Bezpečnost mobilních multi-banking aplikací Smart Cards & Devices Forum 2016 Lime @Lime_Company
Single-banking
Smart Cards & Devices Forum 2013
Hlavním tématem je autentizace. Doplňková témata (SSL, logování, ). Rozumně zvládnuté napříč bankami. Problémy s inovativními vlastnostmi.
Android Touch ID Widget Apple Watch Android Today Wear Screen
PowerAuth 2.0 http://powerauth.com/
Poučený, referenční protokol. Open-source a zdarma ke stažení. MONETA Money Bank.
Multi-factor autentizace End-to-end šifrování Bezpečné úložiště
End-to-end šifrování a bezpečné úložiště vznikly jako side-efekt při návrhu bezpečné autentizace.
Multi-banking
Dopady legislativy PSD2. Otevřené bankovní služby a API. Vstup 3. stran a #fintech startupů.
Nové bezpečnostní problémy. Lze řešit různými způsoby. Ne kompromis v bezpečnosti či UX. Nejspíš nechceme super-autoritu.
Nové bezpečnostní problémy. Lze řešit různými způsoby. Ne kompromis v bezpečnosti či UX. Nejspíš nechceme super-autoritu.
Problémy distribuovaného multi-bankingu
Příklad 1 Více bank, jeden PIN kód
Banky Uživatelé Banka A activation id knowledge
Banky Uživatelé Banka A activation id PIN(x) knowledge
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(y) knowledge
Banky Uživatelé Banka A activation id PIN(x) knowledge X = Y? Banka B activation id PIN(y) knowledge
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(?) knowledge
Situace 1 Aplikace nezná PIN Jak přidat další banku?
Banky Uživatelé Banka A activation id PIN(x) knowledge
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id knowledge
Situace 2 Pro X bank, N * X pokusů Jak zajistit pouze N pokusů?
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge
S každou další bankou trochu méně bezpečné
Situace 3 Synchronizace Jak zabránit zablokování pouze jedné banky?
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge
Banky Uživatelé Banka A Nová platba activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge
Banky Uživatelé Banka A activation id activation id PIN(x) PIN(x) knowledge knowledge Nová platba - neúspěšná autentizace Banka B
Banky Uživatelé Banka A activation id PIN(x) knowledge Banka B activation id PIN(x) knowledge 0 pokusů BLOCKED 5 pokusů ACTIVE
Řešení: Centrální komunikační hub a secure vault
Banky Zingly Uživatelé Zingly Multi-Banking Hub Server Zingly API Server Internetové bankovnictví Zingly API Server Internetové bankovnictví PowerAuth Server PowerAuth Server Banka A Banka B
Banky Zingly Uživatelé Zingly Multi-Banking Hub Server Zingly API Server PowerAuth Server Internetové bankovnictví Zingly API Server PowerAuth Server PowerAuth Server Internetové bankovnictví Banka A Banka B
PowerAuth 2.0 Client Banky Zingly Uživatelé activation id PIN(x) knowledge Zingly Multi-Banking Hub Server Zingly API Server Internetové bankovnictví activation id PIN(x) knowledge Zingly API Server PowerAuth Server Internetové bankovnictví PowerAuth Server PowerAuth Server Banka A Banka B
PowerAuth 2.0 Client VAULT Banky Zingly Uživatelé Zingly Multi-Banking Hub Server Zingly API Server activation id PIN(x) knowledge Internetové bankovnictví activation id PIN(x) knowledge Zingly API Server activation id PIN(x) knowledge PowerAuth Server Internetové bankovnictví PowerAuth Server PowerAuth Server Banka A Banka B
Příklad 2 Data na všech internetech
To nejcenější na otevřeném API jsou data. zaslechnuto na Internetu
Data z bankovního API jsou radioaktivní odpad který nikdo nechce skladovat.
Databáze - Banka
Databáze - Banka
Databáze - Banka
Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka
Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka
Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka
Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka
Replika - Startup A Záloha na Dropboxu Startup C Cloud - Startup B Bankovní API Databáze - Banka
Drahé, neefektivní. Jeden nešika to kazí všem. Náhodně umístěné repliky dat. Nemožnost kontrolovat svá data.
Řešení: End-to-end šifrování a on-demand služby
Cena za 1 MB úložiště ($) 0,03 0,023 0,015 0,008 $0.0000283 0 1998 2000 2002 2004 2006 2008 2010 2012 2014 http://www.jcmit.com/disk2015.htm
Cena za 1 Mbps ($) 1200 900 600 300 $0.63 0 1998 2000 2002 2004 2006 2008 2010 2012 2014 http://drpeering.net/white-papers/internet-transit-pricing-historical-and-projected.php
Banka bude fungovat jako bezpečná finanční databáze, nebude nutné replikovat data v jednotlivých službách. odvážná predikce
Služby, které dnes replikují data budou umět fungovat na vyžádání, v reálném čase a za kontroly uživatele. odvážná predikce
Banky Zingly Uživatelé Banka A 2. Aplikace si odšifruje data, uživatel označí data, která chce odeslat k analýze. 1. Aplikace si stáhne data z více bank, data jsou chráněna E2E šifrováním. Zingly Multi-Banking Hub Server Banka B Příklad: PFM 3. Data se odešlou k real-time analýze do cloudové služby, zpět je vrácena analýza. Data se neukládají. PFM Engine
Shrnutí
Nové bezpečnostní problémy. Bezpečný trezor a E2E šifrování. Banka jako bezpečná databáze. On-demand služby.
Děkuji http://powerauth.com/ Petr Dvořák e-mail: petr@lime-company.eu twitter: @zinglyapp
31. 5.,17:00-18:00 Přehled fintech společností v ČR a ve světě https://plus.google.com/events/cpuvhoe5pniilhkjh27u91hoang 2. 6., 17:00-18:00 Jak vypadá ideální bankovní API? https://plus.google.com/events/c8oji1fpp7jsvulkes0sjso6bs8
Otázky? :-) http://powerauth.com/ Petr Dvořák e-mail: petr@lime-company.eu twitter: @zinglyapp