup 3. stran a #fintech startupů.

13

14 Nové bezpečnostní problémy. Lze řešit různými způsoby. Ne kompromis v bezpečnosti či UX. Nejspíš nechceme super-autoritu.

15

16 Nové bezpečnostní problémy. Lze řešit různými způsoby. Ne kompromis v bezpečnosti či UX. Nejspíš nechceme super-autoritu.

17

18 Problémy distribuovaného multi-bankingu

19 Příklad 1 Více bank, jeden PIN kód

20 Banky Uživatelé Banka A activation id knowledge

21 Banky Uživatelé Banka A activation id PIN(x) knowledge

22 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(y) knowledge

23 Banky Uživatelé Banka A activation id PIN(x) knowledge X = Y? Banka B activation id PIN(y) knowledge

24 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(?) knowledge

25 Situace 1 Aplikace nezná PIN Jak přidat další banku?

26 Banky Uživatelé Banka A activation id PIN(x) knowledge

27 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B

28 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id knowledge

29 Situace 2 Pro X bank, N * X pokusů Jak zajistit pouze N pokusů?

30 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge

31 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge

32 S každou další bankou trochu méně bezpečné

33 Situace 3 Synchronizace Jak zabránit zablokování pouze jedné banky?

34 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge

35 Banky Uživatelé Banka A Nová platba activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge

36 Banky Uživatelé Banka A activation id activation id PIN(x) PIN(x) knowledge knowledge Nová platba - neúspěšná autentizace Banka B

37 Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge 0 pokusů BLOCKED 5 pokusů ACTIVE

38 Řešení: Centrální komunikační hub a secure vault

39 Banky Zingly Uživatelé Zingly Multi-Banking Hub Server Zingly API Server Internetové bankovnictví Zingly API Server Internetové bankovnictví PowerAuth Server PowerAuth Server Banka A Banka B

40 Banky Zingly Uživatelé Zingly Multi-Banking Hub Server Zingly API Server PowerAuth Server Internetové bankovnictví Zingly API Server PowerAuth Server PowerAuth Server Internetové bankovnictví Banka A Banka B

41 PowerAuth 2.0 Client Banky Zingly Uživatelé activation id PIN(x) knowledge Zingly Multi-Banking Hub Server Zingly API Server Internetové bankovnictví activation id PIN(x) knowledge Zingly API Server PowerAuth Server Internetové bankovnictví PowerAuth Server PowerAuth Server Banka A Banka B

42 PowerAuth 2.0 Client VAULT Banky Zingly Uživatelé Zingly Multi-Banking Hub Server Zingly API Server activation id PIN(x) knowledge Internetové bankovnictví activation id PIN(x) knowledge Zingly API Server activation id PIN(x) knowledge PowerAuth Server Internetové bankovnictví PowerAuth Server PowerAuth Server Banka A Banka B

43 Příklad 2 Data na všech internetech

44 To nejcenější na otevřeném API jsou data. zaslechnuto na Internetu

45 Data z bankovního API jsou radioaktivní odpad který nikdo nechce skladovat.

46

47 Databáze - Banka

48 Databáze - Banka

49 Databáze - Banka

50 Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka

51 Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka

52 Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka

53 Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka

54 Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka

55 Drahé, neefektivní. Jeden nešika to kazí všem. Náhodně umístěné repliky dat. Nemožnost kontrolovat svá data.

56 Řešení: End-to-end šifrování a on-demand služby

57 Cena za 1 MB úložiště ($) 0,03 0,023 0,015 0,008 $

58 Cena za 1 Mbps ($) $

59 Banka bude fungovat jako bezpečná finanční databáze, nebude nutné replikovat data v jednotlivých službách. odvážná predikce

60 Služby, které dnes replikují data budou umět fungovat na vyžádání, v reálném čase a za kontroly uživatele. odvážná predikce

61 Banky Zingly Uživatelé Banka A 2. Aplikace si odšifruje data, uživatel označí data, která chce odeslat k analýze. 1. Aplikace si stáhne data z více bank, data jsou chráněna E2E šifrováním. Zingly Multi-Banking Hub Server Banka B Příklad: PFM 3. Data se odešlou k real-time analýze do cloudové služby, zpět je vrácena analýza. Data se neukládají. PFM Engine

62 Shrnutí

63 Nové bezpečnostní problémy. Bezpečný trezor a E2E šifrování. Banka jako bezpečná databáze. On-demand služby.

64 Děkuji Petr Dvořák

65 31. 5.,17:00-18:00 Přehled fintech společností v ČR a ve světě , 17:00-18:00 Jak vypadá ideální bankovní API?

66 Otázky? :-) Petr Dvořák