66
Bezpečnost mobilních multi-banking aplikací Smart Cards & Devices Forum 2016 @Lime_Company Lime
Bezpečnost mobilních multi-banking aplikací Smart Cards & Devices Forum 2016
@Lime_CompanyLime
Single-banking
Smart Cards & Devices Forum 2013
Doplňková témata (SSL, logování, …).
Rozumně zvládnuté napříč bankami.
Hlavním tématem je autentizace.
Problémy s inovativními vlastnostmi.
Touch ID
Apple Watch
Android Widget
Today Screen
Android Wear
Open-source a zdarma ke stažení.
MONETA Money Bank.
“Poučený”, referenční protokol.
Multi-factor autentizace
End-to-end šifrování
Bezpečné úložiště
End-to-end šifrování
a bezpečné úložiště vznikly
jako side-efekt při návrhu
bezpečné autentizace.
“
Multi-banking
Otevřené bankovní služby a API.
Vstup 3. stran a #fintech startupů.
Dopady legislativy PSD2.
Lze řešit různými způsoby.
Ne kompromis v bezpečnosti či UX.
Nové bezpečnostní problémy.
Nejspíš nechceme super-autoritu.
Lze řešit různými způsoby.
Ne kompromis v bezpečnosti či UX.
Nové bezpečnostní problémy.
Nejspíš nechceme super-autoritu.
Problémy distribuovaného multi-bankingu
Příklad 1
Více bank, jeden PIN kód
Banka A
Ban
kyUži
vate
lé
knowledge
activation id
Ban
kyUži
vate
lé
activation id
PIN(x)
knowledge
Banka A
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
PIN(y)
knowledge knowledge
Banka A Banka B
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
PIN(y)
X = Y ?
knowledge knowledge
Banka A Banka B
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
PIN(?)
knowledge knowledge
Banka A Banka B
Situace 1
Aplikace nezná PIN Jak přidat další banku?
Ban
kyUži
vate
lé
activation id
PIN(x)
knowledge
Banka A
Ban
kyUži
vate
lé
activation id
PIN(x)
knowledge
Banka A Banka B
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
knowledge knowledge
Banka A Banka B
Situace 2
Pro X bank, N * X pokusů
Jak zajistit pouze N pokusů?
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
PIN(x)
knowledge knowledge
Banka A Banka B
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
PIN(x)
knowledge knowledge
Banka A Banka B
S každou další bankou trochu méně bezpečné
Situace 3
Synchronizace
Jak zabránit zablokování pouze jedné banky?
Ban
kyUži
vate
lé
activation id
PIN(x)
activation id
PIN(x)
knowledge knowledge
Banka A Banka B
Ban
kyUži
vate
lé
activation id
PIN(x)
knowledge
activation id
PIN(x)
Nová platba
knowledge
Banka A Banka B
Ban
kyUži
vate
lé
knowledge
activation id
PIN(x)
knowledge
activation id
PIN(x)
Nová platba - neúspěšná autentizace
Banka A Banka B
Ban
kyUži
vate
lé
knowledge
activation id
PIN(x)
knowledge
activation id
PIN(x)
0 pokusů BLOCKED
5 pokusů ACTIVE
Banka A Banka B
Řešení: Centrální komunikační
hub a secure vault
PowerAuth Server PowerAuth Server
Zingly API Server Zingly API Server
Zingly Multi-Banking Hub Server
Banka A Banka B
Ban
kyUži
vate
léZ
ing
ly
Internetové bankovnictví
Internetové bankovnictví
PowerAuth Server PowerAuth Server
Zingly API Server Zingly API Server
Zingly Multi-Banking Hub Server
Banka A Banka B
Ban
kyUži
vate
lé
PowerAuth Server
Zin
gly
Internetové bankovnictví
Internetové bankovnictví
Uži
vate
lé
knowledge
activation id
PowerAuth 2.0 Client
PIN(x)
knowledge
activation id
PIN(x)
PowerAuth Server PowerAuth Server
Zingly API Server Zingly API Server
Zingly Multi-Banking Hub Server
Banka A Banka B
Ban
kyUži
vate
lé
PowerAuth Server
Zin
gly
Internetové bankovnictví
Internetové bankovnictví
Uži
vate
léPowerAuth 2.0 Client
PowerAuth Server PowerAuth Server
Zingly API Server Zingly API Server
Zingly Multi-Banking Hub Server
Banka A Banka B
Ban
kyUži
vate
lé
PowerAuth Server
Zin
gly
Internetové bankovnictví
Internetové bankovnictví
VAULT
knowledge
activation id
PIN(x)
activation id
PIN(x)
activation id
PIN(x)
knowledge knowledge
Příklad 2
Data na všech internetech
To nejcenější na
otevřeném API jsou
data. — zaslechnuto na Internetu
“
Data z bankovního API
jsou radioaktivní odpad
který nikdo nechceskladovat.
“
Databáze - Banka
🔒
Databáze - Banka
🔒
Databáze - Banka
🔒
Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na DropboxuStartup C
Bankovní API
🔒
🔒
🔒🔒
Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na DropboxuStartup C
Bankovní API
🔒
🔒
🔒🔒
Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na DropboxuStartup C
Bankovní API
🔒
🔒
💀🔒
Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na DropboxuStartup C
Bankovní API
💀
💀
💀💀
Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na DropboxuStartup C
Bankovní API
💀
💀
💀💀
Jeden “nešika” to kazí všem.
Náhodně umístěné repliky dat.
Drahé, neefektivní.
Nemožnost kontrolovat svá data.
Řešení: End-to-end šifrování
a on-demand služby
Cena za 1 MB úložiště ($)
0
0,008
0,015
0,023
0,03
1998 2000 2002 2004 2006 2008 2010 2012 2014
$0.0000283
http://www.jcmit.com/disk2015.htm
http://drpeering.net/white-papers/Internet-Transit-Pricing-Historical-And-Projected.php
0
300
600
900
1200
1998 2000 2002 2004 2006 2008 2010 2012 2014
Cena za 1 Mbps ($)
$0.63
Banka bude fungovat jako
bezpečná finanční databáze,
nebude nutné replikovat data
v jednotlivých službách. — odvážná predikce
“
Služby, které dnes replikují
data budou umět fungovat
na vyžádání, v reálném čase
a za kontroly uživatele. — odvážná predikce
“
Banka A
Ban
kyUži
vate
léZ
ing
ly
Příklad: PFM
1. Aplikace si stáhne data z více bank,data jsou chráněna E2E šifrováním.
2. Aplikace si odšifruje data, uživatel označí data, která chce odeslat k analýze.
3. Data se odešlou k real-time analýze do cloudové služby, zpět je vrácena analýza. Data se neukládají.
PFM Engine
🔒
Banka B
🔒
🔒
Zingly Multi-Banking Hub Server
🔒 🔒
Shrnutí
Bezpečný trezor a E2E šifrování.
Banka jako bezpečná databáze.
Nové bezpečnostní problémy.
On-demand služby.
31. 5.,17:00 - 18:00 Přehled fintech společností v ČR a ve světě https://plus.google.com/events/cpuvhoe5pniilhkjh27u91hoang
2. 6., 17:00 - 18:00 Jak vypadá ideální bankovní API? https://plus.google.com/events/c8oji1fpp7jsvulkes0sjso6bs8
