Autentifikačný údaj
Pri procese predstavovania sa identifikujme vstupným menom. Nasledovným krokom nevyhnutným na overenie identity používateľa, je autentifikácia – zistenie, či je identita, ktorú používateľ uviedol, naozaj pravá. Na overenie totožnosti sa používajú statické karty (Grid Card), dynamické heslá (One-Time password), alebo použitie elektronického podpisu (RSA - asymetrické šifrovanie). Pridelenie používateľských práv nasleduje po úspešnom prihlásení sa do systému, ktorý nazývame autorizácia . Nevyhnutným prvkom bezpečnosti je zabezpečenie dôvernosti a kontroly integrity posielaných dát
medzi klientom a bankou a zabezpečenie proti zneužitiu treťou osobou alebo proti chybám, spôsobených prenosovou cestou. Neodmietnuteľnosťou a nepopierateľnosťou sa v EB rozumie nepopretie príjmu a nepopretie autorstva poslanej informácie. Na riešenie sporných situácií by sa mal využívať archív . Nachádzajú sa v ňom dôležité vymieňané informácie, elektronické podpisy, resp. potvrdenky k týmto príkazom. O váhe týchto podkladov rozhoduje váha používaných bezpečnostných prvkov - kľúčovým je v tomto smere druh elektronického podpisu. Elektronická potvrdenka - predstavuje krátku správu banky s časovým údajom o prijatí informácie od klienta. Dôkaznú hodnotu má taká elektronická potvrdenka, ktorá je doplnená o elektronický podpis banky vytvorený z pôvodnej informácie klienta a krátkej správy banky s časovým údajom.
Na overenie totožnosti sa v EB využívajú tri druhy autentifikačných údajov (AU), líšiace sa hlavne bezpečnostnou úrovňou a spôsobom ich vytvárania.
Metóda súkromného a verejného kľúča - RSA
AU je pri každom prístupe do systému EB iný. Je ním elektronický podpis, vytvorený k náhodnej informácií, ktorú banka poslala klientovi pri prihlasovaní sa do systému EB. Po kontrole správnosti elektronického podpisu má klient umožnenú prácu so systémom EB.
Jednorázové (dynamické) heslo - OTP
AU je aj v tomto prípade pri každom prístupe do systému EB iný a predstavuje ho jednorázové prístupové heslo OTP (O ne-Time Password ), ktoré sa generuje na základe tajnej informácie, poradia OTP alebo na základe časového údaju.
Statické prístupové heslo - SH
V niektorých systémoch si klient môže toto statické heslo, slúžiace ako autentifikačný údaj meniť. Príkladom SH je použitie sady statických hesiel - Grid Karty (GC). Pri komunikácií s operátorom Call Centra sa popri použití statického hesla dopĺňa autentifikácia o záložné (kontrolné) otázky.
|
Autentifikácia |
Bezpečnosť prístupu do systému EB |
|
Tajná informácia k vytvoreniu autentifikačného údaja |
Ochrana voči |
|
Je výlučným tajomstvom podpisovateľa |
Pri komunikácii s EB sa prenáša |
3.strane
Útočník z vonku |
2.strane
Útočník z banky |
|
RSA |
Áno |
Nie |
Vysoká |
Vysoká |
OTP |
Nie |
Nie |
Dostatočná |
Záleží na implementácii |
SH |
Nie |
Áno |
Nedostatočná |
Nedostatočná |
|
Tabuľka: Porovnanie autentifikačných údajov
