Autoryzacja transakcji

Przyglądając się powyższym przykładom w kontekście skuteczności stosowanych mechanizmów autoryzacji transakcji, można dojść do wniosku, że takich mechanizmów nie ma. I w tym miejscu należy zadać pytanie: czy aby na pewno sedno sprawy tkwi w technologii? Chyba jednak nie, bo przy zachowaniu minimum refleksji przez użytkownika ataki nie byłyby skuteczne.

W serwisach bankowych lub finansowych niemal zawsze stosowane są elementy uwierzytelniania dwuskładnikowego. Zalogowanie się do serwisu loginem/hasłem to jedno, a wykonanie wrażliwej czynności (np. przelewu), to sprawa zupełnie inna - tutaj wymaga się dodatkowego poświadczenia, czyli autoryzacji transakcji.

Dobór właściwego mechanizmu autoryzacji transakcji jest istotny. Obecnie posługujemy się wszelkimi postaciami kodów jednorazowych OTP (one time password), w tym generowanymi przez tokeny (hasła generowane na podstawie czasu lub licznika) oraz tokenami challenge-response. Kody jednorazowe mogą służyć do wielu celów, w szczególności do uwierzytelniania, ale też autoryzacji transakcji. Przykładem takich kodów jednorazowych wykorzystywanych do autoryzacji transakcji mogą być karty zdrapki, soft-tokeny, tokeny sprzętowe. Kody jednorazowe mogą być dostarczane również w formie SMS-ów.

Jeżeli myślimy o OTP w czystej postaci, to jego podstawową cechą jest to, że nie jest on "świadomy transakcji". To stwierdzenie szczególnie odnosi się do zdrapek/list. Lista kodów zostaje bowiem wygenerowana w całkowitym oderwaniu od transakcji.

W przypadku e-commerce i transakcji elektronicznych tak naprawdę chodzi o szczególną formę tokenu OTP, czyli "świadomego szczegółów transakcji". Jest on określany jako TAN (Transaction Authentication Number). Najpopularniejszy w Polsce mTAN (mobile TAN) jest przesłany do użytkownika w postaci SMS-a. Oprócz samego kodu autoryzacji SMS, zawiera szczegóły transakcji - przede wszystkim źródło, cel i kwotę. Generowany jest na podstawie informacji o transakcji, jest znakowany czasem (ma narzucony czas ważności - z reguły kilka minut).

Poważnym, choć nie jedynym zagrożeniem dla mTANów jest Maleware typu ZitMo. Badania potwierdziły bowiem, że podatności sieci GSM powodują, że mTAN może zostać przechwycony.

Są też inne niż mTAN warianty TAN-ów. Mamy np. iTANy (indexed TAN) - listę kodów jednorazowych, którą od klasycznych TAN-ów odróżnia to, że nie używamy kolejnych numerów z karty. Wymagane jest podanie numeru znajdującego się pod wskazanym indeksem, zgodnego ze wskazanym indeksem. Zdarzają się też eTANy, choć są mniej popularne.